On Tue, 5 May 2015 11:08, Ulrich Hiller
Hallo,
nach einem Lauf mit 'unhide' bekomme ich häufig solche Meldungen:
Found HIDDEN PID: 30784 Cmdline: "<none>" Executable: "<no link>" "<none> ... maybe a transitory process"
Bei einem weiteren unhide-Lauf (sofort danach gestartet) scheint der Prozess weg zu sein. Auch sonst ist der nicht in (z.B. in /proc) auffindbar (rkhunter und chkrootkit finden auch nichts).
Ich würde gerne sicher sein, dass das ein "false positive" ist. Hat jemand eine Idee wie ich da weiter debuggen kann was dahinter steckt? Was für weitere Tests kann ich machen?
Gruß und Dank, Ulrich
Ohne Prüfung mit einer aktuellen version von unhide_rb würde ich auf "False Positive" tippen. Das Problem mit unhide_rb in openSUSE / SUSE ist, das es eine mehr als drei Jahre alte Version ist. Aktuell: Revision 22 (2013-01-17) http://bazaar.launchpad.net/~walles/unhide.rb/trunk/revision/22 openSUSE: Revision 12 (2011-03-20) Überblick: http://bazaar.launchpad.net/~walles/unhide.rb/trunk/changes SUSE OBS: https://build.opensuse.org/package/show?project=security&package=unhide_rb Spec-File: https://build.opensuse.org/package/view_file/security/unhide_rb/unhide_rb.sp... Trick zum Selbst-Behelf: Gehe zu: http://bazaar.launchpad.net/~walles/unhide.rb/trunk/view/head:/unhide.rb Hol Dir die Datei mit "download file". Dann entweder die alte /usr/bin/unhide.rb mit der neuen ersetzen, oder die alte umbenennen und die neue rein kopieren. "chmod +x /usr/bin/unhide.rb" nicht vergessen. - Yamaban.