GNU/Linux >> Znalost Linux >  >> Linux

Jak prozkoumat neznámý 1,5 GB soubor s názvem sudo v mém domovském adresáři Linuxu?

Pravděpodobně jste to udělali náhodou pomocí zpackaného příkazu shellu. Sám jsem takové věci dělal. V důsledku toho je pravděpodobně naplněn neškodnými údaji. Zde je několik důvodů, proč bych to tipoval ne škodlivý:

  1. 1,5 GB by byl extrémně velký virus. Vzhledem k tomu, že viry jsou obvykle přenášeny po síti, menší je lepší.
  2. Není spustitelný.
  3. Malware se obvykle skrývá mnohem lépe než toto.
  4. file si myslí, že je to jen datový soubor.

Nic z toho samozřejmě nedokazuje, že to není škodlivé (viry také nemají být malý, jen proto, že není spustitelný, neznamená, že nemusí být součástí škodlivého nákladu, a někdy se neobtěžují skrývat), ale mám podezření, že je to neškodné. Toto je pravděpodobně příliš staré, ale chtěl bych zjistit, zda vaše historie bash sahá k příslušnému dni/času.

Uvědomuji si, že jsem vám nedal žádné rady, jak soubor analyzovat, ale už jste narazili na hlavní pomocníky (file a strings ), a nepomohli! Soubor plný náhodných dat z chybného příkazu by vysvětlil, co vidíte, a pravděpodobně má větší šanci vygenerovat soubor s názvem sudo ve vašem domovském adresáři než malware, IMO.


Má někdo nějaké tipy, jak pokračovat ve vyšetřování tohoto souboru?

Od file nerozpozná "data" jako spustitelný soubor, bude obtížné pokusit se o dynamickou analýzu (spuštěním), pokud nenajdete správný vstupní bod.

Další standardní nástroj Linuxu, který můžete vyzkoušet, je:

stat

To vám poskytne o něco více informací o metadatech, než jaké můžete vidět pouze s výpisem adresáře.

Další nástroj, který můžete vyzkoušet, je:

binwalk

který může poskytnout analýzu binárních souborů, jako jsou obrázky firmwaru. Pokud například binární soubor obsahuje systém souborů binwalk může to rozpoznat.

Dalším nástrojem volně dostupným na Linuxu je „The Sleuth Kit“. Pokud je binární soubor nezpracovaným obrazem disku nebo daty systému souborů, můžete jej zkusit zpracovat pomocí "The Sleuth Kit."

Můžete také zkusit přenést binární soubor do IDA ("Interactive Disassembler" od Hexrays - je k dispozici bezplatná verze), abyste zjistili, zda to IDA může dávat smysl. Ale pokud file nerozpozná, moc doufám, že to IDA nebude.


Začal bych s history | grep sudo z terminálu a podívejte se na nejnovější příkazy sudo, abyste zjistili, zda nejsou některé chybné.

  • Je to váš domovský adresář.
  • Neřekli jste, že má zvláštní vlastnictví, takže budu předpokládat, že jej vlastníte.
  • Je to téměř jistě zpackaný příkaz shellu, takže jste to pravděpodobně udělali z terminálu.
  • Může to být něco vytvořeného skriptem, ale vkládat příkazy „sudo“ do skriptu je velmi vzácné.
  • Zobrazuje se otevřeně a očividně, takže byste si toho pravděpodobně všimli, kdybyste jej nedávno nevytvořili.

Linux

  1. Jak odstranit uživatelské účty pomocí domovského adresáře v systému Linux

  2. Jak najít soubor v Linuxu ve všech adresářích rekurzivně

  3. Jak přejmenovat soubor v Linuxu?

  1. Jak zajistit, aby byly soubory a adresáře neodstranitelné, a to i přes kořen v Linuxu

  2. Jak najít nejstarší soubor ve stromu adresářů v Linuxu

  3. Jak zkopíruji soubor/složku z domovského adresáře jiného uživatele v Linuxu?

  1. Jak vytvořit uživatele s vlastním domovským adresářem v Linuxu

  2. Linux – Jak lze zkontrolovat informace o struktuře adresářů souboru Unix/linux?

  3. Jak povolím indexování souborů a adresářů Apache v systému Linux nebo UNIX?