LINUX.ORG.RU

Появился и исчез файл a.out в директории рута.

 , , ,


0

8

Реально, что за чертовщина?

Зашел в рутовый терминал, сделал прикола ради 'ls -l', смотрю — какой-то файл исполняемый a.out прямо в рутовой директории, ну думаю что за дичь, ай думаю запущу, запустил и ничего, ldd ничего не показал, посмотрел внутрь — бинарник, открыл сразу тред сюда писать, думаю вернусь натравлю file и приложу информацию об этом.

Я офигел — файла больше не было. Я его не удалял, проверил по history и вообще ничего в рутовой директории не собирал/компилировал.

Тем более из этого терминала я не выходил, файл исчез сам! Но locate то его помнит:

~ # locate a.out
/root/a.out
/usr/include/a.out.h
/usr/include/asm/a.out.h
/usr/include/bits/a.out.h
/usr/include/linux/a.out.h
Что это было и куда он исчез? Почему появился?

смотрю — какой-то файл исполняемый a.out прямо в рутовой директории, ну думаю что за дичь, ай думаю запущу

Это ты герой тех сюжетов где едят «eat me» и пьют «drink me», а потом треш и угар?

Deleted ()

пора переустанавливать виндовс линукс

admucher ()
Ответ на: комментарий от admucher

а ведь пора, да и в генту отписать нужно, система свежесобранная неделю назад на новый диск. Только завтра собирался скидывать сюда сенсетивные данные типа проектов и прочих файлов с паролями.

Bruce_Lee ★★ ()
Последнее исправление: Bruce_Lee (всего исправлений: 1)
Ответ на: комментарий от Bruce_Lee

Как звёзды сошлись...

А если без шуток, то аоут отлично гуглится

admucher ()
Ответ на: комментарий от Bruce_Lee

Наверняка это ебилды у вас корявые, срущие прямиком в ~/

entefeed ☆☆☆ ()

из history:

28510  ll # ls -l
28511  vim a.out 
28512  ./a.out 
28513  ldd a.out 
28514  ld a.out 
28515  hgi a.out # history | grep -i a.out
и всё, дальше он исчез когда я переключился натравить на него file.

Bruce_Lee ★★ ()

А ты конпелятор случайно не запускал от рута без указания выдаваемого бинарника? По дефолту gcc линкуемый бинарник a.out называет

Harald ★★★★★ ()
Ответ на: комментарий от admucher

что такое a.out я знаю, кто мог запустить в руте компилятор, если я этого не делал?

Bruce_Lee ★★ ()
Ответ на: комментарий от Bruce_Lee

а что в /var/log/auth.log?

вдруг какой злочинец залогинился по ssh в это время :)

Harald ★★★★★ ()
Ответ на: комментарий от Harald

Вот история до обнаружения:

28496  vim /etc/X11/xorg.conf.d/50-synaptics.conf 
28497  vim /etc/X11/xorg.conf.d/90-libinput.conf 
28498  cd /etc/X11/xorg.conf.d/
28499  ll
28500  cp 50-synaptics.conf 91-synaptics.conf 
28501  vim 91-synaptics.conf 
28502  ll
28503  vim 91-synaptics.conf 
28504  cd /etc/X11/xorg.conf.d/
28505  ll
28506  rm 50-synaptics.conf 
28507  ll
28508  vim 20-intel.conf 
28509  /etc/init.d/rdate restart

Bruce_Lee ★★ ()

А теперь-то что об этом писать? Надеешься на то что кто-то одолжит машину времени?

NextGenenration ★★ ()
Ответ на: комментарий от Bruce_Lee

из history:

Если этот файл был создан скриптом, то напрямую об этом история не скажет. Если его создавал кто-то нехороший, то думаю он мог спокойно отключить вывод истории

NextGenenration ★★ ()
Ответ на: комментарий от Harald

вдруг какой злочинец залогинился по ssh в это время :)

у меня только по ключам, да и я за натом. Думаешь могли роутер на openwrt хакнуть? Могли, черти, надо проверять.

Bruce_Lee ★★ ()

Ну его нах, отвечаю, это был вирус или типа того, форматну диск и скомпиляю генту со свежего стейджа опять и буду наблюдать.

Bruce_Lee ★★ ()
Ответ на: комментарий от Bruce_Lee

Загрузись с лайв сиди, прогони R-Studio или testdisk на предмет этого самого a.out. Я хочу его потыкать. Если нужен серийник для R-Studio, свяжись со мной.

ZenitharChampion ★★★★★ ()
Последнее исправление: ZenitharChampion (всего исправлений: 1)
Ответ на: комментарий от ZenitharChampion

загрузился с убунты 16.04.3 лив, testdisk в директории рута этого файла не видит, пробовать R-Studio?

Bruce_Lee ★★ ()

открыл сразу тред сюда писать, думаю вернусь натравлю file и приложу информацию об этом.

Я офигел — файла больше не было.

