Arquivo nomeado aleatório no diretório inicial, possivelmente hackeado?

Navegue suas respostas
2
Estou executando o Fedora 20 e hoje encontrei um arquivo que parece altamente suspeito em meu diretório pessoal. O nome do arquivo parece ser uma string codificada em base64, mas não decodifica nada significativo:

n5LJFcZz+8slfpALAFzHk8msAh9vsDCiYwKvzw8uAirPE00Jq9HqTSvlT9ChhjZtA==

O conteúdo do arquivo está aqui:

link

Alguma ideia sobre o que estou vendo? Eu vou rodar rkhunter na minha máquina, tem mais alguma coisa que eu deva fazer?

update: o arquivo é de propriedade do meu nome de usuário, que é o único usuário nesta máquina:

$ stat n5LJFcZz+8slfpALAFzHk8msAh9vsDCiYwKvzw8uAirPE00Jq9HqTSvlT9ChhjZtA== File: ‘n5LJFcZz+8slfpALAFzHk8msAh9vsDCiYwKvzw8uAirPE00Jq9HqTSvlT9ChhjZtA==’ Size: 888 Blocks: 8 IO Block: 4096 regular file Device: fd05h/64773d Inode: 3021277 Links: 1 Access: (0664/-rw-rw-r--) Uid: ( 1000/mvandemar) Gid: ( 1000/mvandemar) Context: unconfined_u:object_r:user_home_t:s0 Access: 2014-07-23 12:51:37.316782678 -0400 Modify: 2014-05-28 18:25:21.362568805 -0400 Change: 2014-05-28 18:25:21.364568810 -0400 Birth: -

Eu não tenho ideia do que eu estava fazendo há 2 meses na época. lsof não teve saída alguma. sshd não está em execução na minha máquina (nem vejo logins ssh via last), embora eu veja este comando via htop:

/usr/bin/ssh-agent /bin/sh -c exec -l /bin/bash -c "cinnamon-session-cinnamon"

Não tenho certeza do que mais devo procurar.

    
por Michael VanDeMar 23.07.2014 / 19:04

2 respostas

1

É extremamente improvável que isso represente uma violação de segurança. Um malware mal implementado usaria um arquivo de ponto para um pouco de discrição. Um malware melhor implementado se esconderia, corrigindo o kernel para que nenhum arquivo aparecesse.

A explicação mundana é que você colou acidentalmente uma linha contendo o caractere > seguido por este texto em um terminal. Isso fez com que o shell em execução nesse terminal criasse o arquivo, pois > seguido por um nome de arquivo é um redirecionamento de saída. Se houvesse qualquer outra coisa na linha, ou se houvesse outras linhas, o shell provavelmente reclamou de vários erros de sintaxe, em um incidente que você esqueceu depois de todos esses meses.

O nome do arquivo está codificado em Base64 . É a última parte de um bloco (dado o = no final) cujo começo está faltando. Provavelmente havia várias linhas de dados codificados em base64, com > no início de uma linha como um caractere de continuação ou de citação.

Você pode ver o conteúdo do arquivo, ele pode lhe dar uma pista sobre o que você colou. É improvável que seja importante embora. Apenas apague esse arquivo.

    
por 24.07.2014 / 02:52
-1

Você pode tentar descobrir qual processo está criando o arquivo com o comando lsof : 

lsof n5LJFcZz+8slfpALAFzHk8msAh9vsDCiYwKvzw8uAirPE00Jq9HqTSvlT9ChhjZtA==1

Uma ferramenta mais poderosa é inotify , que pode monitorar diretórios para a criação de arquivos específicos.

Dê uma olhada em Determine qual processo está criando um arquivo para mais informações.

    
por 23.07.2014 / 19:45

Tags

Onde sysv-rc-conf obtém informações sobre daemons? Como posso PGP descriptografar uma mbox inteira?