[erledigt] seltsame HD Aktivität nach FF Start

longman · 10 Apr. 2010

Moin zusammen,

nach dem Start von FF bemerke ich schonmal extrem viel HD Aktivität und habe den Eindruck,
dass das gesamte System recht langsam ist. Ab und zu reagiert der FF auch nicht, sodass ich ihn killen muss.

Mein Kleinhirn schreit !Virus,Trojaner,KGB aber ich bin mir nicht sicher wie ich vorgehen soll,
um alle Möglichkeiten der Fehler/Virensuche auszuschöpfen.

Ich habe mein System mit avira und avg komplett gescannt und es wurde bis auf 2 zip-Anhänge im thunderbird
(die aber ungeöffnet im spam lagen) nichts gefunden. Ich bin mir jetzt nicht sicher, ob das für die Virenfreiheit schon ausreicht oder ob irgendein freak meinen PC kontrolliert und das rootkit sich gut tarnt bzw. versteckt.

Andererseits kann es auch ein Problem mit FF sein, der ja ab und zu Performanceprobleme hatte,
wobei ich mir aber dann die HD Aktivitäten nicht erklären kann. Hardware schliesse ich zur Zeit als Quelle aus.

Opera läuft dagegen überaus flott und zuverlässig.

Infos:

Code:

mozilla-xulrunner192-translations-common-1.9.2.0-2.1
mozilla-xulrunner192-1.9.2.0-2.1
mozilla-xulrunner192-gnome-1.9.2.0-2.1
MozillaFirefox-3.6.0-1.2
MozillaFirefox-theme-oxygen-1.4.92-10.1
MozillaFirefox-branding-upstream-3.6.0-1.2
MozillaFirefox-translations-common-3.6.0-1.2

Qt: 3.3.8b
KDE: 3.5.10 "release 21.12.1"
kde-config: 1.0

- Qt: 4.6.2
- KDE Development Platform: 4.4.2 (KDE 4.4.2) "release 238"
- kde4-config: 1.0
wird normalerweise nicht benutzt

about:plugins
application/x-vmware-vmrc;version=2.5.0.122581 	VMware Remote Console Plug-in 		
application/x-vmware-vmrc;version=2.5.0.0 	        VMware Remote Console Plug-in 		
Shockwave Flash    Datei: libflashplayer.so               Version:     Shockwave Flash 10.0 r45
application/x-shockwave-flash 	                        Shockwave Flash 	swf 	
application/futuresplash 	                                FutureSplash Player 	spl

aktive Repos
http://nopaste.info/1a32999fa6.html

Was würdet ihr jetzt unternehmen ?
Macht es Sinn alles Mozillamäßige zu de- und wieder installieren ?

gropiuskalle · 10 Apr. 2010

Du mutmaßt übermäßige Festplattenaktivität, schau doch mal mit sowohl 'top' als auch 'iotop' (ggf. nachinstallieren, damit prüft man I/O-Vorgänge), was nach dem Start so abläuft. Ggf. vielleicht auch mal gleichzeitig die /var/log/messages auslesen lassen.

Code:

tail -f /var/log/messages

Mit avira und dergleichen kann man nur nach Win-Viren scannen, rootkits und ähnliches mit Linux als Angriffsziel werden von solchen tools nicht erfasst. Dafür würde sich eher z.B. rkhunter oder chkrootkit eignen.

Grundsätzlich scheint mir das Verhalten jetzt aber nicht typisch für einen Angriff, sondern eher auf eine Inkompatibilität von irgendwelchen addons oder so was hinzuweisen, deswegen würde ich erst mal mit einem neuen Profil schauen, ob das Ganze wirklich auf FF selbst zurückzuführen ist.

longman · 15 Apr. 2010

Okay, es war in der Tat keine Attacke.
rkhunter und chkrootkit haben nichts gefunden.
Bislang bin ich dem Übeltäter noch nicht auf die Schliche gekommen,
aber ich denke man kann trotzdem den thread schliessen.

gropiuskalle · 16 Apr. 2010

Solange nichts gelöst ist... was sagt denn 'iotop' beim FF-Start?

longman · 19 Apr. 2010

Ich habe das jetzt mal nachgeschaut, aber bislang keine übermäßige HD Aktivität
gehabt und iotop hat auch keine Auffälligkeiten gezeigt.

Allerdings muss ich hinzufügen das ich vorher mit einem neuen Userprofile ,
d.h. neues .mozilla Verzeichnis angefangen habe.
Wenn ich also die nächste Zeit keine HD Besonderheiten feststelle, muss es wohl
an einer/igen Extension/Addons gelegen haben.

Danke trotzdem für den Tipp.

longman · 5 Mai 2010

Code:

su nobody -s /bin/sh -c /
usr/bin/find /       -type d \( -fstype nfs -o -fstype NFS -o -fstype nfs4 -o 
-f stype afs -o -fstype proc -o -fstype smbfs -o -fstype autofs -o -fstype iso9660
-o -fstype ncpfs -o -fstype coda -o -fstype devpts -o -fstype ftpfs -o -fstype devfs 
-o -fstype mfs -o -fstype sysfs -o -fstype shfs -o -fstype cifs -o -fstype
9P -o -regex '\(^/mnt$\)\|\(^/cdrom$\)\|\(^/tmp$\)\|\(^/usr/tmp$\)\|\(^/var/tmp$\)\|\(^/var/spool$\)\|\(^/proc$\)
\|\(^/media$\)\|\(^/sys$\)' \) -prune -o -print0 SHELL=/bin/sh MAILTO=root TMPDIR=/var/tmp USER=root PATH=/bin:
/usr/bin:/usr/bin PWD=/ HOME=/root SHLVL=4 LOGNAME=root LC_TIME=POSIX _=/bin/su OLDPWD=/

Hallo nochmal,
jetzt habe ich gerade wieder übermäßige HD Aktivität gehabt und mit iotop und ps den oben
angegeben find Befehl als Ursache gefunden. Doch wie kann der gestartet sein, wo ich in crontab nichts
stehen habe ? Welcher daemon oder welches Programm könnte den veranlassen ?
Könnte das von vmware kommen ?

Danke schonmal.

panamajo · 5 Mai 2010

longman schrieb:
jetzt habe ich gerade wieder übermäßige HD Aktivität gehabt und mit iotop und ps den oben
angegeben find Befehl als Ursache gefunden

Ganz normal der Indixierungslauf von locate. Wenns dir nicht gefällt deinstalliere findutils-locate

longman · 5 Mai 2010

Ich danke dir.

Hätte ich eine Chance das anhand der angegebenen Daten (iotop,ps) selbst rauszifinden ?
Ich habe nicht gesehen, dass irgendwas irgendwohin geschrieben wurde und wie steuern
die findutils den Zeitpunkt des Suchvorgangs ?
Mir wäre wohler das selber angeben zu können, wann indexiert wird.

panamajo · 5 Mai 2010

longman schrieb:
Ich habe nicht gesehen, dass irgendwas irgendwohin geschrieben wurde und wie steuern
die findutils den Zeitpunkt des Suchvorgangs ?

Normalerweise 15min nach Systemstart, lässt sich in /etc/sysconfig/cron in der Variablen DAILY_TIME einstellen.