我的系统上运行了一个流氓程序。我正在使用linux机器。我试图使用lsof -i:9050 and lsof -i|grep 'tor'
我无法找到任何内容。以下是引发的错误:
May 09 22:57:15.981 [notice] Tor v0.2.3.25 (git-17c24b3118224d65) running on Linux.
May 09 22:57:15.981 [notice] Tor can't help you if you use it wrong! Learn how to be safe at https://www.torproject.org/download/download#warning
May 09 22:57:15.981 [notice] Read configuration file "/etc/tor/torrc".
May 09 22:57:15.986 [warn] ControlPort is open, but no authentication method has been configured. This means that any program on your computer can reconfigure your Tor. That's bad! You should upgrade your Tor controller as soon as possible.
May 09 22:57:15.986 [notice] Initialized libevent version 1.4.13-stable using method epoll. Good.
May 09 22:57:15.986 [notice] Opening Socks listener on 127.0.0.1:9050
May 09 22:57:15.986 [notice] Opening Control listener on 127.0.0.1:9051
May 09 22:57:15.000 [warn] It looks like another Tor process is running with the same data directory. Waiting 5 seconds to see if it goes away.
May 09 22:57:20.000 [err] No, it's still there. Exiting.
非常感谢任何帮助。
答案 0 :(得分:2)
流氓过程如何进入您的系统?你在那里安装它然后忘了在哪里,或者你被黑了?如果是后者,请跳过下一段。
您可以搜索要侦听的TCP端口,并从那里获取进程ID。运行netstat -anp并搜索在相关端口上侦听的人。如果您不确定该端口是什么,我建议使用网络嗅探器(例如tcpdump或wireshark)。上面的命令,如果以root身份运行,将为您提供监听过程的pid。
如果你在那里找不到端口,或者它在那里,但是进程仍然没有显示在ps和kill上,那么很可能你被黑了。现代rootkit可以隐藏其进程和文件,因此即使您知道它们在哪里也无法访问它们。如果是这样,不要打扰杀死这个过程。你有更大的问题。
从受感染的系统中删除rootkit没有通用的有效方法。在这种情况下,您的仅良好的行动方案是重新安装系统。此外,尝试找到用于破解你的门(通常是过时服务)并关闭它。
已编辑添加
即使您不是root用户,netstat -anp也会有效。您只能看到自己用户的PID,但这可能足以满足您在此处所做的一切。
另外,如果tor作为你正在做的事情的副产品运行,那么strace可能是你的朋友:
strace -e execve -f -o /tmp/trace将输出/ tmp / trace您的进程及其任何子进程执行的任何execve调用。你可以在那里看看它是什么,看看PID是什么,并从那里找出如何在通用情况下找到它。
答案 1 :(得分:0)
您可能需要root才能运行您尝试过的lsof命令,因为如果没有任何内容返回,Tor必须以其他用户身份运行。
如果Tor没有错误地告诉您另一个进程已经在运行相同的数据目录,那么您可以做一些事情。
/etc/tor/torrc了解配置详情)DataDirectory(以及必要时的端口)更改为其他内容,以便您可以将它们并排运行它在日志中说ControlPort是打开的,没有身份验证。您可以尝试使用此方法获取现有流程的PID:
> telnet localhost 9051
> AUTHENTICATE
< 250 OK
> GETINFO process/pid
< 250-process/pid=2297
< 250 OK