GNU/Linux >> Belajar Linux >  >> Linux

Bagaimana cara menyelidiki file 1,5GB yang tidak dikenal bernama sudo di direktori home Linux saya?

Anda mungkin membuatnya secara tidak sengaja dengan perintah shell yang gagal. Saya telah melakukan hal-hal seperti itu sendiri. Akibatnya, itu mungkin diisi dengan data yang tidak berbahaya. Berikut adalah beberapa alasan mengapa menurut saya tidak berbahaya:

  1. 1,5 GB akan menjadi virus yang sangat besar. Karena virus biasanya ditransmisikan melalui jaringan, lebih kecil lebih baik.
  2. Ini tidak dapat dijalankan.
  3. Malware biasanya bersembunyi jauh lebih baik dari ini.
  4. file mengira itu hanya file data.

Tentu saja tidak ada yang membuktikan bahwa itu tidak berbahaya (a.k.a. virus tidak memiliki menjadi kecil, hanya karena itu tidak dapat dieksekusi tidak berarti itu mungkin bukan bagian dari muatan berbahaya, dan kadang-kadang mereka tidak repot bersembunyi), tapi saya curiga ini tidak berbahaya. Ini mungkin terlalu lama, tetapi saya akan melihat apakah riwayat bash Anda sesuai dengan hari/waktu yang dimaksud.

Saya sadar saya belum memberi Anda petunjuk tentang cara menganalisis file, tetapi Anda telah menekan pembantu utama (file dan strings ), dan mereka tidak membantu! File yang diisi dengan data acak dari perintah yang salah akan menjelaskan apa yang Anda lihat, dan kemungkinan memiliki peluang lebih baik untuk menghasilkan file bernama sudo di direktori beranda Anda daripada malware, IMO.


Adakah yang punya kiat tentang cara melanjutkan penyelidikan file ini?

Sejak file tidak mengenali "data" sebagai yang dapat dieksekusi, akan sulit untuk mencoba menganalisis secara dinamis (dengan menjalankannya) kecuali Anda dapat menemukan titik masuk yang tepat.

Alat Linux standar lain yang dapat Anda coba adalah:

stat

Ini akan memberi Anda lebih banyak informasi metadata daripada yang dapat Anda lihat hanya dengan daftar direktori.

Alat lain yang dapat Anda coba adalah:

binwalk

yang dapat memberikan analisis file biner seperti gambar firmware. Misalnya, jika file biner berisi sistem file binwalk mungkin mengenalinya.

Namun alat lain yang tersedia secara bebas di Linux adalah "The Sleuth Kit." Jika file biner kebetulan berupa image disk mentah atau data sistem file, maka Anda dapat mencoba memprosesnya dengan "The Sleuth Kit".

Anda juga dapat mencoba memasukkan biner ke IDA ("Interactive Disassembler" dari Hexrays--tersedia versi freeware) untuk melihat apakah IDA dapat memahaminya. Tetapi jika file tidak mengenalinya, saya tidak terlalu berharap bahwa IDA akan mengenalinya.


Saya akan mulai dengan history | grep sudo dari terminal dan lihat perintah sudo terbaru untuk melihat apakah ada yang salah.

  • Ini direktori utama Anda.
  • Anda belum mengatakannya memiliki kepemilikan khusus, jadi saya akan menganggap Anda memilikinya.
  • Ini hampir pasti merupakan perintah shell yang gagal, jadi Anda mungkin membuatnya dari terminal.
  • Ini mungkin sesuatu yang dibuat oleh skrip, tetapi cukup jarang untuk menempatkan perintah"sudo" dalam skrip.
  • Ini menampilkan dirinya secara terbuka dan jelas sehingga Anda mungkin akan menyadarinya jika Anda belum membuatnya baru-baru ini.

Linux
  1. Linux – Bagaimana Cara Memeriksa Informasi Struktur Direktori File Unix/linux?

  2. Bagaimana Mengganti Nama File di Linux?

  3. Bagaimana cara mengaktifkan pengindeksan file dan direktori Apache di Linux atau UNIX?

  1. Cara Membuat File dan Direktori Tidak Dapat Dihapus, Bahkan Dengan Root di Linux

  2. Cara Menemukan File Di Linux Di Semua Direktori Secara Rekursif

  3. Bagaimana menemukan direktori home pengguna di linux atau unix?

  1. Cara Menghapus Akun Pengguna dengan Direktori Rumah di Linux

  2. Cara Menemukan File Terlama Di Pohon Direktori Di Linux

  3. Cara Membuat Pengguna Dengan Direktori Home Kustom Di Linux