/usr/local/src/ 中名为“0”的未知二进制文件

tag-icon tag-icon server permissions security
/usr/local/src/ 中名为“0”的未知二进制文件

我今天正在清理我的服务器,在目录中发现了一个文件/usr/local/src/

File Attributes:
Name: 0
Size: 975MBs
Type: Binary (I tried to cat the file)
Location: /usr/local/src/

权限:

-rw-r--r--  1 root root 1005054631 Nov 19  2000 0

我还尝试检查该文件是否被任何进程使用

fuser 0

但什么也没返回。

我没有手动添加此文件。我不知道该文件是如何在服务器中创建的。服务器是否被感染,还是 Ubuntu 会自动写入此类文件?

我如何检查该文件是如何创建的以及该文件在那里做什么?

# 尝试 binwalk 命令检查文件,以下是输出。 
DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
168065817     0xA047B19       MySQL ISAM compressed data file Version 5
220920175     0xD2AF96F       IMG0 (VxWorks) header, size: 1088485285
304382083     0x12248083      MySQL ISAM index file Version 7
358147067     0x1558E3FB      MySQL ISAM index file Version 8
362565535     0x159C4F9F      MySQL ISAM compressed data file Version 2
487768270     0x1D12C0CE      COBALT boot rom data (Flat boot rom or file system)
529883861     0x1F9562D5      rzip compressed data - version 112.123 (-1629463256 bytes)
718008653     0x2ACBF14D      MySQL MISAM compressed data file Version 1
778034453     0x2E5FDD15      MySQL ISAM compressed data file Version 4
778229381     0x2E62D685      MySQL MISAM index file Version 10
784771028     0x2EC6A7D4      MySQL MISAM compressed data file Version 10

答案1

通常该目录是空的,因为它用于安装本地软件源:/usr/local/由系统管理员保留用于本地安装的软件,因此我们可能无法告诉您。您需要询问您的系统管理员(如果是您...)。

我认为将其移除是无害的。

od -c 0

将显示文件内的 ASCII 字符。也许结果可以告诉你它来自哪里。

编辑评论:

由于该文件似乎是一个 ISO,因此如何安装它?

sudo mkdir /media/0
sudo mount -o loop /usr/local/src/0 /media/0
cd /media/0
ls

和卸载:

sudo umount /media/0

答案2

尽管它不能替代file实用程序,但您通常可以使用以下命令获取有关二进制文件的更多信息binwalk(哪个希尔德雷德在其他地方建议)这对于大型档案和磁盘映像尤其有用。

Ubuntu 没有binwalk安装该命令,因此您必须安装它:

sudo apt update
sudo apt install binwalk

然后在你的文件上运行它:

binwalk /usr/local/src/0

或者如果您已经cd进入该/usr/local/src目录,您可以直接运行:

binwalk 0

binwalk命令通常会显示足够的信息来判断文件是什么。有时输出很长,可能需要很长时间。您可以使用Ctrl+中断它C

有时它没有帮助,什么也没有告诉你。有时你会从中获得比 更多的信息filebinwalk但特别是对于作为其他文件容器的文件,例如存档(通常命名为.tar.zip和的文件.7z)、软件包(命名为.deb.rpm.msi、可执行存档,如.run文件)甚至.exe安装 Windows 程序的文件,以及您可能希望命名为.iso.img.dmg,你通常会得到有用的输出。

binwalk接受多个命令行选项来控制其行为。请参阅man binwalk。不过,大多数情况下您不必使用它们——只需将您感兴趣的文件传递给它即可。

另外一个选择专门用于 ISO 映像,如果你不想安装binwalk或只是想从另一个角度查看 ISO 映像,它很有用,它是isoinfo公用事业。

isoinfo使用有点奇怪的语法 - 要从文件读取(另一个选项是光盘驱动器),您需要标志-i,您必须始终传递标志来指定您想要什么样的信息,并且 - 与大多数 Unix 命令不同 - 标志不能在同一个之后组合在一起-

  • isoinfo -f -i filename并列出 ISO 内的文件,可以是按层次组织的文件名和元数据列表(,如),也可以是完整路径列表(,如)。isoinfo -l -i filename-lls -R-ffind
  • isoinfo -d -i filename显示适用于整个 ISO 映像的元数据,并从其主卷描述符中读取。

还有其他选项,但你可能主要使用这两个,尤其是当你只是想弄清楚你的 ISO 映像的用途和来源时。有关更多信息,请参阅man isoinfo

相关内容