Arquivos inexplicados encontrados na pasta inicial

Question

Arquivos inexplicados encontrados na pasta inicial

#1 resposta do (1 votos)

4

Para informações básicas, estou executando o openSUSE 13.2 e o KDE 5.

Hoje, encontrei vários arquivos e pastas inexplicáveis na minha pasta pessoal, que afirmam que foram editados há três dias. Não me lembro de ter feito nada naquele dia que possa ter gerado esses arquivos, nem os baixei, pois nem sei quais são esses arquivos ou por que eles estão lá.

Os nomes dos arquivos inexplicados podem ser vistos abaixo:

apr_crypto_openssl.so
apr_dbm_db.so
apr_dbm_gdbm.so
berkeley_db_svc-4.2
cpio
db_archive-4.2
db_archive-4.8
db_checkpoint-4.2
db_checkpoint-4.8
db_deadlock-4.2
db_deadlock-4.8
db_dump185-4.2
db_dump185-4.8
db_dump-4.2
db_dump-4.8
db_hotbackup-4.8
db_load-4.2
db_load-4.8
db_printlog-4.2
db_printlog-4.8
db_recover-4.2
db_recover-4.8
db_sql-4.8
db_stat-4.2
db_stat-4.8
db_upgrade-4.2
db_upgrade-4.8
db_verify-4.2
db_verify-4.8
errno.h
fcntl.h
float.h
floatingpoint.h
hoststat
ld-elf.so.1
libalias.so
libapr-1.so
libarchive.so
libaria2.so
libasn1.so
libauditd.so
libavl.so
libbegemot.so
libbiconv.so
libBlocksRuntime.so
libbluetooth.so
libbsdxml.so
libbsm.so
libbsnmp.so
libbsnmptools.so
libbz2.so
libcalendar.so
libcam.so
libcom_err.so
libcrypto.so
libcrypt.so
libc.so
libctf.so
libcurses.a
libcurses_p.a
libcurses.so
libcursesw.a
libcursesw_p.a
libcursesw.so
libdb-4.2.so
libdb-4.2.so.2
libdb-4.8.so
libdb-4.8.so.0
libdb-4.so
libdb_cxx-4.2.so
libdb_cxx-4.2.so.2
libdb_cxx-4.8.so
libdb_cxx-4.8.so.0
libdb_cxx-4.so
libdb_cxx.so
libdb.so
libdevinfo.so
libdevstat.so
libdialog.so
libdtrace.so
libdwarf.so
libedit.so
libelf.so
libexpat.so
libfetch.so
libform.so
libformw.so
libftpio.so
libgcc.a
libgcc_p.a
libgcc_s.so
libgcj.so
libgdbm.so
libgeom.so
libgettextlib.so
libgettextpo.so
libgmp.so.10
libgmpxx.so
libgmpxx.so.4
libgnuregex.so
libgomp.so
libgpib.so
libgssapi_krb5.so
libgssapi_ntlm.so
libgssapi.so
libgssapi_spnego.so
libhdb.so
libheimntlm.so
libhistory.so
libhx509.so
libiconv.so
libintl.so
libipsec.so
libitm.so
libjail.so
libkadm5clnt.so
libkadm5srv.so
libkafs5.so
libkiconv.so
libkrb5.so
libkvm.so
liblwres.so
liblzma.so
liblzo2.so.2
libmagic.so
libmd.so
libmemstat.so
libmenu.so
libmenuw.so
libmilter.so
libmpc.so
libmpfr.so
libmpfr.so.4
libmp.so
libm.so
libmudflapth.so
libncp.so
libncurses.so
libncursesw.so
libneon.so
libneon.so.27
libnetgraph.so
libngatm.so
libnvpair.so
libodialog.so
libopie.so
libpam.so
libpanel.so
libpanelw.so
libpcap.so
libpcre16.so
libpcre32.so
libpcreposix.so
libpcre.so
libpkg.so
libpmc.so
libproc.so
libprocstat.so
libpthread.a
libpthread_p.a
libpthread.so
libpython2.7.so
libradius.so
libreadline.so
libroken.so
librpcsec_gss.so
librpcsvc.so
librtld_db.so
librt.so
libsbuf.so
libsdp.so
libserf-1.so
libserf-1.so.1
libsmb.so
libssh.so
libssl.so
libssp.so
libstdbuf.so
libstdc++.so
libsupc++.so
libsvn_client-1.so
libsvn_client-1.so.0
libsvn_delta-1.so
libsvn_delta-1.so.0
libsvn_diff-1.so
libsvn_diff-1.so.0
libsvn_fs-1.so
libsvn_fs-1.so.0
libsvn_fs_fs-1.so
libsvn_fs_util-1.so
libsvn_ra-1.so
libsvn_ra_local-1.so
libsvn_ra_local-1.so.0
libsvn_ra_serf-1.so
libsvn_repos-1.so
libsvn_subr-1.so
libsvn_wc-1.so
libsvn_wc-1.so.0
libtacplus.so
libtermcap.a
libtermcap_p.a
libtermcap.so
libtermcapw.a
libtermcapw_p.a
libtermcapw.so
libtermlib.a
libtermlib_p.a
libtermlib.so
libtermlibw.a
libtermlibw_p.a
libtermlibw.so
libthread_db.so
libthr.so
libtinfo.a
libtinfo_p.a
libtinfo.so
libtinfow.a
libtinfow_p.a
libtinfow.so
libufs.so
libugidfw.so
libulog.so
libumem.so
libusbhid.so
libusb.so
libutempter.a
libutempter_p.a
libutempter.so
libutil.so
libuutil.so
libvgl.so
libwrap.so
libxml2.so.2
libypclnt.so
libzfs_core.so
libzfs.so
libzpool.so
libz.so
linker_set.h
log.0000000001
mailq
ncurses.h
newaliases
nologin
pam_chroot.so
pam_deny.so
pam_echo.so
pam_exec.so
pam_ftpusers.so
pam_group.so
pam_guest.so
pam_krb5.so
pam_ksu.so
pam_lastlog.so
pam_login_access.so
pam_nologin.so
pam_opieaccess.so
pam_opie.so
pam_passwdqc.so
pam_permit.so
pam_radius.so
pam_rhosts.so
pam_rootok.so
pam_securetty.so
pam_self.so
pam_ssh.so
pam_tacplus.so
pam_unix.so
perl
perl5
pgrep
pkg-config
pkill
poll.h
purgestat
sched.h
_semaphore.h
sendmail
snmp_atm.so
snmp_bridge.so
snmp_hast.so
snmp_hostres.so
snmp_mibII.so
snmp_netgraph.so
snmp_pf.so
snmp_target.so
snmp_usm.so
snmp_vacm.so
snmp_wlan.so
stdarg.h
stdint.h
strange_files.7z
svnpubsub
svnwcsub
Sync
syslog.h
tar
ucontext.h

