私はFedora 20を実行していますが、今日私のホームディレクトリで非常に疑わしいファイルを見つけました。ファイル名はbase64でエンコードされた文字列のように見えますが、意味のある内容にはデコードされません。
n5LJFcZz+8slfpALAFzHk8msAh9vsDCiYwKvzw8uAirPE00Jq9HqTSvlT9ChhjZtA==
ファイルの内容は次のとおりです。
私が見ているものについてのアイデアはありますか?私のコンピュータでrkhunterを実行したいのですが、追加する必要がありますか?
更新:このファイルは、このコンピュータの唯一のユーザーであるマイユーザー名の所有です。
$ stat n5LJFcZz+8slfpALAFzHk8msAh9vsDCiYwKvzw8uAirPE00Jq9HqTSvlT9ChhjZtA== File: ‘n5LJFcZz+8slfpALAFzHk8msAh9vsDCiYwKvzw8uAirPE00Jq9HqTSvlT9ChhjZtA==’ Size: 888 Blocks: 8 IO Block: 4096 regular file Device: fd05h/64773d Inode: 3021277 Links: 1 Access: (0664/-rw-rw-r--) Uid: ( 1000/mvandemar) Gid: ( 1000/mvandemar) Context: unconfined_u:object_r:user_home_t:s0 Access: 2014-07-23 12:51:37.316782678 -0400 Modify: 2014-05-28 18:25:21.362568805 -0400 Change: 2014-05-28 18:25:21.364568810 -0400 Birth: -
2ヶ月前に私が何をしていたのかわかりません。lsof
まったく出力がありません。sshd
htopを介して次のコマンドを表示できますが、私のコンピュータでは機能しません(最後のsshを介したログインも表示されません)。
/usr/bin/ssh-agent /bin/sh -c exec -l /bin/bash -c "cinnamon-session-cinnamon"
私が何を探すべきかはよくわかりません。
答え1
これがセキュリティの脆弱性を示す可能性はほとんどありません。正しく実装されていないマルウェアは、ドットファイルを使用してある程度密かに動作する可能性があります。よりよく実装されたマルウェアは、ファイルが表示されないようにカーネルにパッチを適用して自分自身を隠します。
一般的な説明は、誤って>
その文字と対応するテキストを含む行を端末に貼り付けたということです。>
ファイル名の後に出力リダイレクトが続くため、その端末で実行されているシェルはファイルを生成します。その行に異なる内容がある場合、または他の行がある場合、シェルは多数の構文エラーについて不平を言う可能性があり、数ヶ月以内にそのイベントを忘れてしまいます。
ファイル名は次のようにエンコードされます。Base64。ブロックの最後の部分(=
最後に提供)で、開始部分がありません。 Base64でエンコードされたデータの複数行があり、行の先頭に連続または>
引用符が含まれています。
ファイルの内容を表示し、貼り付けた内容の手がかりを提供できます。しかし、それは問題ではありません。ファイルを削除してください。
答え2
次のコマンドを使用して、どのプロセスがファイルを生成しているかを判断できますlsof
。
lsof n5LJFcZz+8slfpALAFzHk8msAh9vsDCiYwKvzw8uAirPE00Jq9HqTSvlT9ChhjZtA==1
より強力なツールは、inotify
ディレクトリ内の特定のファイルの生成を監視できることです。
見てファイルを生成するプロセスの確認より多くの情報を知りたいです。