it-swarm.com.de

Wie untersuche ich eine unbekannte 1,5-GB-Datei mit dem Namen "Sudo" in meinem Linux-Ausgangsverzeichnis?

Ich habe in meinem Home-Verzeichnis eine Datei mit dem Namen "Sudo" gefunden. Es ist 1,5 GB groß und ich habe keine Ahnung, woher es kommt.

-rw-r--r--  1 foo foo 1598296064 Aug  9 11:22 Sudo

Hat jemand Tipps, wie Sie diese Datei untersuchen können? Ich befürchte, dass mein Computer kompromittiert wird, möchte aber trotzdem wissen, womit ich es zu tun habe.

Folgendes habe ich bisher getan:

  • Laufen file Sudo zeigt "Sudo: Daten".
  • Laufen strings Sudo zeigte eine große Menge zufälliger Daten.
  • Laufen which Sudo zeigt auf die Sudo-Datei in /usr/bin/Sudo

Wenn es sich um eine ausführbare Binärdatei handelt, möchte ich sie ausführen, sie kann jedoch vorher auf eine virtuelle Maschine übertragen werden. Ich habe begrenzte gdb Kenntnisse, so dass ich es zumindest überprüfen kann.

67
Karlo Licudine

Sie haben es wahrscheinlich versehentlich mit einem verpfuschten Shell-Befehl geschafft. Ich habe solche Sachen selbst gemacht. Infolgedessen ist es wahrscheinlich mit harmlosen Daten gefüllt. Hier sind einige Gründe, warum ich vermuten würde, dass es nicht bösartig ist:

  1. 1,5 GB wären ein extrem großer Virus. Da Viren normalerweise über ein Netzwerk übertragen werden, ist kleiner besser.
  2. Es ist nicht ausführbar.
  3. Malware versteckt sich normalerweise viel besser.
  4. file denkt, es ist nur eine Datendatei.

Natürlich beweist nichts davon, dass es nicht bösartig ist (auch bekannt als Viren nicht haben, um klein zu sein, nur weil es nicht ausführbar ist, heißt das nicht, dass es möglicherweise nicht Teil einer böswilligen Nutzlast ist und manchmal verstecken sie sich nicht), aber ich vermute, das ist harmlos. Dies ist wahrscheinlich zu alt, aber ich würde sehen, ob Ihre Bash-Historie zu dem fraglichen Tag/der fraglichen Uhrzeit geht.

Mir ist klar, dass ich Ihnen keine Hinweise zur Analyse der Datei gegeben habe, aber Sie haben bereits die wichtigsten Helfer (file und strings) getroffen, und sie haben nicht geholfen! Eine Datei, die mit zufälligen Daten aus einem fehlerhaften Befehl gefüllt ist, würde erklären, was Sie sehen, und hat wahrscheinlich eine bessere Chance, eine Datei mit dem Namen Sudo in Ihrem Home-Verzeichnis zu generieren als Malware, IMO.

144
Conor Mancone

Hat jemand Tipps, wie Sie diese Datei untersuchen können?

Da file die "Daten" nicht als ausführbare Datei erkennt, ist es schwierig, eine dynamische Analyse (durch Ausführen) zu versuchen, es sei denn, Sie finden den richtigen Einstiegspunkt.

Ein weiteres Standard-Linux-Tool, das Sie ausprobieren können, ist:

stat

Dadurch erhalten Sie ein wenig mehr Metadateninformationen als nur in der Verzeichnisliste angezeigt werden.

Ein weiteres Tool, das Sie ausprobieren können, ist:

binwalk

dies kann die Analyse von Binärdateien wie Firmware-Images ermöglichen. Wenn die Binärdatei beispielsweise ein Dateisystem enthält, erkennt binwalk dies möglicherweise.

Ein weiteres unter Linux frei verfügbares Tool ist "The Sleuth Kit". Wenn es sich bei der Binärdatei zufällig um ein Raw-Disk-Image oder um Dateisystemdaten handelt, können Sie versuchen, sie mit "The Sleuth Kit" zu verarbeiten.

