Ist das eine Art Malware?

593
scott8035

Ich lief chkrootkitauf meinem Linux-Mint-System und beschwerte sich über mehrere Prozesse wie diesen:

Scott 31745 0,0 0,3 1206060 120352? Sl Oct03 0:15 / usr / share / atom / atom - type = renderer --enable-experimental-web-platform-features --keine sandbox --service-pipe-token = 2CF17518423016539EFC7319BDF1BA74 --lang = de-DE --app-path = / usr / share / atom / resources / app.asar --node-integration = true --webview-tag = true --no-sandbox --context-id = 2 --enable-pinch - -num-raster-thread = 4 --enable-main-frame vor der Aktivierung - content-image-texture-target = 0,0,3553; 0,1,3553; 0,2,3553; 0,3 3553; 0,4,3553; 0,5,3553; 0,6,3553; 0,7,3553; 0,8,3553; 0,9,3553; 0,10,3553; 0,11,3553 0,12,3553; 0,13,3553; 0,14,3553; 0,15,3553; 0,16,3553; 0,17,3553; 1,0,3553; 1,1,3553; 1 2,3553; 1,3,3553; 1,4,3553; 1,5,3553; 1,6,3553; 1,7,3553; 1,8,3553; 1,9,3553; 1,10 3553; 1,11,3553; 1,12,3553; 1,13,3553; 1,14,3553; 1,15,3553; 1,16,3553; 1,17,3553; 2,0,3553 2,1,3553; 2,2,3553; 2,3,3553; 2,4,3553; 2,5,3553; 2,6,3553; 2.

Ist der Shellcode oder etwas Unheilvolles, worüber ich mir Sorgen machen muss? Der Grund, warum ich frage, ist, dass ich chkrootkitbei anderen Gelegenheiten nicht 100% ig genau war. Zum Beispiel sagt es mir, dass meine tcpdinfiziert ist, und ich habe das nicht einmal installiert.

0
Die Heuristiken von Tools wie "rkhunter" und "chkrootkit" generieren bekanntermaßen eine Menge falsch positiver Ergebnisse und sind nicht sehr nützlich für die Erkennung von Rootkits, wenn sie von demselben System ausgeführt werden, das sie scannen. dsstorefile1 vor 5 Jahren 0

1 Antwort auf die Frage

3
grawity

Dies ist der Atom- Texteditor. Es basiert auf dem Electron-Framework und Electron selbst verwendet eine Variante des Chrome-Browsers als Frontend. Die sehr lange Befehlszeile ist typisch für die Multiprozess-Architektur von Chrome.

Wenn chkrootkit Ihnen nicht erklärt, warum das Programm ungewöhnlich war, und wenn Sie tatsächlich den Atom-Editor verwenden, ignorieren Sie einfach die Warnung.

Auf der anderen Seite, wenn Sie nicht über Atom verwenden, besser herauszufinden, was verarbeitet es ist - überprüfen /proc/31745/exe, /proc/31745/fd/und so weiter.