我跑了chkroot, rkhunter,,但什么也没发现。
我跑了unhide brute,
它会显示一个隐藏的 PID
所以我ps aux | grep ^PID
但什么也没有出现。
我unhide brute再次奔跑,什么也没有。
unhide brute几秒钟后我再次运行,有一个新的 PID。
我该怎么办?我应该担心吗……?
答案1
如果这是取消隐藏http://www.security-projects.com/2009-08-10 (BETA),这不一定是任何犯规行为。
快速浏览一下暴力破解检查的源代码,似乎存在竞争条件。
暴力扫描看起来会分叉进程并尝试接触整个 pid 空间,在尝试接触所有可能的 pid 后,它将遍历整个列表,对于每个未接触的 pid,它将对该 pid 运行 ps 并检查它是否存在。问题是,在暴力扫描期间或在 ps 暴力扫描中的其他漏洞期间,合法进程有足够的时间退出,然后这将被列为隐藏。
答案2
尝试使用 OSSEC rootcheck 进行测试。它比这两个工具更擅长检测 rootkit。链接:http://www.ossec.net/rootcheck/