我正在运行 Fedora 20,今天我在我的主目录中发现了一个看起来非常可疑的文件。文件名似乎是一个 base64 编码的字符串,但不会解码为任何有意义的内容:
n5LJFcZz+8slfpALAFzHk8msAh9vsDCiYwKvzw8uAirPE00Jq9HqTSvlT9ChhjZtA==
文件的内容在这里:
对我在看什么有什么想法吗?我要在我的机器上运行 rkhunter,我还应该做什么吗?
更新:该文件由我的用户名拥有,这是这台机器上的唯一用户:
$ stat n5LJFcZz+8slfpALAFzHk8msAh9vsDCiYwKvzw8uAirPE00Jq9HqTSvlT9ChhjZtA== File: ‘n5LJFcZz+8slfpALAFzHk8msAh9vsDCiYwKvzw8uAirPE00Jq9HqTSvlT9ChhjZtA==’ Size: 888 Blocks: 8 IO Block: 4096 regular file Device: fd05h/64773d Inode: 3021277 Links: 1 Access: (0664/-rw-rw-r--) Uid: ( 1000/mvandemar) Gid: ( 1000/mvandemar) Context: unconfined_u:object_r:user_home_t:s0 Access: 2014-07-23 12:51:37.316782678 -0400 Modify: 2014-05-28 18:25:21.362568805 -0400 Change: 2014-05-28 18:25:21.364568810 -0400 Birth: -
我不知道两个月前我当时在做什么。lsof根本没有输出。sshd没有在我的机器上运行(我也没有看到任何通过最后的 ssh 登录),尽管我确实通过 htop 看到了这个命令:
/usr/bin/ssh-agent /bin/sh -c exec -l /bin/bash -c "cinnamon-session-cinnamon"
不知道我还应该寻找什么。
答案1
这极不可能代表安全漏洞。实施不当的恶意软件会使用点文件进行一定程度的隐秘操作。更好地实现的恶意软件会通过修补内核来隐藏自己,这样就不会出现任何文件。
常见的解释是您不小心>在终端中粘贴了包含该字符的行,后跟该文本。这导致在该终端中运行的 shell 创建该文件,因为>文件名后面是输出重定向。如果该行上还有其他内容,或者有其他行,shell 可能会抱怨许多语法错误,而在几个月后您已经忘记了这一事件。
文件名被编码为Base64。它是一个块的最后一部分(=在末尾给出),其开头丢失。可能有多行 Base64 编码的数据,在行>的开头作为延续或引用字符。
您可以查看文件的内容,它可能会为您提供有关粘贴内容的线索。但这不太可能很重要。只需删除该文件即可。
答案2
您可以尝试使用以下命令找出哪个进程正在创建该文件lsof:
lsof n5LJFcZz+8slfpALAFzHk8msAh9vsDCiYwKvzw8uAirPE00Jq9HqTSvlT9ChhjZtA==1
一个更强大的工具是inotify它可以监视目录中特定文件的创建。
看一眼确定哪个进程正在创建文件了解更多信息。