Недавно поставил небезызвестного «Свободомыслящего Суриката» на компьютер. Копаясь в его внутренностях, в /usr/lib/ я обнаружил папку с довольно странным именем rtkit. Внутри лежал экзешник (простите, привык так называть) с именем rtkit-daemon. «И что же это такое? — подумал я. — Разработчики вирусов настолько обнаглели, что называют вещи своими именами, размещают в папке, которую можно легко увидеть, да ещё и в комплекте поставки дистрибутива?!»
Так в чем же дело? Вирус это? Руткит? Ответ: Нет! И сейчас мы в этом убедимся.
Выясняем в каком пакете rtkit-daemon:
$ dpkg -S rtkit-daemon rtkit: /usr/lib/rtkit/rtkit-daemon
Что это за пакет (http://packages.ubuntu.com/ru/lucid/rtkit):
$ apt-cache -v show rtkit Package: rtkit Priority: optional Section: admin Installed-Size: 188 Maintainer: Luke Yelavich <themuso@ubuntu.com> Architecture: i386 Version: 0.6-0ubuntu1 Depends: libc6 (>= 2.7), libcap2 (>= 2.10), libdbus-1-3 (>= 1.0.2), adduser Filename: pool/main/r/rtkit/rtkit_0.6-0ubuntu1_i386.deb Size: 30316 MD5sum: 3c312ec1d79d059f9638585ad2edeab3 SHA1: 3aa2fec98a32bc9662c9431141afff097b49025d SHA256: 02f7bee3a8f105fd162e5d8323c23858e750ea0788e8d93d440a8e61e70902c2 Description: Realtime Policy and Watchdog Daemon RealtimeKit is a D-Bus system service that changes the scheduling policy of user processes/threads to SCHED_RR (i.e. realtime scheduling mode) on request. It is intended to be used as a secure mechanism to allow real-time scheduling to be used by normal user processes. Bugs: https://bugs.launchpad.net/ubuntu/+filebug Origin: Ubuntu Supported: 3y Task: ubuntu-desktop, edubuntu-desktop, xubuntu-desktop, ubuntu-netbook
Смотрим откуда он был установлен:
$ apt-cache policy rtkit
rtkit:
Установлен: 0.6-0ubuntu1
Кандидат: 0.6-0ubuntu1
Таблица версий:
*** 0.6-0ubuntu1 0
500 http://mirror.yandex.ru/ubuntu/ lucid/main Packages
500 http://ru.archive.ubuntu.com/ubuntu/ lucid/main Packages
100 /var/lib/dpkg/status
Смотрим кто тянет его за собой:
$ apt-cache rdepends rtkit rtkit Reverse Depends: pulseaudio pulseaudio
Убеждаемся, что pulseaudio установлен:
$ dpkg -s pulseaudio | grep Status Status: install ok installed
И конечно-же ни кто не мешает погуглить и убедиться, что пакет rtkit действительно существует и он вполне безобидный. Так же ни кто не мешает проверить файл /usr/lib/rtkit/rtkit-daemon на вшивость, например, на VirusTotal.
PS: Чем же эта история меня повергла в шок?
1. Что IT happens допустил публикацию этого бреда. Неужели не понятно, какую панику это может навести на новичков (в первую очередь) в мире пингвиноводов?
2. Поведением аффтара истории. Неужели было так трудно проверить и убедиться, что это никакой не руткит?
Информация с сайта http://angel2s2.blogspot.com/.
Согласен, пипец полнейший. Истории провокации там и раньше были, но это как-то слишком уже. Ведь не все поймут, что это крик о помощи человека, которого забанил собственный мозг). IThappens скатывается в уг
ОтветитьУдалитьДа, так оно, к сожалению, и есть :(
ОтветитьУдалитьОтправил на хеппенс провокацию этой истории...
идиотизм. сейчас тоже прочитал.. экзешник, мать его
ОтветитьУдалитьПрочитал на IT happens, стало интересно что за демон такой, за что отвечает (понимал, что никакой это не руткит, но любопытно), сам не на Убунте, поэтому полез в гугл. Что могу сказать - оперативное и доступное объяснение, молодец.
ОтветитьУдалитьДействительно не приятно, когда такой сайт, как IT happens позволяет себе подобную чушь.
rtkit-daemon, а также и другие rtkit есть не только в убунте.
ОтветитьУдалитьЧеловек с экзешником в голове, а также итхэппенс действительно больны, похоже...
зато представляете, коллеги, сколько народу кинулось гуглить этот несчастный "рвнабор" и узнавать, что в их системе есть очередная хорошая штука :)
ОтветитьУдалитьЭтточно. Я догуглился досюда.
