我跑chkroot, rkhunter,并没有透露。
我跑去unhide brute,
它揭示了一个隐藏的PID
所以我ps aux | grep ^PID ps aux | grep ^PID
但没有出现。
我再次unhide brute ,而且什么都没有。
几秒钟后,我再次unhide brute ,并有一个新的PID。
我该怎么办 ? 我应该关心…?
如果这是从http://www.security-projects.com/ 2009-08-10(testing版)取消隐藏,它不一定是任何犯规。
快速查看暴力检查的源代码,似乎存在一个竞争条件。
它看起来像蛮力扫描将叉进程,并试图触摸整个PID空间,完成后,试图触摸所有可能的pids,然后将通过整个列表,并为每个PID没有'触摸它将运行一个ps对该pid,并检查它是否存在。 问题是,在brute-fork扫描期间或者在brute-fork扫描中ps等其他漏洞期间,有足够的时间让合法进程退出,然后将其列为隐藏。
尝试使用OSSEC rootcheck进行testing。 检测rootkit比这两个工具更好。 链接: http : //www.ossec.net/rootcheck/