这些进程中有一些可能是恶意的吗？

Question

我和我的另一半有时会妄想，通常与去年Gmail安全漏洞有关的外国政府可能试图访问我们的电脑。

今晚有许多奇怪的进程作为根运行，尽管我还没有打开任何根终端。能不能有人看看这些，告诉我，是或否，他们是否可疑，为什么或为什么不？

PID TTY          TIME CMD
    1 ?        00:00:01 init
    2 ?        00:00:00 kthreadd
    3 ?        00:00:01 ksoftirqd/0
    6 ?        00:00:00 migration/0
    7 ?        00:00:00 watchdog/0
   13 ?        00:00:00 cpuset
   14 ?        00:00:00 khelper
   15 ?        00:00:00 netns
   16 ?        00:00:00 sync_supers
   17 ?        00:00:00 bdi-default
   18 ?        00:00:00 kintegrityd
   19 ?        00:00:00 kblockd
   20 ?        00:00:00 kacpid
   21 ?        00:00:00 kacpi_notify
   22 ?        00:00:00 kacpi_hotplug
   23 ?        00:00:00 kseriod
   25 ?        00:00:00 kondemand
   26 ?        00:00:00 khungtaskd
   27 ?        00:00:03 kswapd0
   28 ?        00:00:00 ksmd
   29 ?        00:00:00 fsnotify_mark
   30 ?        00:00:00 aio
   31 ?        00:00:00 crypto
  163 ?        00:00:00 khubd
  164 ?        00:00:00 ata_sff
  165 ?        00:00:00 scsi_eh_0
  166 ?        00:00:00 scsi_eh_1
  199 ?        00:00:00 usbhid_resumer
  222 ?        00:00:00 kjournald
  271 ?        00:00:00 udevd
  442 ?        00:00:00 kpsmoused
  446 ?        00:00:36 net.agent
  450 ?        00:00:00 cfg80211
  471 ?        00:00:00 hd-audio0
  532 ?        00:00:36 net.agent
  751 ?        00:00:02 kjournald
  755 ?        00:00:00 kjournald
  756 ?        00:00:00 kjournald
  757 ?        00:00:01 kjournald
  801 ?        00:00:00 flush-8:0
 1035 ?        00:00:00 rsyslogd
 1089 ?        00:00:00 modem-manager
 1094 ?        00:00:01 polkitd
 1114 ?        00:00:02 wpa_supplicant
 1126 ?        00:00:00 gdm3
 1137 ?        00:00:00 gdm-simple-slav
 1141 tty7     00:20:11 Xorg
 1146 ?        00:00:07 acpid
 1169 ?        00:00:00 atd
 1195 ?        00:00:00 bluetoothd
 1209 ?        00:00:00 l2cap
 1212 ?        00:00:00 krfcommd
 1273 ?        00:00:00 cron
 1303 ?        00:00:00 cupsd
 1597 ?        00:00:07 kerneloops
 1627 ?        00:00:00 kconservative
 1631 ?        00:00:00 console-kit-dae
 1771 ?        00:00:00 sshd
 1800 tty1     00:00:00 getty
 1801 tty2     00:00:00 getty
 1802 tty3     00:00:00 getty
 1803 tty4     00:00:00 getty
 1804 tty5     00:00:00 getty
 1805 tty6     00:00:00 getty
 1852 ?        00:00:00 gdm-session-wor
 1857 ?        00:00:15 upowerd
 2017 ?        00:00:00 kauditd
 2172 ?        00:00:02 udisks-daemon
 2176 ?        00:00:00 udisks-daemon
 3038 ?        00:00:00 udevd
 3039 ?        00:00:00 udevd
 3251 ?        00:00:00 NetworkManager
 3440 ?        00:00:00 dhclient
 5322 ?        00:00:00 kworker/u:2
 6717 ?        00:00:00 sleep
 6720 ?        00:00:00 sleep
13386 ?        00:00:00 kworker/1:2
21237 ?        00:00:02 kworker/0:2
24297 ?        00:00:11 kworker/1:1
27326 ?        00:00:02 kworker/0:1
29045 ?        00:00:01 kworker/u:0
30132 ?        00:00:00 migration/1
30134 ?        00:00:00 ksoftirqd/1
30135 ?        00:00:00 watchdog/1
30238 ?        00:00:48 irq/19-0000:01:
31245 ?        00:00:00 kworker/u:1

Answer 1

基于进程名称评估进程是否恶意的想法至少已经过时了.(嗯，很长;)

假标志行动，有人吗？

1. 感染器可以很好地将恶意代码追加/插入到任何二进制文件中。
2. 恶意二进制文件很可能会在通常认为无害的东西的同名下出现，并且您的列表不知道二进制文件在文件系统中的位置或它们的文件位。例如，与这些进程之一对应的根拥有的setuid二进制文件至少应该被检查.
3. rootkit通常试图隐藏，所以它甚至不会出现在列表中。

这份清单并非详尽无遗。此外，运行具有超级用户权限的恶意代码的系统没有(技术)问题要对您撒谎。

至少需要离线分析。如果使用包管理器，则可以将预期位置的二进制文件与(签名的)包中的散列进行比较。总之，除了大量的脚本之外，这应该只留下一小部分二进制文件--实际二进制文件--供您检查。但是，即使对于脚本，包中的脚本也会附带一个散列，您可以根据该散列检查二进制文件。

Answer 2

我在野外遇到的唯一的rootkit (很久以前在Solaris 8下)确实运行了一个密码嗅探器，作为一个"lpsched“进程。问题是，它运行了其中的两个(rootkit中的bug)，并将它们运行在"man“说不是lpsched所在的目录中。此外，"ps“已被木马，以不显示额外的奇怪的lpsched进程，但顶部显示他们。

如果您真的很担心，请查看/proc中的所有PID。查看哪些/proc/$PID/exe链接，以查看可执行文件真正存在的位置。重复检查可执行文件应该在何处生存。在你找到的所有目录上尝试"ls“，看看"ls”是否显示了它们。"ls“不显示目录是一种死胡同，因为有些地方出了问题。

如果任何特定的进程看起来可疑，获取chkrootkit (http://www.chkrootkit.org/)和rootkit猎人(http://www.chkrootkit.org/)，并尝试他们是否找到任何东西。你必须意识到，一些rootkit漂浮在野外，但从来没有被纳入那些rootkit猎人。