Por curiosidade eu encontrei isso, eles discutiram a análise de um ataque de malware.
Sobre falsos e foda-se, muitas vezes os invasores carregam ferramentas para facilitar o trabalho deles.
Sobre o fake.cfg, há de fato um utilitário no Linux chamado falso.
$apt-cache search fake | grep ^fake
fake - IP address takeover tool
Fake is a utility that enables the IP address be taken over by bringing up a second interface on the host machine and using gratuitous arp. Designed to switch in backup servers on a LAN.
Então eu suspeito que falso pode ser uma maneira de:
evitando regras de firewall;
- chegar a outras redes;
- gerar pacotes / spam usando vários IPs de sua rede de cada vez para evitar listas negras / fail2ban / apache mod evasivas ao atacar outros servidores na Internet como um todo.
Quanto a foda, os objetivos são menos claros.
Eu encontrei isto:
Magnificent app which corrects your previous console command.
O comando fuck usa a substituição de regras para executar o comando anterior com modificações. Estou supondo aqui que ele é usado como uma ferramenta básica para automatizar / ofuscar no histórico / monitoramento de alguns dos comandos reais executados pelos atacantes.
Além dos depuradores que outros já mencionaram, para acompanhar sua atividade, recomendo usar strace , sysdig ou dtrace4linux . Eles são ferramentas fantásticas para acompanhar o âmago da questão das chamadas do kernel.
Para acompanhar todos os arquivos abertos na E / S comprometida, você executa:
sysdig -p "%12user.name %6proc.pid %12proc.name %3fd.num %fd.typechar %fd.name" evt.type=open
Snoop file opens as they occur (with sysdig)
De:
O Sysdig tem a capacidade de mostrar tudo , incluindo buffers de arquivos sendo gravados ou dados enviados pela rede.
Escusado será dizer que você deve fazer backup e isolar o servidor antes de executar esses comandos.