it-swarm-vi.com

Làm cách nào để điều tra một tệp 1,5 GB không xác định có tên "Sudo" trong thư mục nhà Linux của tôi?

Tôi tìm thấy một tập tin trong thư mục nhà của tôi có tên là "Sudo". Nó có dung lượng 1,5 GB và tôi không biết nó đến từ đâu.

-rw-r--r--  1 foo foo 1598296064 Aug  9 11:22 Sudo

Có ai có bất cứ lời khuyên về cách tiến hành điều tra tập tin này? Tôi sợ rằng máy tính của tôi có thể bị xâm nhập nhưng tôi vẫn muốn biết tôi đang làm gì.

Đây là những gì tôi đã làm cho đến nay:

  • Đang chạy file Sudo hiển thị `Sudo: dữ liệu '.
  • Đang chạy strings Sudo cho thấy một lượng lớn dữ liệu ngẫu nhiên.
  • Đang chạy which Sudo trỏ đến tệp Sudo trong /usr/bin/Sudo

Nếu đó là một nhị phân thực thi, tôi dự định chạy nó nhưng có thể chuyển sang máy ảo trước khi tôi làm điều đó. Tôi có kiến ​​thức hạn chế gdb vì vậy ít nhất tôi có thể kiểm tra nó.

67
Karlo Licudine

Bạn có thể đã làm cho nó một cách tình cờ với một lệnh Shell đã khắc phục. Tôi đã làm những thứ như vậy bản thân mình. Kết quả là nó có thể chứa đầy dữ liệu vô hại. Dưới đây là một vài lý do tại sao tôi đoán nó là không độc hại:

  1. 1,5 GB sẽ là một virus cực kỳ lớn. Vì virus thường được truyền qua mạng, nhỏ hơn là tốt hơn.
  2. Nó không thể thực thi được.
  3. Phần mềm độc hại thường che giấu tốt hơn nhiều so với điều này.
  4. file nghĩ rằng nó chỉ là một tệp dữ liệu.

Tất nhiên không ai trong số đó chứng minh rằng nó không độc hại (còn gọi là virus không là nhỏ, chỉ vì nó không thể thực thi không có nghĩa là nó có thể không phải là một phần của tải trọng độc hại và đôi khi họ không thèm che giấu), nhưng tôi nghi ngờ điều này là vô hại. Điều này có lẽ là quá cũ, nhưng tôi sẽ xem nếu lịch sử bash của bạn đi vào ngày/thời gian trong câu hỏi.

Tôi nhận ra rằng tôi đã không cung cấp cho bạn bất kỳ gợi ý nào về cách phân tích tệp, nhưng bạn đã nhấn vào các trợ giúp chính (filestrings) và họ đã không giúp đỡ! Một tệp chứa đầy dữ liệu ngẫu nhiên từ lệnh errant sẽ giải thích những gì bạn đang thấy và có khả năng tạo tệp có tên Sudo trong thư mục nhà của bạn tốt hơn so với phần mềm độc hại, IMO.

144
Conor Mancone

Có ai có bất cứ lời khuyên về cách tiến hành điều tra tập tin này?

file không nhận ra "dữ liệu" là một tệp thực thi, nên sẽ rất khó để cố gắng phân tích động (bằng cách chạy nó) trừ khi bạn có thể tìm thấy điểm vào phù hợp.

Một công cụ Linux tiêu chuẩn khác mà bạn có thể thử là:

stat

Điều này sẽ cung cấp cho bạn nhiều hơn một chút thông tin siêu dữ liệu so với những gì bạn có thể thấy chỉ với danh sách thư mục.

Một công cụ khác bạn có thể thử là:

binwalk

có thể cung cấp phân tích các tệp nhị phân như hình ảnh phần sụn. Ví dụ: nếu tệp nhị phân chứa hệ thống tệp binwalk có thể nhận ra nó.

Một công cụ khác có sẵn miễn phí trên Linux là "Bộ công cụ Sleuth". Nếu tệp nhị phân xảy ra là hình ảnh đĩa thô hoặc dữ liệu hệ thống tệp thì bạn có thể thử xử lý tệp đó bằng "Bộ công cụ Sleuth".

Bạn cũng có thể thử thả nhị phân vào IDA (" Disassembler tương tác " từ Hexrays - có sẵn phiên bản phần mềm miễn phí) để xem IDA có thể hiểu ý nghĩa của nó không. Nhưng nếu file không nhận ra nó, tôi không quá hy vọng rằng IDA sẽ.

