Система Orphus
[]

понедельник, 1 ноября 2010 г.

rtkit (rtkit-daemon) в linux != rootkit

Только что прочитал на IT happens историю, которая меня повергла в шок... Процитирую:
Недавно поставил небезызвестного «Свободомыслящего Суриката» на компьютер. Копаясь в его внутренностях, в /usr/lib/ я обнаружил папку с довольно странным именем rtkit. Внутри лежал экзешник (простите, привык так называть) с именем rtkit-daemon. «И что же это такое? — подумал я. — Разработчики вирусов настолько обнаглели, что называют вещи своими именами, размещают в папке, которую можно легко увидеть, да ещё и в комплекте поставки дистрибутива?!»

Так в чем же дело? Вирус это? Руткит? Ответ: Нет! И сейчас мы в этом убедимся.


Выясняем в каком пакете rtkit-daemon:
$ dpkg -S rtkit-daemon
rtkit: /usr/lib/rtkit/rtkit-daemon

Что это за пакет (http://packages.ubuntu.com/ru/lucid/rtkit):
$ apt-cache -v show rtkit
Package: rtkit
Priority: optional
Section: admin
Installed-Size: 188
Maintainer: Luke Yelavich <themuso@ubuntu.com>
Architecture: i386
Version: 0.6-0ubuntu1
Depends: libc6 (>= 2.7), libcap2 (>= 2.10), libdbus-1-3 (>= 1.0.2), adduser
Filename: pool/main/r/rtkit/rtkit_0.6-0ubuntu1_i386.deb
Size: 30316
MD5sum: 3c312ec1d79d059f9638585ad2edeab3
SHA1: 3aa2fec98a32bc9662c9431141afff097b49025d
SHA256: 02f7bee3a8f105fd162e5d8323c23858e750ea0788e8d93d440a8e61e70902c2
Description: Realtime Policy and Watchdog Daemon
 RealtimeKit is a D-Bus system service that changes the
 scheduling policy of user processes/threads to SCHED_RR
 (i.e. realtime scheduling mode) on request. It is intended to
 be used as a secure mechanism to allow real-time scheduling to
 be used by normal user processes.
Bugs: https://bugs.launchpad.net/ubuntu/+filebug
Origin: Ubuntu
Supported: 3y
Task: ubuntu-desktop, edubuntu-desktop, xubuntu-desktop, ubuntu-netbook

Смотрим откуда он был установлен:
$ apt-cache policy rtkit
rtkit:
  Установлен: 0.6-0ubuntu1
  Кандидат: 0.6-0ubuntu1
  Таблица версий:
 *** 0.6-0ubuntu1 0
        500 http://mirror.yandex.ru/ubuntu/ lucid/main Packages
        500 http://ru.archive.ubuntu.com/ubuntu/ lucid/main Packages
        100 /var/lib/dpkg/status

Смотрим кто тянет его за собой:
$ apt-cache rdepends rtkit
rtkit
Reverse Depends:
  pulseaudio
  pulseaudio

Убеждаемся, что pulseaudio установлен:
$ dpkg -s pulseaudio | grep Status
Status: install ok installed

И конечно-же ни кто не мешает погуглить и убедиться, что пакет rtkit действительно существует и он вполне безобидный. Так же ни кто не мешает проверить файл /usr/lib/rtkit/rtkit-daemon на вшивость, например, на VirusTotal.


PS: Чем же эта история меня повергла в шок?
1. Что IT happens допустил публикацию этого бреда. Неужели не понятно, какую панику это может навести на новичков (в первую очередь) в мире пингвиноводов?
2. Поведением аффтара истории. Неужели было так трудно проверить и убедиться, что это никакой не руткит?





Информация с сайта http://angel2s2.blogspot.com/.