ОтветитьУдалитьСпасибо за разъяснения, тоже пришел сюда с IT Happens :)
ОтветитьУдалитьДрузья, спасибо за отзывы :)
ОтветитьУдалитьРад, что время потраченное на разбор полетов и написание поста не пропало зря :)
Да, как заметил один из гостей, rtkit не только в убунте есть, но и вдругих дистрибутивах, например, в Fedora.
Не переживайте.
ОтветитьУдалить"Человек! Помоги себе сам!" Л.В.Бетховен...
Такие, как он, сами себе навредят, а нормальные - полезут сначала ман почитать.
тема происхождения файла не раскрыта, что он делает то?
ОтветитьУдалитьButt, а словечко pulseaudio там рядышком ни о чём не говорит, не?..
ОтветитьУдалитьЛадно, если см гуглем проблема.
rtkit - RealtimeKit. Это кого смущает сокращение.
Кому интересно больше узнать, жмём сюда: http://opennet.ru/openforum/vsluhforumID3/56288.html#1
Вдогонку: Да, на опеннете, конечно, о пульсаудио отзывы не очень. Ну так то было год назад. А сейчас лично я его не выкидываю уже, работает, и отлично.
ОтветитьУдалитьОпередили :)
ОтветитьУдалитьИ действительно, это утилитка как раз для пульса, что хорошо написано в описании пакета (ссылка на описание в статье приведена - http://packages.ubuntu.com/ru/lucid/rtkit). Процитирую:
«RealtimeKit is a D-Bus system service that changes the scheduling policy of user processes/threads to SCHED_RR (i.e. realtime scheduling mode) on request. It is intended to be used as a secure mechanism to allow real-time scheduling to be used by normal user processes.»
Спасибо за статью, сам не убунтовод, для интереса нагуглил.
ОтветитьУдалитьПлохо что все истории на itHappens анонимные, а то трудно было бы найти работу тому админу после этиъ перлов :-)
ОтветитьУдалитьтак и рекламный банерок касперского рядышком...)
ОтветитьУдалитьНе, я не рекламирую каспера :) Скорее всего в виджете "BlogUpp" справа выскочило.
ОтветитьУдалитьУ меня история чуть отличается - я тупо увидел его в выводе ps и полез гуглить, какой петросян назвал так своё творение и что именно он так назвал. Пульса́ значит, понятненько, спасибо... пульсу́ вообще странные ребята пишут ⢍⣀⡩
ОтветитьУдалитьПохоже вы с убунту-форума пришли :) Очень прияно :)
ОтветитьУдалитьЧто ж у вас так жёпки рвет? Посмотрите копирайты trollface.jpg
ОтветитьУдалитьЗдравствуй, жирный-жирный троль!
ОтветитьУдалитьЯ кого-то тролил здесь? Вы ошиблись дверью Roman Shagrov.
ОтветитьУдалитьВо всяком случае, ваш пред.коммент не имеет никакого отношения к теме поста. А все, что не имеет отношения к теме поста, является троллингом. По крайней мере для меня.
ОтветитьУдалитьпочему этоу статью забанили в гугле как вредоносный? И фоксик утверждает то же самое
ОтветитьУдалитьСпасибо. Не уследил. Это было из-за рекламы (уже убрал и больше никогда не поставлю). Фактического заражения ни разу не было (только для мобильных браузеров, предлагает оперу поставить).
ОтветитьУдалитьНаписал гуглу, скоро должны убрать бан.
Учитесь понимать иронию) А вообще статья оказалась полезна как небольшое руководство по поиску информации о пакетах в системе, спасибо
ОтветитьУдалитьПодумайте сами, сколько новичков могли "перепугаться"? Перед собой я ставил только одну цель - объяснить им, что ничего страшного в этом пакете нет, что он безобиден.
ОтветитьУдалитьИ да, как вы заметили, за что вам отдельное спасибо :), заодно и руководство состряпал. Два в одном ;)
Автор - красавец!
ОтветитьУдалитьРаскатал по полкам.
Спасибо :)
ОтветитьУдалитьДык это ж шутка небось со стороны it happens.
ОтветитьУдалитьШутка шуткой... А новички пугаются.
ОтветитьУдалитьА это история из разряда про "жучёк" в процессах WinXP, которую я лет 5-6 назад где-то вычитал. Ток там речь шла о Java™ Update Checker - jucheck.exe. Забавное название для русского уха %).
ОтветитьУдалитьАвтору спасибо за полезную и подробную статью! ;)
Ахахах ))) А действительно ведь! Я что-то даже и не обращал на это внимание :-D
ОтветитьУдалитьВот из свеженького, еще один пациент: http://ithappens.ru/story/11905
ОтветитьУдалитьЭто даже и близко не пациент... Тупая, скрытая реклама форточек...
ОтветитьУдалить