Причина файлов под заголовками = и 0 в каждой папке
Я выполняю (или работает) Ubuntu 14.04.05.
Я заметил много файлов под названием просто =, которые появляются над . и .., когда вы проверяете каталог с ls -al и еще один пустой файл, называемый просто 0 в папках, распространяемых по файловой системе, но прежде всего в моей папке /home/user/ и вложенных подкаталогах. Я могу удалить 0 inode с find . -inum $inode_of_equal_sign -exec rm {} \;. Однако я не могу удалить файл =, используя любую технику, которую я смог найти, чтобы избавиться от имен файлов со специальными символами, а также не смог идентифицировать процесс, который их заменяет.
Я не могу ставить большинство файлов с помощью lsof или stat или file или любых других утилит, поскольку я все время получаю сообщение об ошибке can't stat /run/users/1000/gvfs, если я его отключу, он перезагрузится. Он также, как представляется, принадлежит UID 999, который является пользователем текущей настройки ubuntu. Я просмотрел папку с устройствами, и там кажется, что /dev/fuse принадлежит root:pulseaudio, и отказывается оставаться удаленным или разблокировать. Это кажется мне несколько подозрительным, чтобы занизить его настолько резко, насколько это возможно, поскольку это моя машина разработки, и я лишил ее всех ненужных пакетов и сервисов, включая все пакеты аудио и принтера, конфигурационные файлы и модули ядра. Группа pulseaudio также владеет несколькими файлами / папками в других частях системы. Я проследил его до systemd, который, насколько я могу судить, только запускает процессы, которые уже начаты выскочкой. Конфигурационные файлы в /etc/systemd почти все символические ссылки вернулись к /lib/systemd, я удалил systemd из выскочки, перезапустил, но, похоже, что systemd или что-то на самом деле это фактически начато PID 2, D-Bus ... Не совсем уверен, что с этим делать, никогда ранее ничего не настраивал на D-bus. затем заметил несколько .so файлов в /var/lib/systemd и /lib/systemd/ с именами, которые выглядят так, как будто они были сделаны с помощью mktemp. Многие из них были двоичными, но mimetype не соответствовал профилю общих объектов, многие из них были привязаны к общим объектным файлам в библиотеке ядра. Также была папка /lib/xtables с кулачными скриптами perl, которые, я думаю, мы можем назвать «нестандартными» сетевыми утилитами и некоторыми двоичными файлами, которые я не рассматривал. Некоторые из этих файлов тайны оказались простыми текстовыми файлами, содержащими PID процессов, связанных с этим ... Я не знаю, секретная функция? Недокументированный демон? Загружено systemd.
(я чувствую, что довольно уверенно сказать, что я больше не являюсь владельцем этой системы, например, возможно, я просто заимствовал ее сейчас). Я определил, что все подозрительные файлы были созданы примерно в одно и то же время. 3:33 19 апреля. Поэтому я начал копаться в файлах, которые были созданы в то время. Они все выглядели. Найден один, я забыл, какой из них, но у него были ? символы для его индексного дескриптора, все его атрибуты разрешений, его размер и т. Д., Когда вы просмотрели его с помощью ls -ial, я видел довольно много странных шизов в мои каталоги, терминал, сумасшедший из-за случайно cat, с некоторым двоичным файлом, графическими сбоями и т. д., но этот был новым для меня.
В любом случае, мне интересно, видел ли кто-нибудь это раньше , Это самовосстанавливающаяся система сокетов, символических ссылок и файлов, которая сосредоточена вокруг блокировки /dev/fuse до /run/user/<Your UID>/gvfs и, похоже, создает зеркало gvfs, заблокированное для идентификатора вашего пользователя. Он переживает переустановку на жестком диске и даже останавливает попытки dd if=/dev/urandom of=/dev/sda с живого диска сверху. Я также заметил файлы 0 на USB-накопителе, в которых я был близоруким, чтобы подключиться, чтобы попытаться сохранить мою работу (что я и сделал). Он присваивает групповое владение файлам общим группам (например, pulseaudio, alsa, но которые не обязательно находятся в / etc / groups. Прочитав исходный файл live-диска, который я установил, кажется, что есть некоторые скрипты perl, которые устанавливают крючки для событий загрузки / установки на место для загрузки различных файлов efi, чем те, которые находятся в но я не уверен. Я загружаю несколько других копий ubuntu и некоторых других дистрибутивов для сравнения с тем, что я сохранил, но у меня нет свободной изолированной машина для использования в качестве карантина или «чистой комнаты».
