Forum: PC Hard- und Software Wie kann man Mining-Malware erkennen?


von Uhu U. (uhu)


Lesenswert?

Ich stelle in letzter Zeit immer mal wieder fest, dass FF 59.0.2 
(64-bit) meinen 4-Kerner unter Linux über lange Zeit mächtig belastet. 
Das Maximum waren mal 80% Gesamtlast und eben gerade waren 3 Kerne zu je 
40% ausgelastet.

Ich habe üblicherweise 3 Fenster von FF offen und darin bis zu 20 TABs.

Ich versuche in solchen Hochlast-Situationen der Reihe nach TABs zu 
schließen, um zu sehen, welche Auswirkung das auf die Last hat und muss 
feststellen, dass es nichts bringt. Der Spuk hat erst ein Ende, wenn man 
FF komplett abschießt und neu startet.

Falls sich da Miner eingeschlichen haben - Vektoren dürten Werbung sein, 
die man nicht überall aussperren kann - was kann man tun, um den 
Übeltäter zu erkennen?

von Schreiber (Gast)


Lesenswert?

Uhu U. schrieb:
> Ich versuche in solchen Hochlast-Situationen der Reihe nach TABs zu
> schließen, um zu sehen, welche Auswirkung das auf die Last hat und muss
> feststellen, dass es nichts bringt. Der Spuk hat erst ein Ende, wenn man
> FF komplett abschießt und neu startet.

Bekannte firefox-Krankheit.
Das macht der auch so und ohne Malware.

Uhu U. schrieb:
> Falls sich da Miner eingeschlichen haben - Vektoren dürten Werbung sein,
> die man nicht überall aussperren kann - was kann man tun, um den
> Übeltäter zu erkennen?

Alle Tabs einzeln nacheinander schließen und die CPU-Auslastung 
beobachten.

von Uhu U. (uhu)


Lesenswert?

Schreiber schrieb:
> Das macht der auch so und ohne Malware.

Die alte Version war da ganz groß drin, mit der neuen hat es sich aber 
deutlich gebessert.

von Horst (Gast)


Lesenswert?

Uhu U. schrieb:
> Schreiber schrieb:
>> Das macht der auch so und ohne Malware.
>
> Die alte Version war da ganz groß drin, mit der neuen hat es sich aber
> deutlich gebessert.

Und mit der allerneuesten ist es wieder schlimm geworden.
Das Fenster in dem grad ein Youtube-Video läuft greift sich gerne mal 
5-7GB.
Nach abschießen des Prozesses ist wieder alles normal. Bis dann mal ein 
anderes Fenster anfängt.

von Uhu U. (uhu)


Lesenswert?

Speicher ist nicht, was mich juckt und vermutlich brauchen 
Mining-Trojaner auch eher wenig Speicher.

von michael_ (Gast)


Lesenswert?

In der letzten c't ist darüber ein Artikel drin.

von bluppdidupp (Gast)


Lesenswert?

Zwar eher abseits, aber vllt. trotzdem interessant: In Chrome gibt es 
einen integrierten Taskmanager (SHIFT+ESC)

von Uhu U. (uhu)


Lesenswert?

Das war ein guter Tipp - auf Chromuim habe ich dieselbe Problematik.

von oszi40 (Gast)


Lesenswert?

Uhu U. schrieb:
> was kann man tun, um den Übeltäter zu erkennen?

Abgesehen von FF-Fehlfunktionen, es könnte ja z.B. einer bei Dir 
Bitcoins rechnen? War das Deine Frage? Da würde ich erst mal alle Tabs 
bis auf den EINEN schließen und den Netzverkehr etwas genauer ansehen 
und evtl. blockieren.

von Kommandozeile vor dem Frühstück für Alle! (Gast)


Lesenswert?

> Alle Tabs einzeln nacheinander schließen und die CPU-Auslastung
> beobachten.

Unsystematisches im Nebel stochern? Nein Danke.
1
$ top
zeigt an wer wieviel CPU beansprucht. Danach ein beherztes
1
$ kill -TERM $PID
an die sinnvollen Kandidaten "Web Content" o.Ä. jedoch NICHT 
".../firefox"

Interessante Beobachtung: FF-Tabs mit Ergebnisse der Google-Bildersuche 
sind unscheinbar "statisch" anzusehen, belegen aber auffällig CPU. Nach 
o.g. Behandlung zeigt das FF-Tab dann zwar eine "Fehlermeldung" als 
Seiteninhalt, das stört jedoch kaum solange das Tab m Hintergrund weilt.

Schlussfolgerung: es ist nicht FF sondern der Seiteninhalt der CPU 
belegt.
Womit? Mit JavaScript, welches so designt ist im Hintergrund weiter zu 
laufen.
--> JavaScript abwählen.

von Chris R. (hownottobeseen)


Lesenswert?

bluppdidupp schrieb:
> Zwar eher abseits, aber vllt. trotzdem interessant: In Chrome gibt es
> einen integrierten Taskmanager (SHIFT+ESC)

...und in Firefox kannst du über die Seite
1
about:performance
 nach Übeltätern suchen.

Schönen Sonntag,
Chris

Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.