Троян или мой глюк?

Да, кроме того в моей ~ была обнаружена ещё какая-то подозрительная ~/.* директория, я её удалил уже, но помню, что там в одном из файлов упоминался сайт fullcirclesoftware.com.
Не знаю, связано это как-то с тем файлом или нет. Просто я посмотрел список файлов в $HOME и увидел.

Ошибся, не в /home, а в $HOME

Поищи в истории команды, начинающиеся со слова gcc ;)

http://ubuntuforums.org/archive/index.php/t-546555.html
Про директорию .fullcircle нашел, она связана с firefox и аддоном talkback, подтверждено экспериментально.
Но сайт какой-то подозрительный всё равно.

Нету. Да и вот это подсказывает, что не я компилил:
$ strings ~/a.out | grep -i gcc | uniq
GCC: (GNU) 2.95.3 20010315 (release)

это было отрыто в секции данных.

p._.typeset.readonly.local.export.declare.alias.unset.trap.times.shift.set.return.exit.exec.eval.continue...:.break.....................>│ │. is a shell keyword │ │. is an alias for %s │ │. a tracked alias for.. is%s %s │ │. is %s │ │.: %s │ │. is a shell function │ │. is a shell builtin │ │.: not found │ │.%s is a reserved word │ │.%s │ │.%s is aliased to `%s' │ │.alias %s='%s' │ │.%s is %s │ │.%s is a function │ │.........%s is a special built-in utility │ │.%s is a built-in utility │ │.%s not found │ │.pvV...................command: nextopt returned character code 0%o │ │...................command [-p] command [arg ...] │ │.command {-v|-V} command │ │.wait.unalias.umask.true.read.newgrp.kill.jobs.getopts.fg.fc.false.command.cd.bg.alias..................HOME............................mi>│ │.null or .%.*s: parameter %snot set. ???????p???????"???v???p???????????R???R???????????????????W?????????????????????????????????????????>│ │.../.............not compiled with history support...............................sh: turning off NDELAY mode │ │.Can't open %s.Out of file descriptors..............................sh: can't access tty; job control turned off │ │...................Usage: kill [-s sigspec | -signum | -sigspec] [pid | job]... or │ │kill -l [exitstatus].ls:........nextopt returned character code 0%o.0

/usr/bin/kmk_ash

Спасибо за идею по распространинию троянов!

> /usr/bin/kmk_ash
У меня такого файла нету. Но да, судя по strings похоже на /bin/ash, хоть и не совпадает.

У меня есть, и если смотреть на strings — то довольно много совпадений.

http://narod.ru/disk/17123512000/kmk_ash.html

> Поищи в истории команды, начинающиеся со слова gcc ;)

Файл скомпилирован GCC 2.95.3. Установлена ли в системе такая версия?

Упс... У меня тоже такой файл появлялся, еще в декабре. Я его просто удалил... Как-то не подумал что это что-то вредное. Да и интернетов у меня тогда не было - разве что на флешке мог что-то притащить из универа. Да, вдруг пригодится - дистр OpenSUSE 11.2.

/bin/ash у меня, если так-то, тоже похожий... Но вот откуда он взялся в ~ и почему по имени a.out? Может это какой-то руткит, маскирующийся под шелл?

Файл скомпилирован GCC 2.95.3. Установлена ли в системе такая версия?
Вроде нет, по крайней мере,
# gcc --version
gcc (GCC) 4.2.3

> У меня тоже такой файл появлялся, еще в декабре.
Вообще-то он появляется, если запустить gcc без -o... Но тут что-то похожее на /bin/ash, а разве /bin/ash идет одним файлом?

> Вообще-то он появляется, если запустить gcc без -o

Я знаю)) Только вот я ничего не компилил в то время.