• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

"kdeinit4"-Prozesse (openSUSE 12.3) - Malware - gelöst (?)

sme

Member
Hi allerseits,

ich beobachte seit ein paar Stunden ein seltsames Phänomen. Auf einer Standard-Installation von openSUSE 12.3 (KDE, alle Patches, sonst nichts außergewöhnliches) tauchen immer wieder mehr und mehr Prozesse auf, die jeweils einen ganzen CPU-Kern auslasten. Der KDE-Prozess-Manager listet sie als "exe" (sehr seltsam), andere Tools wie top, htop oder ps listen sie unter den gleichen PIDs als "kdeinit4". Sie brauchen nur etwa 160 kByte Arbeitsspeicher. Auf Terminierung reagieren sie nicht, nur auf ein direktes Kill-Kommando. In der Baumansicht des KDE-Prozess-Managers laufen sie direkt unter systemd.

An selbigen System ist schon seit mehren Woche nichts verändert worden, dh keine neue Software oder ähnliches. Neustarts bringen nichts. Nachdem man diese Teile killt, tauchen sie nach 15 bis 20 Minuten einfach immer und immer wieder auf und "vermehren" sich dann langsam ...

Ideen?

Grüße,
Sebastian

-----

(1.) Nachtrag

Es ist Malware. Ja, so was gibt es wirklich (wtf). Mehr Details wenn ich die Kiste sauber gemacht habe.

-----

(2.) Nachtrag

Bei dem Prozess handelt es sich nicht um kdeinit selbst, sondern eine etwa 36 kByte große ausführbare Datei, die in ~/.config/ liegt und sich in meinem Fall "kdeinit4" nennt. Sie wurde mit Rechten meines Benutzers ausgeführt. Selbst wenn kein Nutzer eingelogt war und xorg nicht lief, konnte sich der Prozess immer wieder selbst neu starten, wobei sich mir der Mechanismus nicht erschlossen hat. Gefunden habe ich die dazugehörige Datei, als ich mir den Inhalt von /proc/{PID}/map genauer angeschaut habe. Die md5-checksum selbiger Datei (76863b224ec903f21aec20bdf54afbef) bei Google eingegeben liefert einen Treffer:

http://r.virscan.org/report/e7798dbb9e8f2334aa43c67404c06f31

Eine genauere Beschreibung selbiger Malware habe ich dann hier gefunden:

http://linux.thaj.net63.net/2012/08/malware-linux.htm

Die beschriebenen Dateien in ~/bin/ waren bei mir nicht vorhanden. Die beschriebene ".tar"-Datei habe ich gefunden, die ".xz"-Datei nicht. "~/.checkfs" und "~/check-filesystem" gab es nicht. Im Ordner "~/.config" fanden sich noch drei Textdateien, die sich der Malware zuordnen ließen.

Ich habe alle Fragmente gesichert und per gdb den Arbeitsspeicher eines laufenden Prozesses gesichert. Falls sich das jemand aus der Nähe ansehen möchte ... PM an mich. Im Moment bügle ich einen Backup über das System, um es erstmal wieder arbeitsfähig zu bekommen.

-----

(3.) Nachtrag

Ich habe die root- und boot-Partitionen aus Backups rückgesichert (ext4 bzw. ext3). Alle fraglichen (erwähnten) Dateien im Home-Verzeichnis (auf separater Partition, ext4) habe ich gelöscht, selbiges aber sonst nicht verändert. Damit scheint das Problem unter Kontrolle zu sein.
 
Oben