저는 Fedora 20을 실행하고 있는데 오늘 제 홈 디렉터리에서 매우 의심스러워 보이는 파일을 발견했습니다. 파일 이름은 base64로 인코딩된 문자열인 것처럼 보이지만 의미 있는 내용으로 디코딩되지 않습니다.
n5LJFcZz+8slfpALAFzHk8msAh9vsDCiYwKvzw8uAirPE00Jq9HqTSvlT9ChhjZtA==
파일 내용은 다음과 같습니다.
내가 보고 있는 것에 대한 아이디어가 있나요? 내 컴퓨터에서 rkhunter를 실행하고 싶은데, 추가적으로 해야 할 일이 있나요?
업데이트: 이 파일은 이 컴퓨터의 유일한 사용자인 내 사용자 이름의 소유입니다.
$ stat n5LJFcZz+8slfpALAFzHk8msAh9vsDCiYwKvzw8uAirPE00Jq9HqTSvlT9ChhjZtA== File: ‘n5LJFcZz+8slfpALAFzHk8msAh9vsDCiYwKvzw8uAirPE00Jq9HqTSvlT9ChhjZtA==’ Size: 888 Blocks: 8 IO Block: 4096 regular file Device: fd05h/64773d Inode: 3021277 Links: 1 Access: (0664/-rw-rw-r--) Uid: ( 1000/mvandemar) Gid: ( 1000/mvandemar) Context: unconfined_u:object_r:user_home_t:s0 Access: 2014-07-23 12:51:37.316782678 -0400 Modify: 2014-05-28 18:25:21.362568805 -0400 Change: 2014-05-28 18:25:21.364568810 -0400 Birth: -
두 달 전에 내가 무엇을 하고 있었는지 모르겠어요. lsof전혀 출력이 없습니다. sshdhtop을 통해 다음 명령을 볼 수 있지만 내 컴퓨터에서는 작동하지 않습니다(최종 ssh를 통한 로그인도 표시되지 않음).
/usr/bin/ssh-agent /bin/sh -c exec -l /bin/bash -c "cinnamon-session-cinnamon"
내가 무엇을 더 찾아야 할지 잘 모르겠습니다.
답변1
이것이 보안 취약점을 나타낼 가능성은 거의 없습니다. 제대로 구현되지 않은 악성 코드는 도트 파일을 사용하여 어느 정도 은밀하게 작동할 수 있습니다. 더 잘 구현된 악성 코드는 파일이 나타나지 않도록 커널을 패치하여 자신을 숨깁니다.
일반적인 설명은 실수로 >해당 문자와 해당 텍스트가 포함된 행을 터미널에 붙여넣었다는 것입니다. >파일 이름 뒤에 출력 리디렉션이 오기 때문에 해당 터미널에서 실행 중인 셸이 파일을 생성하게 됩니다 . 해당 줄에 다른 내용이 있거나 다른 줄이 있으면 쉘은 수많은 구문 오류에 대해 불평할 수 있으며 몇 달 안에 해당 사건에 대해 잊어버릴 것입니다.
파일 이름은 다음과 같이 인코딩됩니다.Base64. 블록의 마지막 부분( =끝 부분에 제공)이며 시작 부분이 누락되었습니다. Base64로 인코딩된 데이터의 여러 줄이 있을 수 있으며 >줄 시작 부분에 연속 또는 인용 문자가 있습니다.
파일의 내용을 볼 수 있으며 붙여넣은 내용에 대한 단서를 제공할 수 있습니다. 그러나 그것은 중요하지 않습니다. 파일을 삭제하시면 됩니다.
답변2
다음 명령을 사용하여 어떤 프로세스가 파일을 생성하고 있는지 알아낼 수 있습니다 lsof.
lsof n5LJFcZz+8slfpALAFzHk8msAh9vsDCiYwKvzw8uAirPE00Jq9HqTSvlT9ChhjZtA==1
더욱 강력한 도구는 inotify디렉터리의 특정 파일 생성을 모니터링할 수 있다는 것입니다.
보세요파일을 생성하는 프로세스 확인더 많은 정보를 알고 싶습니다.