Похожие статьи

37 коммент.:

Анонимный комментирует... понедельник, 1 ноября 2010 г., 23:38:00 GMT+2

Согласен, пипец полнейший. Истории провокации там и раньше были, но это как-то слишком уже. Ведь не все поймут, что это крик о помощи человека, которого забанил собственный мозг). IThappens скатывается в уг

Angel2S2 комментирует... вторник, 2 ноября 2010 г., 0:17:00 GMT+2

Да, так оно, к сожалению, и есть :(

Отправил на хеппенс провокацию этой истории...

vvzvlad комментирует... вторник, 2 ноября 2010 г., 2:34:00 GMT+2

идиотизм. сейчас тоже прочитал.. экзешник, мать его

Анонимный комментирует... вторник, 2 ноября 2010 г., 4:55:00 GMT+2

Прочитал на IT happens, стало интересно что за демон такой, за что отвечает (понимал, что никакой это не руткит, но любопытно), сам не на Убунте, поэтому полез в гугл. Что могу сказать - оперативное и доступное объяснение, молодец.
Действительно не приятно, когда такой сайт, как IT happens позволяет себе подобную чушь.

Анонимный комментирует... вторник, 2 ноября 2010 г., 5:46:00 GMT+2

rtkit-daemon, а также и другие rtkit есть не только в убунте.
Человек с экзешником в голове, а также итхэппенс действительно больны, похоже...

Troublemaker комментирует... вторник, 2 ноября 2010 г., 6:39:00 GMT+2

зато представляете, коллеги, сколько народу кинулось гуглить этот несчастный "рвнабор" и узнавать, что в их системе есть очередная хорошая штука :)

alchemist-fxi комментирует... вторник, 2 ноября 2010 г., 7:11:00 GMT+2

Этточно. Я догуглился досюда.

Анонимный комментирует... вторник, 2 ноября 2010 г., 11:46:00 GMT+2

Спасибо за разъяснения, тоже пришел сюда с IT Happens :)

Angel2S2 комментирует... вторник, 2 ноября 2010 г., 11:55:00 GMT+2

Друзья, спасибо за отзывы :)
Рад, что время потраченное на разбор полетов и написание поста не пропало зря :)

Да, как заметил один из гостей, rtkit не только в убунте есть, но и вдругих дистрибутивах, например, в Fedora.

Анонимный комментирует... вторник, 2 ноября 2010 г., 14:17:00 GMT+2

Не переживайте.
"Человек! Помоги себе сам!" Л.В.Бетховен...
Такие, как он, сами себе навредят, а нормальные - полезут сначала ман почитать.

Butt комментирует... вторник, 2 ноября 2010 г., 16:10:00 GMT+2

тема происхождения файла не раскрыта, что он делает то?

Анонимный комментирует... вторник, 2 ноября 2010 г., 16:29:00 GMT+2

Butt, а словечко pulseaudio там рядышком ни о чём не говорит, не?..
Ладно, если см гуглем проблема.
rtkit - RealtimeKit. Это кого смущает сокращение.
Кому интересно больше узнать, жмём сюда: http://opennet.ru/openforum/vsluhforumID3/56288.html#1

Анонимный комментирует... вторник, 2 ноября 2010 г., 16:31:00 GMT+2

Вдогонку: Да, на опеннете, конечно, о пульсаудио отзывы не очень. Ну так то было год назад. А сейчас лично я его не выкидываю уже, работает, и отлично.

Angel2S2 комментирует... вторник, 2 ноября 2010 г., 16:36:00 GMT+2

Опередили :)

И действительно, это утилитка как раз для пульса, что хорошо написано в описании пакета (ссылка на описание в статье приведена - http://packages.ubuntu.com/ru/lucid/rtkit). Процитирую:
«RealtimeKit is a D-Bus system service that changes the scheduling policy of user processes/threads to SCHED_RR (i.e. realtime scheduling mode) on request. It is intended to be used as a secure mechanism to allow real-time scheduling to be used by normal user processes.»

dillan комментирует... среда, 3 ноября 2010 г., 11:46:00 GMT+2

Спасибо за статью, сам не убунтовод, для интереса нагуглил.

acsell комментирует... воскресенье, 7 ноября 2010 г., 19:27:00 GMT+2

Плохо что все истории на itHappens анонимные, а то трудно было бы найти работу тому админу после этиъ перлов :-)

Николай комментирует... среда, 22 декабря 2010 г., 5:15:00 GMT+2

Вот что вытворяет паранойа! Я конечно бывает тоже очкую (что например объективно доказано тем, что я искал информацию по этому демону и нашел ;) но всё же аффтору следовало бы сначала погуглить для начала или отправить письмо разрабам.