Sie können auch versuchen, die Binärdatei in IDA (den " Interactive Disassembler " von Hexrays - eine Freeware-Version ist verfügbar) abzulegen, um festzustellen, ob IDA einen Sinn daraus ziehen kann. Aber wenn file es nicht erkennt, bin ich nicht zu hoffnungsvoll, dass IDA es tun wird.

25
hft

Ich würde mit history | grep Sudo Vom Terminal aus beginnen und mir die neuesten Sudo-Befehle ansehen, um festzustellen, ob sie fehlerhaft sind.

  • Es ist Ihr Home-Verzeichnis.
  • Sie haben nicht gesagt, dass es ein besonderes Eigentum hat, also gehe ich davon aus, dass Sie es besitzen.
  • Es ist mit ziemlicher Sicherheit ein verpfuschtes Shell-Kommando, also haben Sie es wahrscheinlich vom Terminal aus geschafft.
  • Es könnte etwas sein, das von einem Skript erstellt wurde, aber es ist ziemlich selten, "Sudo" -Befehle in ein Skript einzufügen.
  • Es zeigt sich offen und offensichtlich, so dass Sie es wahrscheinlich bemerkt hätten, wenn Sie es nicht kürzlich erstellt hätten.
25
Dark Matter

Ich denke, die anderen Antworten decken fast alles bereits ab (und haben das Rätsel bereits gelöst). Eine weitere Möglichkeit, wenn Sie sich beim Löschen nicht sicher sind, ist ein Schrei-Test. Sie werden nicht unbedingt eine Auflösung bezüglich der Quelle der Datei erhalten, aber Sie können sicher sein, dass das Entfernen sicher ist.

Benennen Sie die Datei in etwas anderes um und prüfen Sie, ob etwas passiert. Einige Dinge, auf die Sie achten sollten, sind

  1. Die Datei wird neu erstellt. Das bedeutet, dass etwas Neues es geschafft hat und es möglicherweise einfacher ist, durch Bash-Verlauf oder Protokolle herauszufinden, was passiert.
  2. Etwas stürzt ab. Abhängig davon, wie oft Programme abstürzen, kann dies ein roter Hering sein, aber auch ein Hinweis auf die Quelle der Datei.

Andere Methoden, um einen Schrei-Test durchzuführen, bestehen darin, alle Zugriffsberechtigungen zu entfernen, damit niemand die Datei lesen oder schreiben kann, oder die Datei zu beschädigen.

EDIT

Wie Daniel betont, funktioniert das Umbenennen der Datei nicht, wenn die Datei noch geöffnet ist. Wenn die Datei geöffnet ist, können Sie alle geöffneten Dateien mit lsof anzeigen oder die Prozess-ID (s) der Prozesse finden, bei denen die Datei mit fuser geöffnet ist. ps gibt dann weitere Informationen zu den Prozessen.

> fuser Sudo
/home/bob/Sudo:  3132  7070
> ps 3132 7070
  PID TTY      STAT   TIME COMMAND
 3132 ?        R    203:50 pdflatex
 7070 ?        Sl     0:45 evince
11
spyr03

Sie können "hexdump -C -n 512" versuchen, um festzustellen, ob im Binär- oder ASCII-Dump etwas auf Sie zukommt. Es könnte eine Mischung aus Binärdaten und Textdaten sein. Wie bei einem Skript, das Sie falsch eingegeben haben, können Sie mit dem Hexdump möglicherweise einen Teil des Skripts anzeigen.

5
Sam

Sie können auch head ausprobieren und die ersten Zeilen der Datei anzeigen. Die ersten paar Zeichen könnten etwas über den Dateityp verraten. Siehe magische Zahl für weitere Informationen.

1
d-b

Sie könnten den einfachen alten Weg gehen: Installieren eines Antivirenprogramms und Scannen der Datei. Es ist keine perfekte Lösung, aber es ist ein Ausgangspunkt, und zumindest würde es Ihnen zumindest ein wenig Ruhe geben.

Ich bin eigentlich ein bisschen überrascht, dass niemand dies vorgeschlagen hat.

Ich bin mir nicht sicher, auf welcher Distribution Sie sich befinden, aber ich bin mir sicher, dass es viele Antivirenlösungen gibt, die funktionieren würden. Aus dem Kopf würde ich ClamAV für so etwas ausprobieren, scheint einfach zu installieren.

0
Radu Murzea