25
hft

Tôi sẽ bắt đầu với history | grep Sudo từ thiết bị đầu cuối và xem các lệnh Sudo gần đây nhất để xem có bất kỳ định dạng sai nào không.

  • Đó là thư mục nhà của bạn.
  • Bạn chưa nói nó có quyền sở hữu đặc biệt nên tôi sẽ cho rằng bạn sở hữu nó.
  • Nó gần như chắc chắn là một lệnh Shell đã bị hỏng, vì vậy bạn có thể đã thực hiện nó từ thiết bị đầu cuối.
  • Nó có thể là thứ được tạo bởi tập lệnh nhưng khá hiếm khi đặt lệnh "Sudo" trong tập lệnh.
  • Nó hiển thị một cách công khai và rõ ràng vì vậy bạn có thể đã nhận thấy nó nếu bạn không tạo gần đây.
25
Dark Matter

Tôi nghĩ rằng các câu trả lời khác bao gồm gần như tất cả mọi thứ đã có (và đã giải quyết được bí ẩn). Một điều nữa để thử nếu bạn vẫn không chắc chắn về việc xóa nó là làm một bài kiểm tra hét. Bạn sẽ không nhất thiết phải có một độ phân giải như nguồn của tệp, nhưng bạn có thể tin tưởng rằng nó an toàn để xóa.

Đổi tên tập tin thành một cái gì đó khác và xem nếu có bất cứ điều gì xảy ra. Một số điều cần chú ý là

  1. Các tập tin được tạo lại. Điều đó có nghĩa là một cái gì đó gần đây đã làm cho nó và nó có thể dễ dàng hơn để tìm hiểu những gì thông qua lịch sử bash hoặc nhật ký.
  2. Một cái gì đó sụp đổ. Tùy thuộc vào tần suất các chương trình bị sập, đây có thể là cá trích đỏ, nhưng cũng có thể là một gợi ý về nguồn của tệp.

Các phương pháp khác để thực hiện kiểm tra la hét sẽ là xóa tất cả các quyền truy cập để không ai có thể đọc hoặc ghi vào tệp hoặc làm hỏng tệp.

CHỈNH SỬA

Như Daniel chỉ ra, đổi tên tệp sẽ không hoạt động nếu tiến trình vẫn mở tệp. Nếu tệp đang mở, bạn có thể thấy tất cả các tệp đang mở có lsof hoặc bạn có thể tìm thấy id quá trình của các quy trình có tệp mở bằng cách sử dụng fuser. ps sau đó sẽ cung cấp thêm thông tin về các quy trình.

> fuser Sudo
/home/bob/Sudo:  3132  7070
> ps 3132 7070
  PID TTY      STAT   TIME COMMAND
 3132 ?        R    203:50 pdflatex
 7070 ?        Sl     0:45 evince
11
spyr03

Bạn có thể thử "hexdump -C -n 512" để xem liệu có bất kỳ thứ gì bật ra ở bạn trong kết xuất nhị phân hoặc ascii không. Nó có thể là một số hỗn hợp của dữ liệu nhị phân và dữ liệu văn bản. Giống như một tập lệnh mà bạn nhập sai, hexdump có thể cho phép bạn xem một số tập lệnh.

5
Sam

Bạn cũng có thể thử head và xem một vài dòng đầu tiên của tệp. Một vài ký tự đầu tiên có thể tiết lộ điều gì đó về loại tệp. Xem số ma thuật để biết thêm thông tin.

1
d-b

Bạn có thể đi theo cách đơn giản cũ: cài đặt phần mềm chống vi-rút và quét tệp. Đó không phải là một giải pháp hoàn hảo, nhưng đó là một nơi để bắt đầu và ít nhất nó sẽ mang lại cho bạn ít nhất một chút an tâm về nó.

Tôi thực sự hơi ngạc nhiên khi không ai đề xuất điều này.

Tôi không chắc bạn đang dùng bản phân phối nào, nhưng tôi chắc chắn có rất nhiều giải pháp chống vi-rút sẽ hoạt động. Ngoài đỉnh đầu, tôi sẽ cho ClamAV thử một thứ như thế này, có vẻ dễ cài đặt.

0
Radu Murzea