Origamik комментирует... вторник, 8 февраля 2011 г., 21:07:00 GMT+2

так и рекламный банерок касперского рядышком...)

Angel2S2 комментирует... среда, 9 февраля 2011 г., 3:37:00 GMT+2

Не, я не рекламирую каспера :) Скорее всего в виджете "BlogUpp" справа выскочило.

Анонимный комментирует... воскресенье, 20 ноября 2011 г., 12:20:00 GMT+3

У меня история чуть отличается - я тупо увидел его в выводе ps и полез гуглить, какой петросян назвал так своё творение и что именно он так назвал. Пульса́ значит, понятненько, спасибо... пульсу́ вообще странные ребята пишут ⢍⣀⡩

Roman Shagrov комментирует... вторник, 21 февраля 2012 г., 9:54:00 GMT+3

Похоже вы с убунту-форума пришли :) Очень прияно :)

Анонимный комментирует... четверг, 21 июня 2012 г., 15:58:00 GMT+3

Что ж у вас так жёпки рвет? Посмотрите копирайты trollface.jpg

Roman Shagrov комментирует... пятница, 22 июня 2012 г., 9:22:00 GMT+3

Здравствуй, жирный-жирный троль!

Анонимный комментирует... воскресенье, 1 июля 2012 г., 21:57:00 GMT+3

Я кого-то тролил здесь? Вы ошиблись дверью Roman Shagrov.

Roman Shagrov комментирует... воскресенье, 1 июля 2012 г., 23:29:00 GMT+3

Во всяком случае, ваш пред.коммент не имеет никакого отношения к теме поста. А все, что не имеет отношения к теме поста, является троллингом. По крайней мере для меня.

Анонимный комментирует... понедельник, 26 ноября 2012 г., 22:16:00 GMT+3

почему этоу статью забанили в гугле как вредоносный? И фоксик утверждает то же самое

Roman Shagrov комментирует... вторник, 27 ноября 2012 г., 9:37:00 GMT+3

Спасибо. Не уследил. Это было из-за рекламы (уже убрал и больше никогда не поставлю). Фактического заражения ни разу не было (только для мобильных браузеров, предлагает оперу поставить).
Написал гуглу, скоро должны убрать бан.

Анонимный комментирует... пятница, 8 марта 2013 г., 15:33:00 GMT+3

Учитесь понимать иронию) А вообще статья оказалась полезна как небольшое руководство по поиску информации о пакетах в системе, спасибо

Roman Shagrov комментирует... пятница, 8 марта 2013 г., 15:40:00 GMT+3

Подумайте сами, сколько новичков могли "перепугаться"? Перед собой я ставил только одну цель - объяснить им, что ничего страшного в этом пакете нет, что он безобиден.
И да, как вы заметили, за что вам отдельное спасибо :), заодно и руководство состряпал. Два в одном ;)

Андрей комментирует... понедельник, 25 марта 2013 г., 11:25:00 GMT+3

Автор - красавец!
Раскатал по полкам.

Анонимный комментирует... четверг, 11 апреля 2013 г., 20:56:00 GMT+3

Дык это ж шутка небось со стороны it happens.

Roman Shagrov комментирует... пятница, 12 апреля 2013 г., 9:08:00 GMT+3

Шутка шуткой... А новички пугаются.

Анонимный комментирует... вторник, 8 октября 2013 г., 17:11:00 GMT+3

А это история из разряда про "жучёк" в процессах WinXP, которую я лет 5-6 назад где-то вычитал. Ток там речь шла о Java™ Update Checker - jucheck.exe. Забавное название для русского уха %).

Автору спасибо за полезную и подробную статью! ;)

Roman Shagrov комментирует... вторник, 8 октября 2013 г., 17:13:00 GMT+3

Ахахах ))) А действительно ведь! Я что-то даже и не обращал на это внимание :-D

Анонимный комментирует... вторник, 11 февраля 2014 г., 3:00:00 GMT+3

Вот из свеженького, еще один пациент: http://ithappens.ru/story/11905

Roman Shagrov комментирует... вторник, 11 февраля 2014 г., 8:56:00 GMT+3

Это даже и близко не пациент... Тупая, скрытая реклама форточек...

Отправить комментарий