我的 /boot/grub/grubenv 文件中确实存在奇怪和令人不安的东西......恶意软件/广告软件?

我的 /boot/grub/grubenv 文件中确实存在奇怪和令人不安的东西......恶意软件/广告软件?

自从几天前最后一次更新 ubuntu (16.04) 以来,我的 grub 出现了问题。grub-pc 更新不太顺利……现在,在启动时,它显示:“错误:环境块无效。按下键继续……”这不是什么大问题,因为之后它可以正常启动。但是……查看如何修复它时,我发现了这一点: https://learn.yancyparedes.net/2014/12/fixing-invalid-environment-block-of-grub/

在应用上述解决方案之前(因为我很好奇),我看了一下 /boot/grub/grubenv(二进制文件),这是我发现的:(通过获得more /boot/grub/grubenv

\E2\DA\DEh\00\BB\DA\DEfile:patterns.inieO\00\F0i{"content":["# Adblock Plus preferences","version=4","","[Subscription]","url=https://easylist-downloads.a  Z0plus.org/exce<\E8rules.txt","title=Allow non-intrusive advertising","fixedTi-8true","homepage\83ac`Pableads.com/","lastDo \934=1490883696","\A9PStatus=synchronize_ok
:Success69\00SCheck8942208","expire,10564esoftEation    171790=_\201703301411","requiredV-~2.-\AECount=6\00":\93\C0 filters]","! Text-based search ads on netzwelt.d!F$@@||google%2uds/$)\E50,subdocument,  main=rE\00cse?$\A6>\00! !\83ic image\A7t3n\A2uru!\D5(de/api/view\A7\00d \92^0\00u/b/$ZB*\00)%q0Sedo parking     Us",>!adsense/
!\F0\8D/caf.js$sitekey=MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBANnylWw2vLY4hUn9w06zQKbhKBfvjFUCsdFlb6TdQhxb9RXWXuI4t31c+o8fYOv/s8q1LGPga3DE1L/tHU4LENMCAwEAAQJ\AF\00(fs/gen_204?-\FE\AB\00\FE\AB\006\AB\00staticE|)S\00aA\82)\B0\FE\AA\00\FE\AA\002\AA\00img.sedoM"\B2\00^q*\FE\AF\00\FE\AF\00J\AF\00:\AB\00\00/\89u5\FE[\FE[=[ $elemhide\FE\95\00\FE\95\00.\95\00\||g.doubleclick.net/appsM\A5A\00/2\E3\FEQ\FEQ5Q\B5Ntext/E\9A\85\E24by 
InfluAds (h\ED\B6\00a:\A3forum\[email protected]?t=9518)\8D\\00iD\A1\8Bco:\00","#@##!\00_W**

确实,我的 Chrome 浏览器上安装了 AdBlock Plus,但我觉得它与此无关,不是吗?此外,还提到了似乎不存在的网站,如 Pableads.com 和 Z0plus.org,这让我很担心... 难道只有我的 grubenv 文件中有这些内容吗?

编辑:在我应用给出的解决方案之后https://learn.yancyparedes.net/2014/12/fixing-invalid-environment-block-of-grub/我的电脑正常启动。问题已解决,我的 grubenv 文件现在如下所示:

# GRUB Environment Block

default=0
################################################################################
################################################################################
################################################################################
################################################################################
################################################################################
################################################################################
################################################################################
################################################################################
################################################################################
################################################################################
################################################################################
################################################################################
#############################

谨致问候,Stéphane

答案1

但是,问题/疑问仍然是关于可能的恶意软件?

我不知道这个垃圾在你的电脑里是怎么结束的/boot/grub/grubenv,但编辑这个文件需要 root 权限!

您可以做一些调查来检查您的系统是否受到外部修改:

  • 查看你的命令行history,也许某个命令导致了这个问题
  • 搜索 /var/log/* 文件夹,尤其kern.log是其中auth.log的可疑条目
  • 使用rkhunter
    • another rootkit detection software. Install the rkhunter package from the Universe Repository
  • 使用chkrootkit
    • chkrootkit can be used to help determine if a machine has been compromised. While not what you should use for the 'final word' on if you have been compromised, it runs a lot of useful checks and can direct suspicions towards finding a solution. To install chkrootkit install the chkrootkit package.
  • 使用包管理器验证文件和包:
    • sudo debsums -a | grep -v OK

相关内容