Linux 15.036 Themen, 107.107 Beiträge

Verfolgung starten Optionen

dringend_verdaechtige Datei im root verzeichnis?

polytaen / 13 Antworten / Baumansicht Nickles

Hallo@all,

ich habe eine Datei entdeckt, die im / Verzeichnis liegt (oberste Ebene). sie war ausfuehrbar und von root angelegt (bzw. owner und group root).
ls -la /temo
-rwxr-xr-x 1 root root 6799360 2. Jul 20:41 temo
(die rechte koennen aehnlich gewesen sein, ich habe sie vorsichtshalber auf 000 gesetzt, und woanders hinkopiert).

Hat jemand ne idee, was das sein koennte, oder wie ich das rausfinden koennte? Auffaellig ist, dass die Datei vor 2 Tagen erst angelegt wurde (aber nicht von mir soweit ich weiss). Gehoert das Ding zu irgendnem system-prozess? Ich habe vor kurzem mehrere Kernel kompiliert (vorgestern, gestern, heute), aber ich glaube nicht, dass es damit zusammenhaengt.
Sieht potentiell komisch aus das Ding.
Bis denne
poly

-      .---.        .----------     /     \  __  /     ------    / /     \(  )/    -----   //////   ' \/ `   ---  //// / // :    : --- // /   /  /`    '--//          //..\\       ====MM====MM====           '//||\\`
bei Antwort benachrichtigen
Klaus_T polytaen „dringend_verdaechtige Datei im root verzeichnis?“
Optionen

War das eine Datei oder ein Verzeichnis? Ich habe mal eben gegoogelt, aber nicht viel rausgefunden. Das Wort Temo kam einige male bei Sachen vor, die mit Musik zu tun haben. Koennte das eine MP3 sein oder eine andere Musikdatei? Hast du mal versucht, die mit einem Editor zu oeffnen. Was ergibt die Ausgabe:

file temo

Bye, Klaus

bei Antwort benachrichtigen
polytaen Nachtrag zu: „dringend_verdaechtige Datei im root verzeichnis?“
Optionen

Hi Klaus,
War ne Datei, kein Verzeichnis. Ja, gegoogelt habe ich auch viel , aber wie Du schon sagtest, nicht viel gefunden.
Danke fuer den Tipp mit "file"
# file /temp/temo
/temp/temo: Zip archive data, at least v2.0 to extract

hmm. war das ne selbsextrahierende zip?
Wen ich das versuche zu unzippen kommt folgendes:
[/temp/temo.zip]
End-of-central-directory signature not found. Either this file
is not a zipfile, or it constitutes one disk of a multi-part
archive. In the latter case the central directory and zipfile
comment will be found on the last disk(s) of this archive.
zipinfo: cannot find zipfile directory in one of /temp/temo.zip
or /temp/temo.zip.zip, and cannot find /temp/temo.zip.ZIP, period.

Nun vim: sieht aus wie n binary, bzw verschluesselt. Kein lesbarer Text...null! Das habe ich als erstes probiert.
Weiere ideen hab ich auch keine mehr. Wenn das System ne weile stabil laeuft, werd ich sie wohl von der Diskette loeschen, und vergessen.Wenns halt n Trojaner war, hab ich wohl Pech gehabt.
Werd mal weitersuchen
Vielen Dank schonmal
poly

-      .---.        .----------     /     \  __  /     ------    / /     \(  )/    -----   //////   ' \/ `   ---  //// / // :    : --- // /   /  /`    '--//          //..\\       ====MM====MM====           '//||\\`
bei Antwort benachrichtigen
neanderwix polytaen „Hi Klaus, War ne Datei, kein Verzeichnis. Ja, gegoogelt habe ich auch viel ,...“
Optionen

Wenn's nicht zuviel verlangt ist : magst Du mir das Ding zumailen ? ralphmiguel@t-online.de . Das macht mich neugierig....

bei Antwort benachrichtigen
polytaen neanderwix „Wenn s nicht zuviel verlangt ist : magst Du mir das Ding zumailen ?...“
Optionen

Hi Ralph. Ich habe es Dir gerade geschickt, aber es hat sich als Fehlalarm heruagestellt.
Trotzdem Danke fuer das Hilfeangebot.
poly

-      .---.        .----------     /     \  __  /     ------    / /     \(  )/    -----   //////   ' \/ `   ---  //// / // :    : --- // /   /  /`    '--//          //..\\       ====MM====MM====           '//||\\`
bei Antwort benachrichtigen
neanderwix polytaen „Hi Ralph. Ich habe es Dir gerade geschickt, aber es hat sich als Fehlalarm...“
Optionen

