comando desconhecido “vftovp” no histórico de comandos do linux [Meu linux box está comprometido? ]

Question

comando desconhecido “vftovp” no histórico de comandos do linux [Meu linux box está comprometido? ]

#1 resposta do (2 votos)

0

Eu tenho o sistema Linux do Slackware configurado com acesso remoto ssh.

Enquanto observava o histórico de comandos, descobri que existe um comando desconhecido executado na minha caixa de linux "vftovp". Eu certamente não me lembro de escrever nada assim.

Não tenho certeza se minha caixa foi comprometida? Alguém pode me ajudar a entender o que é esse comando e como esse comando entrou na minha história?

ssh security slackware

por Xinus 22.03.2015 / 14:39

1 resposta

Tags ssh security slackware

Remover linhas em um script de shell Divisão de tráfego de porta / IP entre interfaces

score 2 · Answer 1

TL; DR: provavelmente é apenas um erro de digitação.

Resposta longa

Como mostra uma pesquisa rápida, vftovp pode ser uma ferramenta no TeX suite para converter uma métrica de fonte virtual em uma lista de propriedades virtuais. Então, a ferramenta original não seria algo para se preocupar. Duas questões permanecem:

Quem executou essa ferramenta em sua máquina?
O binário em seu sistema é realmente essa ferramenta TeX?

Quem executou essa ferramenta em sua máquina?

vf é um erro de digitação muito comum para cd . Para mim, é tão comum que eu tenha vf como um alias para cd , por isso não preciso corrigi-lo quando digito incorretamente. (BTW, o mesmo acontece com mroe para more . Sim, eu sou um mau datilógrafo.)

Eu poderia imaginar que você digitou vf seguido por Tab em vez de cd Espaço Tab para encontrar um diretório para alterar para. Isso provavelmente foi expandido para vftovp , se esse fosse o único executável correspondente a esse prefixo. Ou você digitou vf Enter e algum mecanismo no seu shell "corrigiu" sua entrada para vftovp . Você pode verificar isso por conta própria repetindo essas entradas.

O binário do seu sistema é realmente essa ferramenta TeX?

Para a segunda pergunta, você pode primeiro verificar se esse executável realmente existe em seu sistema. Usando bash , eu usaria isso:

$ type vftovp
vftovp is /usr/bin/vftovp

Em seguida, você deve verificar se esse executável ou script é o original instalado a partir da distribuição. Infelizmente não posso ajudá-lo com o Slackware, mas para sistemas baseados em Debian, eu usaria dpkg -S para descobrir o pacote que instalou o arquivo e, em seguida, debsums para verificar a soma de verificação:

$ dpkg -S /usr/bin/vftovp
texlive-binaries: /usr/bin/vftovp
$ debsums texlive-binaries | grep vftovp
/usr/bin/vftovp                                    OK
/usr/share/man/man1/vftovp.1.gz                    OK

Advertência: Se você realmente assumir que alguém comprometeu sua máquina, você não deve confiar nas informações fornecidas na própria máquina! Os binários para verificar as somas de verificação, o shell etc. também podem ser comprometidos. Você deve montar o sistema de arquivos da máquina comprometida assumida como somente leitura em outra máquina, ou pelo menos copiar os arquivos e testá-los em outra máquina.