有人获取了我的盒子的权限并执行了命令,救命!
dd if=/dev/urandom of=.huehuehue
这个命令起什么作用?
答案1
正如其他人所说,它用随机数据填充文件。
你可能会问,为什么攻击者想要这么做呢?
可能的原因是,通过用尽磁盘上的所有空间,它将覆盖任何包含已删除文件的数据块,从而掩盖其踪迹。
答案2
dd
i
是从输入f
文件复制并检查if
到o
输出f
文件的命令of
。
总的来说,该命令意味着将内容从输入文件(在本例中为/dev/random
伪随机数生成器)复制到名为的文件中.huehuehue
。
我个人认为这个问题与 Ubuntu 无关,但有人在这里问了这个问题。也许应该改成unix?
您可能还想尝试运行ps aux | grep dd
以查看进程是否仍在运行。获取进程号并kill
执行它。
如果这是真的,我希望不会造成其他损害。
答案3
它会通过读取伪随机数生成器并将其输出到名为“.huehuehue”的文件中来填充您的文件系统。这很有趣。
现在可能已经运行完毕。只需删除该文件即可。
sudo find / -name .huehuehue -print -delete
如果您的机器被 root 了,您将需要清除驱动器并重新安装。进行取证工作以证明他们没有添加某些 rootkit 或定时炸弹比重新安装需要更长的时间。