

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"><html>


<head>


  <meta name="Generator" content="Zarafa WebApp v7.1.11-46050">


  <meta http-equiv="Content-Type" content="text/html; charset=utf-8">


  <title>RE: [linux] rkhunter: suspicious shared memory segment?</title>


</head>


<body>


<p style="padding: 0; margin: 0;"><span style="font-family: tahoma; font-size: 12pt;">Hans,<br /></span></p>


<p style="padding: 0; margin: 0;"><span style="font-family: tahoma; font-size: 12pt;"><br /></span></p>


<p style="padding: 0; margin: 0;"><span style="font-family: tahoma; font-size: 12pt;">We hebben het hier over shared memory. ps is dan niet je eerste tool, maar kijk bijvoorbeeld eens naar de output van lsipc -m<br /></span></p>


<p style="padding: 0; margin: 0;"><span style="font-family: tahoma; font-size: 12pt;"><br /></span></p>


<p style="padding: 0; margin: 0;"><span style="font-family: tahoma; font-size: 12pt;">CPID en LPID zijn interessante kolommen. Die eerste geeft het PID aan welke de shared memory heeft aangemaakt, de LPID is de laatste die hem heeft gebruikt.<br /></span></p>


<p style="padding: 0; margin: 0;"><span style="font-family: tahoma; font-size: 12pt;">Ik gok dat rkhunter de CPID info gebruikt, en dat die processen inderdaad niet meer draaien.<br /></span></p>


<p style="padding: 0; margin: 0;"><span style="font-family: tahoma; font-size: 12pt;"><br /></span></p>


<p style="padding: 0; margin: 0;"><span style="font-family: tahoma; font-size: 12pt;"><br /></span></p>


<div>


<blockquote style="border-left: 2px solid #325FBA; padding-left: 5px; margin: 0px 5px;"><span style="font-family: tahoma,arial,helvetica,sans-serif; font-size: 10pt;">-----Original message-----<br /><span><strong>From:</strong> paai <j.j.paijmans@gmail.com></span><br /><span><strong>Sent:</strong> Tuesday 13th March 2018 9:06</span><br /><span><strong>To:</strong> linux <linux@lists.nllgg.nl></span><br /><span><strong>Subject:</strong> [linux] rkhunter: suspicious shared memory segment?</span><br /><br /></span>


<div>


<pre style="white-space: pre-wrap; word-wrap: break-word;">Na de update van Kubuntu 17.10 krijgt rkhunter het hippeleflippus:<br /><br />Warning: The following suspicious shared memory segments have been found:<br />          Process: /usr/lib/firefox/firefox    PID: 1951    Owner: paai<br />          Process: /usr/bin/systemsettings5    PID: 1969    Owner: paai<br />          Process: /usr/lib/firefox/firefox    PID: 1951    Owner: paai<br />          Process: /usr/lib/thunderbird/thunderbird    PID: 1886    Owner: paai<br />          Process: /usr/lib/thunderbird/thunderbird    PID: 1886    Owner: paai<br />          Process: /usr/NX/bin/nxnode.bin    PID: 2282    Owner: paai<br />          Process: /usr/NX/bin/nxnode.bin    PID: 2282    Owner: paai<br /><br />Thunderbird en Firefox komen met ps ax niet tevoorschijn en zijn op die machine dan ook niet gestart.<br />/usr/bin/systemsettings5  en /usr/NX/bin/nxnode.bin wel.<br /><br />  <br />rkhunter heeft in mijn ervaring nog al eens last van false positives.<br /><br /><br /><br /></pre>


</div>


</blockquote>


</div>


</body>


</html>