GNU/Linux >> Linux Esercitazione >  >> Linux

Come indagare su un file sconosciuto da 1,5 GB denominato sudo nella mia home directory di Linux?

Probabilmente l'hai fatto per caso con un comando di shell fallito. Ho fatto cose del genere anch'io. Di conseguenza è probabilmente pieno di dati innocui. Ecco alcuni motivi per cui immagino che non lo sia dannoso:

  1. 1,5 GB sarebbe un virus estremamente grande. Dal momento che i virus vengono generalmente trasmessi su una rete, più piccolo è meglio.
  2. Non è eseguibile.
  3. I malware in genere si nascondono molto meglio di così.
  4. file pensa che sia solo un file di dati.

Ovviamente niente di tutto ciò dimostra che non è dannoso (ovvero i virus non hanno essere piccolo, solo perché non è eseguibile non significa che potrebbe non far parte di un payload dannoso, e talvolta non si preoccupano di nascondersi), ma sospetto che sia innocuo. Questo è probabilmente troppo vecchio, ma vedrei se la cronologia di bash arriva al giorno/ora in questione.

Mi rendo conto di non averti dato alcun suggerimento su come analizzare il file, ma hai già raggiunto i principali helper (file e strings ), e non hanno aiutato! Un file pieno di dati casuali da un comando errato spiegherebbe cosa stai vedendo e probabilmente ha maggiori possibilità di generare un file chiamato sudo nella tua home directory rispetto al malware, IMO.


Qualcuno ha qualche consiglio su come procedere nell'indagine su questo file?

Da file non riconosce i "dati" come eseguibili, sarà difficile tentare di analizzarli dinamicamente (eseguendoli) a meno che non si riesca a trovare il punto di ingresso corretto.

Un altro strumento Linux standard che potresti provare è:

stat

Questo ti darà un po 'più di informazioni sui metadati rispetto a quello che puoi vedere solo con l'elenco delle directory.

Un altro strumento che potresti provare è:

binwalk

che può fornire l'analisi di file binari come le immagini del firmware. Ad esempio, se il file binario contiene un file system binwalk potrebbe riconoscerlo.

Un altro strumento disponibile gratuitamente su Linux è "The Sleuth Kit". Se il file binario è un'immagine disco non elaborata o dati del file system, puoi provare a elaborarlo con "The Sleuth Kit".

Potresti anche provare a inserire il binario in IDA (il "Disassembler interattivo" di Hexrays - è disponibile una versione freeware) per vedere se IDA può dargli un senso. Ma se file non lo riconosce, non sono troppo fiducioso che IDA lo faccia.


Inizierei con history | grep sudo dal terminale e guarda i comandi sudo più recenti per vedere se qualcuno è malformato.

  • È la tua home directory.
  • Non hai detto che ha una proprietà speciale, quindi presumo che tu lo possieda.
  • Si tratta quasi certamente di un comando di shell mal riuscito, quindi probabilmente l'hai fatto dal terminale.
  • Potrebbe essere qualcosa creato da uno script, ma è piuttosto raro inserire comandi "sudo" in uno script.
  • Si mostra apertamente e ovviamente, quindi probabilmente l'avresti notato se non l'avessi creato di recente.

Linux

  1. Come rendere non cancellabili file e directory, anche per root in Linux

  2. Come trovare il file più vecchio in un albero di directory in Linux

  3. Come posso abilitare l'indicizzazione di file e directory Apache in Linux o UNIX?

  4. UNIX / Linux:come utilizzare Sticky Bit su directory e file

  5. Come trovare la home directory di un utente su Linux o Unix?

Come copiare file e directory in Linux

Come creare un file in Linux

Come modificare il file di registro di Sudo predefinito in Linux

Come collegare simbolicamente un file in Linux

Come copiare la directory su Linux

Come migrare la directory HOME su Linux