我正在(或曾经)运行 Ubuntu 14.04.05。
我注意到,当您检查带有 的目录时,许多标题为 simply的文件出现在和=
上方,另一个名为 simply 的空文件分布在文件系统中的文件夹中,但主要在我的文件夹及其子目录中。我可以使用 删除inode 。但是,我无法删除该文件,使用我能找到的任何删除带有特殊字符的文件名的技术,也无法识别不断替换它们的过程。.
..
ls -al
0
/home/user/
0
find . -inum $inode_of_equal_sign -exec rm {} \;
=
lsof
我无法使用或stat
或file
或任何其他实用程序来统计大多数文件,因为can't stat /run/users/1000/gvfs
如果我卸载它,它会被重新安装,我总是收到错误。它似乎也归 UID 所有999
,即 ubuntu live setup 用户。我查看了设备文件夹,似乎/dev/fuse
归所有root:pulseaudio
,并且拒绝保持删除或解锁状态。这让我很震惊有点怀疑尽量轻描淡写,因为这是我的开发机器,我已经剥离了所有不必要的包和服务,包括所有音频和打印机包、配置文件和内核模块。该pulseaudio
组还拥有系统其他部分的几个文件/文件夹。我已经追溯到systemd
,据我所知,它只启动已经由 upstart 启动的进程。中的配置文件/etc/systemd
几乎都是指向 的符号链接/lib/systemd
,我systemd
从 upstart 中删除了 ,重新启动,但看起来systemd
或者不管这实际上是什么,实际上是由 启动的PID 2
,D-Bus
... 不太确定该怎么做,以前从未在 D-bus 中手动配置过任何东西。然后注意到和.so
中的几个文件,其名称看起来像是用 制作的。其中很多是二进制文件,但 mimetype 与共享对象配置文件不匹配,其中很多是符号链接到内核库中的共享对象文件的。还有一个文件夹,里面有一把 perl 脚本,我猜我们可以称之为“非标准”网络实用程序,还有一些我没有检查的二进制文件。这些神秘文件中有一些原来只是包含与此相关的进程 PID 的简单文本文件... 我不知道,秘密功能?未记录的守护进程?由 systemd 加载。/var/lib/systemd
/lib/systemd/
mktemp
/lib/xtables
(我觉得可以肯定地说,我不再是这个系统的所有者了,也许我现在只是借用它)我发现所有可疑文件都是在大约同一时间创建的。4 月 19 日 3:33。所以我开始挖掘当时创建的文件。它们似乎都不对劲。找到了一个,我忘了是哪一个,但它有 inode 的?
字符、它的所有权限属性、它的大小等。当你用它查看时,ls -ial
我发现我的目录中有相当多的奇怪的混乱,终端因意外cat
输入一些二进制文件而变得疯狂,图形故障等。但那对我来说是新问题。
无论如何,我想知道是否有人见过这个。这是一个自我补充的套接字、符号链接和文件系统,以锁定/dev/fuse
为中心/run/user/<Your UID>/gvfs
,似乎创建了一种gvfs
锁定到用户 ID 的镜像。它在硬盘中重新安装后仍然存在,甚至阻止了一些dd if=/dev/urandom of=/dev/sda
从活动磁盘对其进行的尝试。我还注意到0
USB 驱动器上的文件,我目光短浅地将其连接起来以尝试保存我的工作(我确实这样做了)。它将文件的组所有权分配给常见的组(即 pulseaudio、alsa,但不一定在 /etc/groups 中)。阅读我安装的实时光盘的源代码,似乎有一些 perl 脚本设置了启动/安装事件的钩子,以加载与启动文件夹中的 efi 文件不同的文件。但这可能是安全启动的一部分。我不确定。我正在下载其他几个 ubuntu 副本和一些其他发行版来与我保存的这个进行比较,但没有免费的隔离机器可以用作隔离区或“洁净室”。
我只是想知道是否有其他使用 ubuntu 的人以前见过这种行为,以及这个东西是否已经有名字了。或者...你知道...如果这是操作系统的隐藏功能...我该如何禁用它。
[更新:]我发现了这个:https://unix.stackexchange.com/questions/77453/why-cannot-find-read-run-user-1000-gvfs-even-though-it-is-running-as-root#77592
这解释了为什么无法以 root 身份统计我关注的对象。但是,我仍然无法解释为什么=
&会被锁定并归属于系统,因为系统上没有 pulseaudio 的踪迹,包括 中的列表。0
/dev/fuse
root:pulseaudio
/etc/group
答案1
我从来没有在我的任何 Linux 系统上看到过这样的事情(已经涉足多年,运行 Linux 五年,运行 Ubuntu 三年)。
话虽如此,这与各种 Windows 恶意软件的行为非常相似。如果您可以在装有 Ubuntu(而不是 Live)的闪存驱动器上安装 ClamAV,则可能会改善这种情况,但更可靠的方法是在另一台(干净的)计算机上写入 Live USB 并从中启动,然后重新安装您的操作系统(并擦除您的 /home)。是的,这会丢失您存储的所有信息 - 但正如您所说,您不再拥有这台计算机,并且借给您的人可以随时撤销它,已经拥有他们想要的任何信息,并且可以在未经通知的情况下从您那里拿走它;实际上,它已经消失了。
尝试将文本文档、照片等内容复制到另一个介质,然后从 Live 介质启动检查该介质以检查这些“关闭”的文件可能是值得的——但我会感到惊讶,如果您系统中存在的任何内容没有植入到您的备份介质上,那么在清洁系统后将该介质安装到系统上是不安全的。
答案2
因此,我运行了一个挂载文件系统的脚本,并进入该文件系统进行更改,然后将其重新编译为 ISO。我尝试使用一些花哨的三元运算符而不是 if 语句,因为它会使冗长和日志级别调整变得非常简单。(这个项目是我练习/通过 ABSG 的借口,而不是为了工作。)
因此,由于我的疏忽,在正常测试条件下起作用的方法在变量不满足条件时不起作用。我记不清它是如何工作的,但它是这样的:
(( "$verbosity" >= "1" ))
并且,由于 $verbosity 在案例中必须为空,并且我正在使用 proc、sys、dev 进行 chrooting,没有像 LXC(D|FS) 或虚拟盒或 docker 这样的网络,所以它会写入我运行脚本的任何目录中的""
文件。=
脸部。手掌。
当你 chroot 我的朋友时,使用虚拟化系统资源。