我的 Slackware Linux 系统配置了 ssh 远程访问。
在观察命令历史记录时,我发现我的 Linux 盒子“vftovp”执行了一个未知命令。我当然不记得输入过这样的内容。
我不确定我的盒子是否已被泄露?有人可以帮助我理解这个命令是什么以及这个命令如何进入我的历史记录。
答案1
长话短说:这可能只是一个打字错误。
长答案
快速搜索显示,弗托夫可以是 TeX 套件中的一个工具,用于将虚拟字体度量转换为虚拟属性列表。因此,原始工具无需担心。还剩下两个问题:
- 谁在您的机器上执行了这个工具?
- 你系统上的二进制文件真的是这个 TeX 工具吗?
谁在您的机器上执行了这个工具?
vf是一个非常常见的拼写错误cd。对我来说,它甚至很常见,我有vf一个别名,cd这样我就不必在输入错误时更正它。 (顺便说一句,同样适用mroe于more。是的,我是一个糟糕的打字员。)
我可以想象您要么键入vf后继而Tab不是cdSpaceTab查找要更改的目录。vftovp如果这是唯一匹配此前缀的可执行文件,则它可能会扩展为。或者您输入了vfEntershell 中的某些机制将您的输入“更正”为vftovp.您可以通过重复这些输入来轻松地自行检查。
你系统上的二进制文件真的是这个 TeX 工具吗?
对于第二个问题,您可以首先查看该可执行文件是否确实存在于您的系统上。使用bash,我会使用这个:
$ type vftovp
vftovp is /usr/bin/vftovp
然后,您应该验证该可执行文件或脚本是否是从发行版安装的原始文件。不幸的是,我无法帮助您使用 Slackware,但对于基于 Debian 的系统,我会用来dpkg -S找出安装该文件的软件包,然后debsums验证校验和:
$ dpkg -S /usr/bin/vftovp
texlive-binaries: /usr/bin/vftovp
$ debsums texlive-binaries | grep vftovp
/usr/bin/vftovp OK
/usr/share/man/man1/vftovp.1.gz OK
警告:如果您确实认为有人破坏了您的计算机,则不应依赖计算机本身提供的信息!用于验证校验和的二进制文件、外壳等也都可能受到损害。您应该将假设的受感染计算机的文件系统以只读方式安装在另一台计算机上,或者至少复制文件并在另一台计算机上测试它们。