Gottseidank.... obwohl ich schon aus zoologischem Interesse an Virii etc. interessiert bin. So selbstlos war ich also nicht. Der Unterschied zwischen Klaus_T und mir : Er hat Ahnung und ich bin ein Arschloch. Uebrigens habe ich zu danken, nicht jeder kommt so einer Bitte nach. Die Datei wird natuerlich umgehend geloescht (nachdem ich Deine Kontonummer extrahiert habe).

bei Antwort benachrichtigen
polytaen neanderwix „Gottseidank.... obwohl ich schon aus zoologischem Interesse an Virii etc....“
Optionen

Oh ein latriner!
Die extrahier mal schoen, dann kann mein eingebauter Trojaner schon mal seine Arbeit verrichten *g*.
Ist schon ok, wenn Du an einem Vortrag ueber "Leptin" interessiert bist, bitte, Du bist herzlich eingeladen ;)
Bis denne
poly

-      .---.        .----------     /     \  __  /     ------    / /     \(  )/    -----   //////   ' \/ `   ---  //// / // :    : --- // /   /  /`    '--//          //..\\       ====MM====MM====           '//||\\`
bei Antwort benachrichtigen
Klaus_T neanderwix „Gottseidank.... obwohl ich schon aus zoologischem Interesse an Virii etc....“
Optionen

Hey, wer wird denn gleich so hart zu sich sein? Ich habe auch schon jede Menge Tipps von dir gesehen, die ich nicht wusste. Also, ich hoffe du nimmst das Arschloch zurueck. (-;
Aeh, wenn du die Kontonummer hast, bitte umleiten auf meine E-mail-Adresse. Danke

Bye, KLaus

bei Antwort benachrichtigen
Klaus_T polytaen „Hi Klaus, War ne Datei, kein Verzeichnis. Ja, gegoogelt habe ich auch viel ,...“
Optionen

>/temp/temo: Zip archive data, at least v2.0 to extract

Versuch es mal mit zipinfo /temp/temo

Was kommt da?

Dann versuch es mal mit:

zip -F temp/temo

oder

zip -FF temp/temo

Bye, Klaus

bei Antwort benachrichtigen
Klaus_T Nachtrag zu: „ /temp/temo: Zip archive data, at least v2.0 to extract Versuch es mal mit...“
Optionen

Oder versuch es mal mit:

gunzip

Klaus

bei Antwort benachrichtigen
polytaen Klaus_T „Oder versuch es mal mit: gunzip Klaus“
Optionen

Oah! Klaus, vielen Dank!
das war irgendwie n trunkiertes zipfile! Wie das dahin gekommen ist, weiss ich allerdings nicht.
Das war ein zipfile von mir, in dem ein Vortrag lag. Wie es allerdings zu diesen Rechten und diesem Dateinamen kam weiss ich nicht. Ich hoffe, dass sich hier ein Labormitglied einen Scherz erlaubt hat (in einem unbeobachteten Moment)
zip -FF /temp/temo brachte die Lösung
Das listete dann die files auf, und meinte das Ding ist korrumpiert.
Ah. Da stehen noch irgendwelchen absoluten Pfade zu unserem Server drin. Vielleicht gabs da ein Problem. Werd mal nachsehen.

Vielen Dank
Hast schon mehrere Rotweine (oder Bier, oder Teee, egal) bei mir gut!
Gruesse
poly

-      .---.        .----------     /     \  __  /     ------    / /     \(  )/    -----   //////   ' \/ `   ---  //// / // :    : --- // /   /  /`    '--//          //..\\       ====MM====MM====           '//||\\`
bei Antwort benachrichtigen
Klaus_T polytaen „Oah! Klaus, vielen Dank! das war irgendwie n trunkiertes zipfile! Wie das dahin...“
Optionen

Cola light koffeinfrei. Ich bin absoluter (ueberzeugter) Antialkoholiker.

Bye, Klaus

bei Antwort benachrichtigen
neanderwix Klaus_T „Cola light koffeinfrei. Ich bin absoluter ueberzeugter Antialkoholiker. Bye, Klaus“
Optionen

Alkoholfrei = me too . Cola Light = Wer sowas trinkt, der frisst auch kleine Kinder. Wuerg !

bei Antwort benachrichtigen
Klaus_T neanderwix „Alkoholfrei me too . Cola Light Wer sowas trinkt, der frisst auch kleine Kinder....“
Optionen

Wieso? Jeden morgen und jeden Abend ein AK (Arschlochkind). Das muss sein.
(-;

Klaus

bei Antwort benachrichtigen