Causa dos arquivos intitulados = e 0 em cada pasta

Question

Causa dos arquivos intitulados = e 0 em cada pasta

#1 resposta do Zeiss Ikon (1 votos)
#2 resposta do blanket_cat (0 votos)

1

Eu estou (ou estava) executando o Ubuntu 14.04.05.

Eu tenho observado muitos arquivos intitulados = que aparecem acima de . e .. quando você inspeciona um diretório com ls -al e outro arquivo vazio chamado simplesmente 0 em pastas espalhadas através do sistema de arquivos, mas principalmente na minha pasta /home/user/ e seus subdiretórios. Eu posso remover 0 por inode com find . -inum $inode_of_equal_sign -exec rm {} \; . No entanto, não posso excluir o arquivo = , usando qualquer técnica que eu possa encontrar para me livrar de nomes de arquivos com caracteres especiais, nem posso identificar o processo que os substitui continuamente.

Eu não posso determinar a maioria dos arquivos usando lsof ou stat ou file ou qualquer outro utilitário, pois recebo um erro can't stat /run/users/1000/gvfs se eu desmontar, ele será remontado. Ele também parece ser de propriedade do UID 999 , que é o usuário do Ubuntu Live Setup. Eu olhei pela pasta de dispositivos, e parece que /dev/fuse pertence a root:pulseaudio , e se recusa a ficar excluído, ou ser desbloqueado .. Isso me parece um pouco suspeito para subestimar isso dramaticamente quanto possível, pois esta é a minha máquina de desenvolvimento, e eu tirei todos os pacotes e serviços desnecessários, o que inclui todos os pacotes de áudio e impressora, arquivos de configuração e módulos do kernel. O grupo pulseaudio também possui alguns arquivos / pastas em outras partes do sistema. Eu rastreei isso de volta para systemd , o que, até onde eu sei, apenas inicia processos, que já são iniciados por iniciantes. Os arquivos de configuração em /etc/systemd são quase todos os links simbólicos de volta para /lib/systemd , eu eliminei o systemd do upstart, reiniciei mas parece que systemd ou o que quer que isso seja realmente é iniciado por PID 2 , D-Bus ... Não sei exatamente o que fazer sobre isso, nunca configurei nada manualmente no D-bus antes. Em seguida, observei vários arquivos .so em /var/lib/systemd e /lib/systemd/ com nomes que parecem ter sido feitos com mktemp . Muitos deles eram binários, mas o tipo MIME não correspondia ao perfil do objeto compartilhado, muitos deles eram ligados simbolicamente a arquivos de objetos compartilhados na biblioteca do kernel. Havia também uma pasta /lib/xtables com um punhado de scripts perl para o que eu acho que podemos chamar de utilitários de rede "não-padrão" e alguns binários que eu não examinei. Alguns desses arquivos misteriosos foram simples arquivos de texto contendo os PIDs de processos relacionados a este ... Eu não sei, recurso secreto? Daemon não documentado? Carregado pelo systemd.

(Eu sinto que é bem seguro dizer que não sou mais o dono deste sistema, como talvez eu esteja apenas pegando emprestado agora). Eu identifiquei que todos os arquivos suspeitos foram criados aproximadamente ao mesmo tempo. 3:33 em 19 de abril. Então eu comecei a vasculhar os arquivos que foram criados naquele momento. Todos pareciam desligados. Encontrei um, eu esqueci qual, mas ele tinha ? caracteres para ele é inode, todos os atributos de permissão, tamanho, etc. quando você o visualizou com ls -ial Eu vi uma quantidade razoável de esquisitos esquisitos meus diretórios, terminal ficando louco de acidentalmente cat ing algum arquivo binário, falhas de gráficos, etc. mas esse era novo em mim.

