Завершить процесс мошенничества

В моей системе запущен процесс-мошенник. Я использую Linux-машину. Я попытался найти pid этого процесса, используя lsof -i:9050 and lsof -i|grep 'tor'

Я не смог ничего найти на нем. Ниже выдается ошибка:

May 09 22:57:15.981 [notice] Tor v0.2.3.25 (git-17c24b3118224d65) running on Linux.
May 09 22:57:15.981 [notice] Tor can't help you if you use it wrong! Learn how to be safe at https://www.torproject.org/download/download#warning
May 09 22:57:15.981 [notice] Read configuration file "/etc/tor/torrc".
May 09 22:57:15.986 [warn] ControlPort is open, but no authentication method has been configured.  This means that any program on your computer can reconfigure your Tor.  That's bad!  You should upgrade your Tor controller as soon as possible.
May 09 22:57:15.986 [notice] Initialized libevent version 1.4.13-stable using method epoll. Good.
May 09 22:57:15.986 [notice] Opening Socks listener on 127.0.0.1:9050
May 09 22:57:15.986 [notice] Opening Control listener on 127.0.0.1:9051
May 09 22:57:15.000 [warn] It looks like another Tor process is running with the same data directory.  Waiting 5 seconds to see if it goes away.
May 09 22:57:20.000 [err] No, it's still there.  Exiting.

Любая помощь горячо приветствуется.


linux networking tor kill-process
person Anil Pediredla    schedule 10.05.2016    source источник

Ответы (2)


arrow_upward
2
arrow_downward

Как процесс-мошенник попал в вашу систему? Вы его тут же установили, а потом забыли куда, или вас взломали? Если позже, пропустите следующий абзац.

Вы можете найти TCP-порты, которые прослушивает tor, и получить оттуда идентификатор процесса. Запустите netstat -anp и найдите того, кто слушает соответствующий порт. Если вы не уверены, что это за порт, я предлагаю использовать сетевой анализатор (например, tcpdump или wireshark). Приведенная выше команда, если запускается от имени пользователя root, даст вам pid процесса прослушивания.

Если вы не можете найти порт там или он есть, но процесс по-прежнему не отображается в ps и kill, то, скорее всего, вас взломали. Современные руткиты могут скрывать свои процессы и файлы, так что вы не можете получить к ним доступ, даже если знаете, где они находятся. Если так, то не стоит убивать процесс. У тебя проблемы посерьезнее.

Не существует универсального эффективного способа удаления руткита из скомпрометированной системы. Ваш единственный правильный курс действий в таких обстоятельствах - переустановить систему. Кроме того, попробуйте найти, какая дверь использовалась для взлома (обычно это устаревшая услуга), и закройте ее.

Отредактировано для добавления netstat -anp будет работать, даже если вы не являетесь пользователем root. Вы будете видеть только PID вашего собственного пользователя, но этого, вероятно, достаточно для того, что вы пытаетесь сделать здесь.

Кроме того, если tor работает как побочный продукт того, что вы делаете, тогда strace может быть вашим другом: strace -e execve -f -o /tmp/trace будет выводить в / tmp / trace все вызовы execve, сделанные вашим процессом и любым из его дочерних процессов. Вы можете просто ввести tor и посмотреть, что такое PID, и оттуда выяснить, как его найти в общем случае.

person Shachar Shemesh    schedule 10.05.2016
comment
Я пытаюсь запустить программу, использующую службу Tor. Хост - это общедоступная система в моей библиотеке. Я уточню у администратора, сможет ли он прекратить мошеннический процесс. - person Anil Pediredla; 10.05.2016

arrow_upward
0
arrow_downward

Вероятно, вам нужно быть root, чтобы запускать lsof команды, которые вы пробовали, потому что Tor должен работать от имени другого пользователя, если ничего не возвращается.

Если Tor ошибочно не сообщает вам, что другой процесс уже запущен с тем же каталогом данных, вы можете сделать несколько вещей.

  • Просто используйте существующий процесс Tor вместо того, чтобы запускать свой собственный (подробности конфигурации см. В /etc/tor/torrc)
  • Измените свой DataDirectory (и порты, если необходимо) на что-нибудь другое, чтобы вы могли запускать их бок о бок

В журналах указано, что ControlPort открыт без аутентификации. Вы можете попробовать это, чтобы получить PID существующего процесса:

> telnet localhost 9051
> AUTHENTICATE
< 250 OK
> GETINFO process/pid
< 250-process/pid=2297
< 250 OK
person drew010    schedule 10.05.2016
comment
Я использовал sudo для lsof. Я понял, в чем была моя проблема. Был пользователь nologin, который запускал tor. Я перезапускаю его с помощью /etc/init.d/tor - person Anil Pediredla; 10.05.2016