Hallo, nach einem Lauf mit 'unhide' bekomme ich häufig solche Meldungen: Found HIDDEN PID: 30784 Cmdline: "<none>" Executable: "<no link>" "<none> ... maybe a transitory process" Bei einem weiteren unhide-Lauf (sofort danach gestartet) scheint der Prozess weg zu sein. Auch sonst ist der nicht in (z.B. in /proc) auffindbar (rkhunter und chkrootkit finden auch nichts). Ich würde gerne sicher sein, dass das ein "false positive" ist. Hat jemand eine Idee wie ich da weiter debuggen kann was dahinter steckt? Was für weitere Tests kann ich machen? Gruß und Dank, Ulrich -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On Tue, 5 May 2015 11:08, Ulrich Hiller
Hallo,
nach einem Lauf mit 'unhide' bekomme ich häufig solche Meldungen:
Found HIDDEN PID: 30784 Cmdline: "<none>" Executable: "<no link>" "<none> ... maybe a transitory process"
Bei einem weiteren unhide-Lauf (sofort danach gestartet) scheint der Prozess weg zu sein. Auch sonst ist der nicht in (z.B. in /proc) auffindbar (rkhunter und chkrootkit finden auch nichts).
Ich würde gerne sicher sein, dass das ein "false positive" ist. Hat jemand eine Idee wie ich da weiter debuggen kann was dahinter steckt? Was für weitere Tests kann ich machen?
Gruß und Dank, Ulrich
Ohne Prüfung mit einer aktuellen version von unhide_rb würde ich auf "False Positive" tippen. Das Problem mit unhide_rb in openSUSE / SUSE ist, das es eine mehr als drei Jahre alte Version ist. Aktuell: Revision 22 (2013-01-17) http://bazaar.launchpad.net/~walles/unhide.rb/trunk/revision/22 openSUSE: Revision 12 (2011-03-20) Überblick: http://bazaar.launchpad.net/~walles/unhide.rb/trunk/changes SUSE OBS: https://build.opensuse.org/package/show?project=security&package=unhide_rb Spec-File: https://build.opensuse.org/package/view_file/security/unhide_rb/unhide_rb.sp... Trick zum Selbst-Behelf: Gehe zu: http://bazaar.launchpad.net/~walles/unhide.rb/trunk/view/head:/unhide.rb Hol Dir die Datei mit "download file". Dann entweder die alte /usr/bin/unhide.rb mit der neuen ersetzen, oder die alte umbenennen und die neue rein kopieren. "chmod +x /usr/bin/unhide.rb" nicht vergessen. - Yamaban.
Hallo Yamaban, hallo Leute, Am Dienstag, 5. Mai 2015 schrieb Yamaban:
Das Problem mit unhide_rb in openSUSE / SUSE ist, das es eine mehr als drei Jahre alte Version ist.
Aktuell: Revision 22 (2013-01-17) http://bazaar.launchpad.net/~walles/unhide.rb/trunk/revision/22
openSUSE: Revision 12 (2011-03-20)
Trick zum Selbst-Behelf:
Kann ich Dich dazu überreden, einen "ordentlichen" Behelf für alle zu machen und das openSUSE-Paket upzudaten? ;-) Die Kurzfassung ist: - osc bco security unhide_rb - gewünschte Änderungen vornehmen, ggf. osc add / osc rm - mit osc vc einen Eintrag ins Changelog schreiben - osc commit - osc sr Danach musst Du nur noch warten, bis das geänderte Paket akzeptiert wird. Da der ursprüngliche Maintainer AFAIK nicht mehr aktiv ist, kann es evtl. etwas dauern, bis einer der anderen Leute im security-Projekt die Änderung annimmt. Bei Bedarf helfe ich gern beim Update des Pakets - frag einfach, wenn irgendwas unklar ist ;-) BTW: osc fragt bei der ersten Verwendung nach Zugangsdaten - das sind genau die, die Du auch fürs Wiki, Bugzilla etc. verwendest. Gruß Christian Boltz --
Was soll mir diese Frage eigentlich sagen? Wenn es dir etwas hätte sagen sollte, wäre es eine Sage und keine Frage. ;-) [> Christian Boltz und Ratti]
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (3)
-
Christian Boltz
-
Ulrich Hiller
-
Yamaban