Come rintracciare e rimuovere il malware Mac che sta chiamando? [duplicare]

3

Little Snitch richiama periodicamente una finestra di dialogo che dice:

Il terminale via nodo vuole accettare una connessione in entrata da X sulla porta 3000 (remoteware-cl).

X sono IP diversi nell'Europa orientale. Una scansione completa del sistema Sophos non ha rilevato il malware. Posso determinare quale processo sta aprendo la connessione con lsof -i tcp:3000 . Una volta ottenuto il pid, come posso determinare il modo in cui è iniziato il processo e come rimuovere ciò che lo avvia / impedirne il riavvio?

    
posta John 12.08.2015 - 17:43
fonte

2 risposte

2

ps l [pid] elencherà, tra le altre cose, "ID processo genitore" ( PPID ) del processo. (Se il processo genitore è uscito, però, che le informazioni sono andate perse e il PPID sarà 1.) ps eww [pid] elencherà le sue variabili d'ambiente, che potrebbero dare un suggerimento da dove proviene.

Sei sicuro che si tratti di malware e non di un comportamento imprevisto di qualcosa che stai facendo di proposito? Accade anche se non stai usando Terminal.app?

    
risposta data 14.08.2015 - 11:49
fonte
1

(Questo è solo un complemento della risposta corretta da Wim Lewis .)

Una volta ottenuto il pid del processo sospetto, qui ci sono alcuni comandi a aiutarvi ad analizzare cosa potrebbe fare questo processo. Supponiamo che tu abbia memorizzato questo pid nella variabile _pid .

  • lsof -p ${_pid}

    ti fornirà tutti i file aperti ora

  • opensnoop ${_pid}

    ti mostrerà tutti i file durante questo processo in esecuzione

Con questi percorsi di file sarai in grado di accertarti abbastanza rapidamente se questo è un programma legittimo o meno.

Se la contabilità di sistema è attivata sul tuo sistema, lastcomm ti fornirà anche quali processi sono stati eseguiti prima di questo sospetto. Inoltre lastcomm ti mostrerà se uno di questi processi consentiva l'escalation di un privilegio (guarda il S flag). Sfortunatamente, lastcomm non fornisce gli argomenti passati a un programma né al suo ambiente ( *argv , *envp ).

    
risposta data 14.08.2015 - 14:35
fonte

Leggi altre domande sui tag