Я (или был), под управлением Ubuntu 14.04.05.
Я замечал много файлов, названных просто =
это появляется выше .
и ..
когда Вы осматриваете каталог с ls -al
и другой пустой файл, названный просто 0
в папках, распространенных через файловую систему, но прежде всего в моем /home/user/
папка и это являются подкаталогами. Я могу удалить 0
inode с find . -inum $inode_of_equal_sign -exec rm {} \;
. Однако я не могу удалить =
файл, с помощью какой-либо техники, которую я мог найти для того, чтобы избавиться от имен файлов со специальными символами, и при этом я не мог определить процесс, который продолжает заменять их.
Я не могу статистика большинство использования файлов lsof
или stat
или file
или любые другие утилиты, поскольку я продолжаю получать ошибку can't stat /run/users/1000/gvfs
если я размонтировал его, это повторно смонтировано. Это также, кажется, принадлежит UID 999
, который является человечностью живой пользователь установки. Я просмотрел папку устройств, и там это кажется этим /dev/fuse
принадлежит root:pulseaudio
, и отказывается оставаться удаленным или быть разблокированными.. Это ударяет меня несколько подозреваемый для преуменьшения его максимально существенно, поскольку это - моя машина разработки, и я лишил его всех ненужных пакетов и сервисов, который включает все аудио и пакеты принтера, файлы конфигурации и модули ядра. pulseaudio
группа также владеет несколькими файлами/папками в других частях системы. Я проследил его до systemd
который, насколько я могу сказать, только запускает процессы, которые уже запускаются выскочкой. Файлы конфигурации в /etc/systemd
почти все символьные ссылки назад на /lib/systemd
, Я устранил systemd
от выскочки перезапущенной, но это появляется это systemd
или независимо от того, что это на самом деле, на самом деле запускается PID 2
, D-Bus
... Не абсолютно уверенный то, что сделать об этом, никогда вручную, настроило что-либо в D-шине прежде. затем замеченный несколько .so
файлы в /var/lib/systemd
и /lib/systemd/
с именами, которые кажутся, что они были сделаны с mktemp
. Многие из них были двоичными, но mimetype не соответствовал профилю общего объекта, многие из них были symlinked в файлы общего объекта в библиотеке ядра. Была также папка /lib/xtables
с горстью сценариев жемчуга для того, что я предполагаю, что мы можем назвать "нестандартные" сетевые утилиты и некоторые двоичные файлы, которые я не исследовал. Несколько из этих таинственных файлов, выпущенных быть простыми текстовыми файлами, содержащими PIDs процессов, связанных с этим... Я не знаю, секретная функция? Недокументированный демон? Загруженный systemd.
(Я чувствую, что довольно безопасно сказать, что я не точно владелец этой системы больше, как, возможно, я просто одалживаю его теперь), я определил, что все подозрительные файлы были созданы приблизительно в то же время. 3:33 19-го апреля. Таким образом, я начал рыть через файлы, которые были созданы в то время. Они все казались прочь. Найденный, я забываю, какой, но он имел ?
символы, поскольку это - inode, весь, он - атрибуты разрешения, это - размер и т.д. когда Вы просмотрели его с ls -ial
Я видел изрядное количество странного schiz в моих каталогах, терминал, сходящий с ума от случайно cat
луг некоторый двоичный файл, графические незначительные сбои, и т.д. но что каждый был новым на мне.
Так или иначе я задаюсь вопросом, видел ли кто-либо это прежде. Это - система самопополнения сокетов, символьных ссылок и файлов, который центрируется вокруг блокировки /dev/fuse
кому: /run/user/<Your UID>/gvfs
, и, кажется, создает своего рода зеркало gvfs
заблокированный к идентификатору Вашего пользователя. Это переживает reinstalltion в жестком диске и даже остановило некоторые попытки к dd if=/dev/urandom of=/dev/sda
это от живого диска на вершине. Я также заметил 0
файлы на Карте памяти, которую я был достаточно близорук для подключения с попыткой сохранить мою работу (который я сделал.) Это присваивает владение группы файлам группам, которые распространены, (т.е. pulseaudio, alsa, но которые находятся не обязательно в/etc/groups. Прочтение источника живого диска, который я установил, кажется, что существуют некоторые сценарии жемчуга, которые устанавливают рычаги для событий начальной загрузки/установки на месте для загрузки различных efi файлов, чем те в папке начальной загрузки. Это могло быть частью secureboot вещи все же. Я не уверен. Я загружаю несколько других копий человечности и некоторые другие дистрибутивы для сравнения с этим, которое я сохранил, но не имею свободной изолированной машины для использования в качестве карантина или "чистой комнаты".
Просто задавшись вопросом, видел ли кто-либо еще использующий человечность это поведение прежде, и если эта вещь уже имеет имя. Или.. Вы знаете.. Если это - скрытая функция ОС.. Как я отключаю его.
[ОБНОВЛЕНИЕ:] Я нашел это: https://unix.stackexchange.com/questions/77453/why-cannot-find-read-run-user-1000-gvfs-even-though-it-is-running-as-root#77592, который объясняет неспособность статистике объекты моего внимания как корень. Однако я все еще не могу объяснить =
& 0
почему /dev/fuse
был бы заблокирован и принадлежал бы root:pulseaudio
когда нет никакой трассировки pulseaudio в системе, включая список для него в /etc/group
.
Я никогда не видел ничего как это ни в одной из моих систем Linux (обрызгивание в течение многих лет, запуская Linux исключительно в течение пяти лет и Ubuntu для три).
Тем не менее это очень похоже на поведение различных вредоносных разновидностей Windows. Возможно, что ClamAV мог улучшить вещи, если можно установить его на флеш-накопителе с установленным (в противоположность Живому) Ubuntu на нем, но более надежный метод должен был бы записать Живой USB на другом (чистом) компьютере и начальной загрузке от него, затем переустановить ОС (и вытереть / домой). Да, это потеряет всю Вашу хранившую информацию - но как Вы отмечаете, Вы больше не владеете этим компьютером, и кто бы ни позволяет Вашему одалживать его, может отменить это в любое время, уже имеет любую информацию, которую они хотят и могут взять его от Вас без уведомления; эффективно, это уже пошло.
могло бы стоить попытаться копировать вещи как текстовые документы, фотографии, и т.д. к другому носителю, затем исследуя тот носитель от Живой начальной загрузки медиа для проверки на них "от" файлов - но я буду удивлением, если бы то независимо от того, что живет в системе, не посадило себя на резервных носителях, и если бы это делает, не было бы безопасно смонтировать что носитель в системе после очистки его.
Таким образом, я запускал скрипт, который смонтировал файловую систему, и chrooted в него для внесения изменений затем перекомпилировал его в ISO. Я пытался использовать некоторый необычный тернарный оператор вместо, если оператор, потому что он сделает многословие и корректировку уровня журнала значительно тривиальными. (Этот проект был моим осуществлением/оправданием для прохождения через ABSG, не для работы.)
Поэтому, что работало во время моих нормальных условий тестирования, сделайте к моему пренебрежению, не сделал, когда переменная не удовлетворит условию. Не может помнить точно, как это работало, но это было что-то как:
(( "$verbosity" >= "1" ))
и, так как $verbosity, должно быть, был пустым во время случая, и я был chrooting с proc, sys, dev, без сети как LXC (D|FS) или виртуальное поле или докер того, от чего, таким образом, это писало ""
в файл =
в любом каталоге, я запустил скрипт.
ПОВЕРХНОСТЬ. Palm.
виртуализация Использования для системных ресурсов, когда Вы chroot мои друзья.