На первом мистическом. ТВ3

Deleted ()
Ответ на: комментарий от Bruce_Lee

Если что-нить наковыряете - выхожи, тоже интересно стало потыкать.

pawnhearts ★★★★★ ()
Ответ на: комментарий от Bruce_Lee

Насчёт a.out не скажу.
У меня всегда в начале сессии запускается

echo 100000 > /proc/sys/fs/inotify/max_user_watches ; inotifywait -m -r -e create -e delete / @/home/ @/var @/media/ @/tmp @/dev @/run @/sys

Полезно наблюдать за fs

Последовательность изменений fs может подсказать, откуда и что.

record ★★★★★ ()
Последнее исправление: record (всего исправлений: 1)

Отставить панику!

1. Файл мог появиться из-за каких-либо экспериментов с GCC. Например, ты мог запустить в ~/ root'а что-то вроде:

echo 'main(i){for(i=0;;i++)putchar(((i*(i>>17|i>>9)&46&i>>3))^(i&i>>10|i>>100));}' | gcc -x c - && ./a.out | aplay -D pulse

2. Файл сам не удалился, ты удалил его сам командой:

ld a.out

(передай привет UNIX-Way)

EXL ★★★★★ ()
Последнее исправление: EXL (всего исправлений: 3)

ни testdisk ни R-Studio файл удаленный и какой угодно и где угодно файл a.out не находят, хотя действительно нашли то, что удалялось минут 10 до того, как я обнаружил этот файл, а именно /etc/X11/xorg.conf.d/50-synaptics.conf

Bruce_Lee ★★ ()
Ответ на: Отставить панику! от EXL

а черт, да, действительно ld удаляет, я не в курсе, вручную и вообще не приходилось его запускать.

Bruce_Lee ★★ ()

Ну вас нафиг с вашими неординарными дистрами!
Мало того, что потратил кучу машинного времени, выжирая электричество, так можно и рабочее время потратить.

А если уволишься, то еще и искать очередного неформатного специалиста, который будет по куску выковыривать твое поделие на промышленный дистр %-)


Извините, вырвалось!!

Deleted ()
Ответ на: комментарий от Deleted

Твои слова заставили меня подумать, представить и осознать — какая между нами пропасть, жесть, я уже и забыл, что можно где-то работать, откуда можно уволиться или откуда могут уволить тебя. Мы живем в разны мирах.

Bruce_Lee ★★ ()

a.out

С фантазией слабо у хуцкеров.

У меня были случаи феерические, называли даже моим логином.

Deleted ()
Ответ на: комментарий от Deleted

Мало того, что потратил кучу машинного времени, выжирая электричество, так можно и рабочее время потратить.

На моей железке компиляция едва нагружает проц наполовину. Тут скорее многочасовой рендеринг в Blender будет выжирать электричество.

Deleted ()
Ответ на: комментарий от Bruce_Lee

В иных отношениях у тебя даже более нервная ситуация, чем у твоих сотрудников: в случае косяка они максимум потеряют работу, а ты — бизнес. Хотя да, зарплата компенсирует.

Vsevolod-linuxoid ★★★★★ ()

ай думаю запущу, запустил

Это ты, тот медведь, что сел и сгорел? :)

KRoN73 ★★★★★ ()
Ответ на: комментарий от Bruce_Lee

А каким образом ты зарабатываешь на жизнь с черной икрой? (Эрзента не будем звать, думаю)

Zhbert ★★★★★ ()
Ответ на: комментарий от KRoN73

Как-то в точку.

Спасибо, Роман, полминуты искреннего смеха с утреца это хорошо!

Twissel ★★★★★ ()
Последнее исправление: Twissel (всего исправлений: 1)

сделай что нибудь с gcc as и ld. испорть эти бинари, чтоб вместо них был файл, выполняющий while(1) sleep(1);

ckotinko ☆☆☆ ()

если есть llvm его тоже ломай. lld, llc туда же. сохрани копии и заменяй всё что может компилировать и линковать на заглушку, уходящую в бесконечный цикл.

если у тебя руткит, то он а)кривой ибо палится (скомпилировать вирус под линукс - именно про это) б)он все таки ждет завершения работы компилятора.

ckotinko ☆☆☆ ()
Ответ на: комментарий от Deleted

А ничего, что кроме генты не осталось уже приличных дистров без поцтерошлака?

Или предлагаешь systemd на компьютер вкорячивать? Это только извращенцам и кнопкодавам годится!

anonymous ()
Ответ на: комментарий от anonymous

А ничего, что кроме генты не осталось уже приличных дистров без поцтерошлака?

Сколь велики твои познания

NextGenenration ★★ ()
Ответ на: комментарий от ckotinko

если у тебя руткит, то он а)кривой ибо палится (скомпилировать вирус под линукс - именно про это) б)он все таки ждет завершения работы компилятора.

Если как-то проник вирус, то протащить компилятор вообще не проблема

NextGenenration ★★ ()

Пароли поменяй.

Ygor ★★★★★ ()
Ответ на: комментарий от NextGenenration

Я знаю, что есть еще минорные дистры без говна, но они либо обновляются раз в год, либо там половина пакетов ставится через задницу, и система по сути превращается в свалку слаку!

anonymous ()

На деле топикстартер воспользовался обоими шансами выстрелить себе в ногу:

1) запуск неизвестного исполняемого файла

2) Использовал ldd на него

Не надо использовать ldd на недоверенных файлах, для таких надо использовать objdump, которая настоящая программа, а не запуск программы с особыми переменными окружения как ldd: http://www.catonmat.net/blog/ldd-arbitrary-code-execution/

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.