Просто интересно, если кто-либо еще ubuntu видел это поведение раньше, и если эта вещь имеет имя уже. Или .. вы знаете .. Если это скрытая функция ОС .. Как отключить ее.
[UPDATE:] Я нашел это: https://unix.stackexchange.com/question s / 77453 / why-can not-find-read-run-user-1000-gvfs-even-but-it-is-run-as-root # 77592, который объясняет, что я не могу ставить объекты моего внимания как root. Однако я все еще не могу объяснить = & amp; 0, почему /dev/fuse будет заблокирован и принадлежит root:pulseaudio, если в системе нет следа pulseaudio, включая список для него в /etc/group.
4 ответа
Таким образом, я запускал скрипт, который монтировал файловую систему, и исправлял его, чтобы внести изменения, а затем перекомпилировал его в ISO. Я пытался использовать какой-то причудливый тернарный оператор вместо оператора if, потому что это сделало бы многословие и регулировку уровня журнала значительно тривиальным. (Этот проект был моим упражнением / оправданием, чтобы пройти через ABSG, а не для работы.)
Так что, что работало во время моих обычных условий тестирования, делайте мое пренебрежение, когда переменная не соответствовала условию , Не помню точно, как это работает, но это было что-то вроде:
(( "$verbosity" >= "1" ))
и, поскольку $ verbosity должно быть null во время случая, и я был chrooting с proc, sys, dev, без net, как LXC (D | FS) или виртуальный ящик или докер любого типа, поэтому он писал "" в файл = в любом каталоге, из которого я запускал сценарий.
FACE. PALM.
Используйте виртуализацию для системных ресурсов, когда вы chroot моих друзей.
Я никогда не видел ничего подобного на любой из моих Linux-систем (долгие годы занимался Linux, работая на Linux исключительно на пять лет, а Ubuntu - на три).
Тем не менее, это очень похоже на поведение различных видов вредоносных программ Windows. Возможно, ClamAV может улучшить ситуацию, если вы можете установить его на флеш-накопитель с установленным (в отличие от Live) Ubuntu на нем, но более надежным способом будет запись Live USB на другой (чистый) компьютер и загрузка с него , затем переустановите свою ОС (и протрите свой / домашний). Да, это потеряет всю вашу сохраненную информацию, но, как вы помните, вы больше не владеете этим компьютером, и тот, кто разрешает ваш заем, может отменить это в любое время, уже имеет любую информацию, которую они хотят, и может принять это от вас без предупреждения;
Возможно, стоит попробовать копировать такие вещи, как текстовые документы, фотографии и т. д. на другой носитель, а затем изучить этот носитель из загрузки Live media, чтобы проверить эти «отключенные» файлы - но я был бы удивлен, если бы все, что живет в вашей системе, не садилось на ваш резервный носитель, и если это произойдет, было бы безопасно монтировать этот носитель в системе после его очистки.
Таким образом, я запускал скрипт, который монтировал файловую систему, и исправлял его, чтобы внести изменения, а затем перекомпилировал его в ISO. Я пытался использовать какой-то причудливый тернарный оператор вместо оператора if, потому что это сделало бы многословие и регулировку уровня журнала значительно тривиальным. (Этот проект был моим упражнением / оправданием, чтобы пройти через ABSG, а не для работы.)