De qualquer forma, estou me perguntando se alguém já viu isso antes. É um sistema de auto-reabastecimento de soquetes, links simbólicos e arquivos que gira em torno do bloqueio de /dev/fuse para /run/user/<Your UID>/gvfs e parece criar uma espécie de espelho gvfs bloqueado para o ID de seu usuário. Ele sobrevive reinstalação no disco rígido, e até parou algumas tentativas de dd if=/dev/urandom of=/dev/sda de um disco ao vivo no topo. Eu também notei os arquivos 0 em uma unidade USB Eu tinha miopia o suficiente para conectar-me para tentar salvar meu trabalho (o que eu fiz.) Ele atribui a propriedade de grupo aos arquivos para grupos que são comuns (ie pulseaudio, alsa, Lendo através da fonte do live CD que eu instalei, parece que existem alguns scripts perl que configuram hooks para eventos de boot / instalação no local para carregar arquivos efi diferentes daqueles que estão no Isso pode ser parte da coisa safeboot embora.Eu não tenho certeza.Eu estou baixando várias outras cópias do Ubuntu, e algumas outras distros para comparar contra isso que eu salvei, mas não tem um livre isolado máquina para usar como quarentena ou "sala limpa".

Basta saber se alguém mais usando o Ubuntu já viu esse comportamento antes, e se essa coisa já tem um nome. Ou .. você sabe .. Se este é um recurso oculto do sistema operacional .. Como faço para desativá-lo.

[UPDATE:] Eu encontrei isto: o que explica não ser capaz de determinar os objetos da minha atenção como raiz. No entanto, ainda não consigo explicar o = & amp; 0 por que /dev/fuse seria bloqueado e pertenceria a root:pulseaudio quando não houver nenhum vestígio de pulseaudio no sistema, incluindo uma listagem para ele em /etc/group .

por blanket_cat 03.05.2017 / 12:50

2 respostas

Atualização bloqueada no terminal [duplicado] Não é possível encontrar rede wifi e alterar o brilho no ubuntu 16.04

score 1 · Answer 1

Eu nunca vi nada assim em nenhum dos meus sistemas Linux (tenho andado por anos, executando o Linux exclusivamente por cinco anos e o Ubuntu por três).

Dito isto, isto é muito semelhante ao comportamento de várias espécies de malware do Windows. É possível que o ClamAV melhore as coisas se você puder instalá-lo em uma unidade flash com um Ubuntu instalado (em oposição ao Live), mas o método mais confiável seria gravar um Live USB em outro computador (limpo) e inicializá-lo , reinstale seu sistema operacional (e limpe seu / home). Sim, isso perderá todas as suas informações armazenadas - mas, como você observou, você não possui mais esse computador, e quem quer que esteja emprestando pode revogá-lo a qualquer momento, já tem alguma informação que queira e pode receber de você sem aviso prévio; efetivamente, já se foi.

Pode valer a pena tentar copiar coisas como documentos de texto, fotos, etc. para outra mídia, depois examinar essa mídia de uma inicialização de mídia ao vivo para verificar esses arquivos "off" - mas eu ficaria surpreso se O que você está vivendo no seu sistema não se instalou em sua mídia de backup e, se isso ocorrer, não seria seguro montá-lo no sistema depois de limpá-lo.

score 0 · Answer 2

Então, eu estava executando um script que montava um sistema de arquivos, e criava um script para fazer alterações, em seguida, recompilava-o em um ISO. Eu estava tentando usar algum operador ternário sofisticado em vez de uma instrução if porque isso teria tornado a verbosidade e o ajuste no nível de log significativamente trivial. (Este projeto foi meu exercício / desculpa para passar pelo ABSG, não para o trabalho).

Então, o que funcionou durante minhas condições normais de teste, foi negligente, quando a variável não satisfez a condição. Não consigo lembrar exatamente como funcionou, mas foi algo como:

(( "$verbosity" >= "1" ))

e, como $ verbosity deve ter sido nulo durante um caso, e eu estava chrooting com proc, sys, dev, sem uma rede como LXC (D | FS) ou caixa virtual ou docker de qualquer coisa, então estava escrevendo "" para o arquivo = em qualquer diretório do qual eu executei o script.

FACE. PALM.

Use virtualização para recursos do sistema ao fazer chroot com meus amigos.