有人能解释一下这种奇怪的活动吗?

tag-icon tag-icon linux
有人能解释一下这种奇怪的活动吗?

我对 Linux 还很陌生,所以我还没有学会如何使用日志文件。

我整晚都开着笔记本电脑,今天早上回来时发现我的主目录中有一个奇怪的文件夹。我不记得在下午 3 点离开前一整天都在那里看到过它,但它显示它是在上午 9:55 创建的。

File: '栯浯⽥敭档捡睯ⸯ慣档⽥敷止瑩椯潣摮瑡扡獡e'
  Size: 4096        Blocks: 8          IO Block: 4096   directory
Device: 804h/2052d  Inode: 2231938     Links: 2
Access: (0700/drwx------)  Uid: ( 1000/mechacow)   Gid: ( 1000/mechacow)
Access: 2016-09-21 07:47:07.406956104 -0400
Modify: 2016-09-20 09:55:45.511971378 -0400
Change: 2016-09-21 07:47:02.826910157 -0400
 Birth: -

我决定调查一下,有人告诉我 /var/log/auth.log 可以帮助我。我发现一些奇怪的活动与日志的其余部分不同,这些活动发生在上次修改文件之前约 20 分钟。我对这些东西了解不够,不知道这意味着什么。

Sep 20 09:27:03 Lynxegon polkitd(authority=local): Operator of unix-session:c1 FAILED to authenticate to gain authorization for action org.nemo.root for unix-process:3530:2757 [nemo -n] (owned by unix-user:mechacow)
Sep 20 09:27:03 Lynxegon pkexec[10286]: mechacow: Error executing command as another user: Request dismissed [USER=root] [TTY=unknown] [CWD=/home/mechacow] [COMMAND=/usr/bin/nemo /home/mechacow/Desktop]
Sep 20 09:33:56 Lynxegon polkitd(authority=local): Operator of unix-session:c1 successfully authenticated as unix-user:mechacow to gain TEMPORARY authorization for action org.freedesktop.udisks2.open-device for system-bus-name::1.2366 [/usr/bin/gnome-disks --gapplication-service] (owned by unix-user:mechacow)
Sep 20 09:48:43 Lynxegon cinnamon-screensaver-dialog: gkr-pam: unlocked login keyring
Sep 20 09:48:56 Lynxegon gnome-screensaver-dialog: gkr-pam: unlocked login keyring

我猜想最后两行只是我回到电脑并从锁定屏幕登录时发生的,但这是我第一次发现我必须同时登录到 Cinnamon 锁定屏幕和我假设的默认 gnome 锁定屏幕。从那时起,我的锁定屏幕就一直表现得很奇怪,有时让我连续从两个锁定屏幕登录。我只是假设这是在 Ubuntu 上使用 Cinnamon 时出现的一些故障(我已经看到并修复了很多),但现在我不确定它们是否相关。

有人知道这里可能发生了什么吗?

编辑:我今天早上 7:35 登录之前,我的系统日志不包含任何内容

答案1

栯浯⽥敭档捡睯ⸯ慣档⽥敷止瑩椯潣摮瑡扡獡e是字符集混淆的一个例子——更具体地说,是 Unicode 编码混淆。一个程序将文件名保存为 UTF-8 [或 ASCII,就此而言],但在某些时候认为它有 UTF-16,并将名称转换为再次转换为 UTF-8。

如果你撤消该操作(通过使用工具将文本从 UTF-8 转换为 UTF-8 iconv),则会得到路径/home/mechacow/.cache/webkit/icondatabase,这看起来像是浏览器会使用的东西。

9 月 20 日 09:27:03 Lynxegon polkitd(authority=local):unix-session:c1 的操作员无法通过身份验证获取授权用于操作 org.nemo.root对于 unix-process:3530:2757 [nemo -n](由 unix-user:mechacow 拥有)

9 月 20 日 09:27:03 Lynxegon pkexec[10286]: mechacow: 以其他用户身份执行命令时出错:请求被驳回 [USER=root] [TTY=unknown] [CWD=/home/mechacow] [COMMAND=/usr/bin/nemo /home/mechacow/Desktop]

这则消息称,有人尝试使用文件管理器中的“以 Root 身份打开”选项,收到了管理员密码提示,但取消了它。

9 月 20 日 09:33:56 Lynxegon polkitd(authority=local):unix-session:c1 的操作员已成功通过 unix-user:mechacow 身份验证,获得临时授权用于操作 org.freedesktop.udisks2.open-device对于系统总线名称::1.2366 [/usr/bin/gnome 磁盘--gapplication-service](由 unix-user:mechacow 拥有)

这表示有人尝试使用 GNOME 磁盘实用程序中的“创建磁盘映像”或“从磁盘映像恢复”功能,并成功提供了管理员密码。

9 月 20 日 09:48:43 Lynxegon cinnamon-screensaver-dialog:gkr-pam:解锁登录密钥环

9 月 20 日 09:48:56 Lynxegon gnome-screensaver-dialog: gkr-pam: 解锁登录密钥环

这说明你实际上有两个“屏幕保护程序”正在运行。请尝试卸载其中一个,或者至少使用gnome-session-properties类似工具将其禁用。

相关内容