O arquivo log.0000000001 foi gerado quando executei o executável db_printlog, mas tentei abrir o arquivo de log no kwrite e recebi o erro:

The file /home/(redacted)/log.0000000001 was opened with UTF-8 encoding but contained invalid characters. It is set to read-only mode, as saving might destroy its content. Either reopen the file with the correct encoding chosen or enable the read-write mode again in the menu to be able to edit it.

Os arquivos svnwcsub e svnpubsub são scripts de shell e seus conteúdos são os seguintes:

svnwcsub:

#!/bin/sh
#
# PROVIDE: svnwcsub
# REQUIRE: DAEMON
# KEYWORD: shutdown

. /etc/rc.subr

name="svnwcsub"
rcvar='set_rcvar'

load_rc_config $name

#
# DO NOT CHANGE THESE DEFAULT VALUES HERE
# SET THEM IN THE /etc/rc.conf FILE
#
svnwcsub_enable=${svnwcsub_enable-"NO"}
svnwcsub_user=${svnwcsub_user-"svnwc"}
svnwcsub_group=${svnwcsub_group-"svnwc"}
svnwcsub_pidfile=${svnwcsub_pidfile-"/var/run/svnwcsub/svnwcsub.pub"}
svnwcsub_env="PYTHON_EGG_CACHE"
svnwcsub_cmd_int=${svnwcsub_cmd_int-"python"}
svnwcsub_config=${svnwcsub_config-"/etc/svnwcsub.conf"}
svnwcsub_logfile=${svnwcsub_logfile-"/var/log/svnwcsub/svnwcsub.log"}
pidfile="${svnwcsub_pidfile}"

