私はFedora 20を実行していますが、今日私のホームディレクトリで非常に疑わしいファイルを見つけました。ファイル名はbase64でエンコードされた文字列のように見えますが、意味のある内容にはデコードされません。
n5LJFcZz+8slfpALAFzHk8msAh9vsDCiYwKvzw8uAirPE00Jq9HqTSvlT9ChhjZtA==
ファイルの内容は次のとおりです。
私が見ているものについてのアイデアはありますか?私のコンピュータでrkhunterを実行したいのですが、追加する必要がありますか?
更新:このファイルは、このコンピュータの唯一のユーザーであるマイユーザー名の所有です。
$ stat n5LJFcZz+8slfpALAFzHk8msAh9vsDCiYwKvzw8uAirPE00Jq9HqTSvlT9ChhjZtA==
File: ‘n5LJFcZz+8slfpALAFzHk8msAh9vsDCiYwKvzw8uAirPE00Jq9HqTSvlT9ChhjZtA==’
Size: 888 Blocks: 8 IO Block: 4096 regular file
Device: fd05h/64773d Inode: 3021277 Links: 1
Access: (0664/-rw-rw-r--) Uid: ( 1000/mvandemar) Gid: ( 1000/mvandemar)
Context: unconfined_u:object_r:user_home_t:s0
Access: 2014-07-23 12:51:37.316782678 -0400
Modify: 2014-05-28 18:25:21.362568805 -0400
Change: 2014-05-28 18:25:21.364568810 -0400
Birth: -
2ヶ月前に私が何をしていたのかわかりません。lsofまったく出力がありません。sshdhtopを介して次のコマンドを表示できますが、私のコンピュータでは機能しません(最後のsshを介したログインも表示されません)。
/usr/bin/ssh-agent /bin/sh -c exec -l /bin/bash -c "cinnamon-session-cinnamon"
私が何を探すべきかはよくわかりません。
ベストアンサー1
これがセキュリティの脆弱性を示す可能性はほとんどありません。正しく実装されていないマルウェアは、ドットファイルを使用してある程度密かに動作する可能性があります。よりよく実装されたマルウェアは、ファイルが表示されないようにカーネルにパッチを適用して自分自身を隠します。
一般的な説明は、誤って>その文字と対応するテキストを含む行を端末に貼り付けたということです。>ファイル名の後に出力リダイレクトが続くため、その端末で実行されているシェルはファイルを生成します。その行に異なる内容がある場合、または他の行がある場合、シェルは多数の構文エラーについて不平を言う可能性があり、数ヶ月以内にそのイベントを忘れてしまいます。
ファイル名は次のようにエンコードされます。Base64。ブロックの最後の部分(=最後に提供)で、開始部分がありません。 Base64でエンコードされたデータの複数行があり、行の先頭に連続または>引用符が含まれています。
ファイルの内容を表示し、貼り付けた内容の手がかりを提供できます。しかし、それは問題ではありません。ファイルを削除してください。