Завершить процесс изгоев «tor»

Question

У меня на машине работает процесс изгоев. Я использую Linux-машину. Я попытался найти pid этого процесса, используя lsof -i:9050 and lsof -i|grep 'tor'

Мне ничего не удалось найти. Ниже приведена ошибка:

May 09 22:57:15.981 [notice] Tor v0.2.3.25 (git-17c24b3118224d65) running on Linux. 
May 09 22:57:15.981 [notice] Tor can't help you if you use it wrong! Learn how to be safe at https://www.torproject.org/download/download#warning 
May 09 22:57:15.981 [notice] Read configuration file "/etc/tor/torrc". 
May 09 22:57:15.986 [warn] ControlPort is open, but no authentication method has been configured. This means that any program on your computer can reconfigure your Tor. That's bad! You should upgrade your Tor controller as soon as possible. 
May 09 22:57:15.986 [notice] Initialized libevent version 1.4.13-stable using method epoll. Good. 
May 09 22:57:15.986 [notice] Opening Socks listener on 127.0.0.1:9050 
May 09 22:57:15.986 [notice] Opening Control listener on 127.0.0.1:9051 
May 09 22:57:15.000 [warn] It looks like another Tor process is running with the same data directory. Waiting 5 seconds to see if it goes away. 
May 09 22:57:20.000 [err] No, it's still there. Exiting. 

Любая помощь очень ценится.

Answer 1

Как процесс мошенников попал в вашу систему? Вы установили его там, а потом забыли, где, или вас взломали? Если позже, пропустите следующий абзац.

Вы можете найти TCP-порты, которые прослушивают, и получить идентификатор процесса оттуда. Запустите netstat -anp и найдите для кого-то прослушивание соответствующего порта. Если вы не знаете, что такое порт, я предлагаю использовать сетевой сниффер (например, tcpdump или wireshark). Вышеприведенная команда, если она запускается от имени пользователя root, даст вам pid процесса прослушивания.

Если вы не можете найти порт там, или он там, но процесс по-прежнему не отображается на ps и убивает, тогда вполне вероятно, что вы были взломаны. Современные руткиты могут скрывать свои процессы и файлы, поэтому вы не можете получить к ним доступ, даже если знаете, где они. Если это так, не беспокойтесь об убийстве процесса. У вас большие проблемы.

Существует нет общего эффективного способа удаления руткита из взломанной системы. Ваш только хорошим курсом действий при этих обстоятельствах является переустановка системы. Кроме того, попробуйте найти, какая дверь была использована, чтобы взломать вас (как правило, устаревшую услугу) и закрыть ее.

Отредактировано для добавления netstat -anp будет работать, даже если вы не являетесь пользователем root. Вы увидите только PID вашего собственного пользователя, но этого, вероятно, достаточно для того, что вы пытаетесь сделать здесь.

Кроме того, если тор работает как побочный продукт чего-то вы делаете, то Трассирование может быть ваш друг: strace -e execve -f -o /tmp/trace будет выводить в/TMP/отслеживал execve Звонков вашего процесса и любой из его детей. Вы можете просто grep для tor there и посмотреть, что такое PID, и оттуда выяснить, как найти его в общем случае.

Answer 2

Возможно, вам понадобится root для запуска команд lsof, которые вы пытались использовать, поскольку Tor должен работать как другой пользователь, если ничего не возвращается.

Если Tor не ошибочно сообщает вам, что другой процесс уже запущен с одним и тем же каталогом данных, вы можете сделать несколько действий.

• Просто используйте существующий процесс Tor вместо того, чтобы самостоятельно (смотрите на /etc/tor/torrc для конфигурации деталей)
• Измените DataDirectory (и портов в случае необходимости) к чему-то еще, так что вы можете запускать их бок о бок

В журналах указано, что ControlPort открыт без аутентификации. Вы можете попробовать это, чтобы получить PID существующего процесса:

> telnet localhost 9051 
> AUTHENTICATE 
< 250 OK 
> GETINFO process/pid 
< 250-process/pid=2297 
< 250 OK