export PYTHON_EGG_CACHE="/var/run/svnwcsub"

command="/usr/local/svnpubsub/svnwcsub.py"
command_interpreter="/usr/local/bin/${svnwcsub_cmd_int}"
command_args="--daemon \
              --logfile=${svnwcsub_logfile} \
              --pidfile=${pidfile} \
              --uid=${svnwcsub_user} --gid=${svnwcsub_group} \
              --umask=002 \
          ${svnwcsub_config}"

run_rc_command "$1"

svnpubsub:

#!/bin/sh
#
# PROVIDE: svnpubsub
# REQUIRE: DAEMON
# KEYWORD: shutdown

. /etc/rc.subr

name="svnpubsub"
rcvar='set_rcvar'

load_rc_config $name

#
# DO NOT CHANGE THESE DEFAULT VALUES HERE
# SET THEM IN THE /etc/rc.conf FILE
#
svnpubsub_enable=${svnpubsub_enable-"NO"}
svnpubsub_user=${svnpubsub_user-"svn"}
svnpubsub_group=${svnpubsub_group-"svn"}
svnpubsub_reactor=${svnpubsub_reactor-"poll"}
svnpubsub_pidfile=${svnpubsub_pidfile-"/var/run/svnpubsub/svnpubsub.pid"}
svnpubsub_cmd_int=${svnpubsub_cmd_int-"python"}
pidfile="${svnpubsub_pidfile}"

export PYTHON_EGG_CACHE="/home/svn/.python-eggs"

command="/usr/local/bin/twistd"
command_interpreter="/usr/local/bin/${svnwcsub_cmd_int}"
command_args="-y /usr/local/svnpubsub/svnpubsub.tac \
            --logfile=/var/log/vc/svnpubsub.log \
            --pidfile=${pidfile} \
            --uid=${svnpubsub_user} --gid=${svnpubsub_user} \
            -r${svnpubsub_reactor}"


run_rc_command "$1"

Se alguém puder lançar alguma luz sobre o que são esses arquivos, de onde eles vieram e qual é o propósito deles, isso seria ótimo. Se você precisar de alguma informação adicional, basta perguntar

Obrigado

security files linux

por user3808334 13.05.2015 / 17:26

1 resposta

Tags security files linux

Como reparar um bloco BTRFS? Restaurar instantâneo Btrfs do subdiretório para pai

score 1 · Answer 1

I do not remember doing anything that day that may have generated these files, nor did I download them as I don't even know what these files are or why they're there.

Você pode dar uma olhada em history , talvez haja uma pista e você se lembra do que poderia ter causado isso.

Como esses arquivos parecem muito com seu sistema, você pode tentar locate ou find . Se eles fizerem parte do seu sistema, você poderá verificar com diff -a -q file1 file2 se eles são iguais. Se você os copiou sem intenção, eles devem ser os mesmos. Além disso, aqueles são realmente arquivos ou apenas links simbólicos? Links simbólicos têm setas em ls -l :

$ ls -l /opt/bin
total 0
lrwxrwxrwx 1 root root 25 May  5  2013 ao -> /opt/audio-overload/ao2.0
                                           ^-- arrow

*. então os arquivos geralmente são objetos compartilhados usados para partes do programa que são usadas por vários programas diferentes (como DLLs no Windows), alguns outros arquivos como "cpio", "hoststat" ou "tar" parecem executáveis, o .h são arquivos de cabeçalho C. Todos esses arquivos provavelmente estarão em outro lugar do seu sistema. Então, meu palpite é que você, sem querer, copiou-os para . ou ~ .

Se você suspeitar que esses arquivos são perigosos, envie-os para sites como o link e veja se eles sabem alguma coisa sobre eles. Esteja ciente de que um resultado negativo não significa necessariamente que eles são inofensivos e um resultado positivo não significa necessariamente que eles são (parte de) malware. Mas um resultado positivo poderia pelo menos dar dicas para você.