Так что, что работало во время моих обычных условий тестирования, делайте мое пренебрежение, когда переменная не соответствовала условию , Не помню точно, как это работает, но это было что-то вроде:
(( "$verbosity" >= "1" ))
и, поскольку $ verbosity должно быть null во время случая, и я был chrooting с proc, sys, dev, без net, как LXC (D | FS) или виртуальный ящик или докер любого типа, поэтому он писал "" в файл = в любом каталоге, из которого я запускал сценарий.
FACE. PALM.
Используйте виртуализацию для системных ресурсов, когда вы chroot моих друзей.
Я никогда не видел ничего подобного на любой из моих Linux-систем (долгие годы занимался Linux, работая на Linux исключительно на пять лет, а Ubuntu - на три).
Тем не менее, это очень похоже на поведение различных видов вредоносных программ Windows. Возможно, ClamAV может улучшить ситуацию, если вы можете установить его на флеш-накопитель с установленным (в отличие от Live) Ubuntu на нем, но более надежным способом будет запись Live USB на другой (чистый) компьютер и загрузка с него , затем переустановите свою ОС (и протрите свой / домашний). Да, это потеряет всю вашу сохраненную информацию, но, как вы помните, вы больше не владеете этим компьютером, и тот, кто разрешает ваш заем, может отменить это в любое время, уже имеет любую информацию, которую они хотят, и может принять это от вас без предупреждения;
Возможно, стоит попробовать копировать такие вещи, как текстовые документы, фотографии и т. д. на другой носитель, а затем изучить этот носитель из загрузки Live media, чтобы проверить эти «отключенные» файлы - но я был бы удивлен, если бы все, что живет в вашей системе, не садилось на ваш резервный носитель, и если это произойдет, было бы безопасно монтировать этот носитель в системе после его очистки.
-
1Да, я загрузился под копию DVD-диска монетного двора и попытался сжечь секции / /boot /tmp /var /var/tmp /var/log /var/log/audit и swap .. затем пошел, чтобы попытаться получить доступ к домашняя папка через ecryptfs-unlocker -... thingy независимо от того, что вызвала эта программа, но она не разблокирует мой пароль, и установщик никогда не запрашивал кодовую фразу шифрования, потому что я сделал свое дело с разделами. Именно это напомнило мне вещи, которые я получил в Windows еще во времена Лимвейра. :) Я дам ClamAV более глубокий взгляд. – blanket_cat 3 May 2017 в 14:19
-
2Я имею в виду, что это не должно занижать сложность. Я имею в виду, с точки зрения разработчика / sys admin, это довольно мастерски, в стороне от того, насколько легко это видно. – blanket_cat 3 May 2017 в 14:29
-
3Легкая видимость пошла бы прямо над главой обычного пользователя - даже Linux. Большинство людей не знают , что должна содержать их файловая система. Вдали от дней 40-мегабайтных жестких дисков, когда я мог бы отредактировать свой FAT, чтобы уменьшить размер моего кластера вдвое, набрав значительное количество пространства для удаления кластера, даже я не знаю, как работает ext *. Просто не стоило мое время, как пользователь, а не хакер, учиться. – Zeiss Ikon 3 May 2017 в 14:44
-
4Ха-ха! Да, я думаю, ты прав. Я просто работаю над некоторыми инструментами для Linux (просто написал мою первую страницу руководства, которая была буквально самой сложной задачей программирования проекта), и мне пришлось глубже проникнуть внутрь, чем я когда-либо думал. И что касается различий между файловыми системами, занимающихся созданием загрузочных USB-накопителей и работой с разными ОС, я не смог найти краткое, ясное объяснение точных различий между плюсами и минусами для разных файлов системных архитектур в любом месте. – blanket_cat 3 May 2017 в 14:54
-
5Можете попробовать здесь: thegeekstuff.com . Они поднимаются наверх в поисках того, как ext2 и ext2 отличаются друг от друга, со статьей, которая утверждает, что объясняет все три версии ext *. – Zeiss Ikon 3 May 2017 в 15:29