[linux] rkhunter: suspicious shared memory segment?
Bart-Jan Vrielink
bartjan op vrielink.net
Di Mrt 13 13:55:55 CET 2018
Hans,
We hebben het hier over shared memory. ps is dan niet je eerste tool, maar kijk bijvoorbeeld eens naar de output van lsipc -m
CPID en LPID zijn interessante kolommen. Die eerste geeft het PID aan welke de shared memory heeft aangemaakt, de LPID is de laatste die hem heeft gebruikt.
Ik gok dat rkhunter de CPID info gebruikt, en dat die processen inderdaad niet meer draaien.
-----Original message-----
From: paai <j.j.paijmans op gmail.com>
Sent: Tuesday 13th March 2018 9:06
To: linux <linux op lists.nllgg.nl>
Subject: [linux] rkhunter: suspicious shared memory segment?
Na de update van Kubuntu 17.10 krijgt rkhunter het hippeleflippus:
Warning: The following suspicious shared memory segments have been found:
Process: /usr/lib/firefox/firefox PID: 1951 Owner: paai
Process: /usr/bin/systemsettings5 PID: 1969 Owner: paai
Process: /usr/lib/firefox/firefox PID: 1951 Owner: paai
Process: /usr/lib/thunderbird/thunderbird PID: 1886 Owner: paai
Process: /usr/lib/thunderbird/thunderbird PID: 1886 Owner: paai
Process: /usr/NX/bin/nxnode.bin PID: 2282 Owner: paai
Process: /usr/NX/bin/nxnode.bin PID: 2282 Owner: paai
Thunderbird en Firefox komen met ps ax niet tevoorschijn en zijn op die machine dan ook niet gestart.
/usr/bin/systemsettings5 en /usr/NX/bin/nxnode.bin wel.
rkhunter heeft in mijn ervaring nog al eens last van false positives.
------------- volgend deel ------------
Een HTML-bijlage is gescrubt...
URL: <https://lists.nllgg.nl/pipermail/linux/attachments/20180313/686e5a85/attachment.html>
Meer informatie over de Linux
maillijst