Причина файлов, названных = и 0 в каждой папке
Я (или был), под управлением Ubuntu 14.04.05.
Я замечал много файлов, названных просто = это появляется выше . и .. когда Вы осматриваете каталог с ls -al и другой пустой файл, названный просто 0 в папках, распространенных через файловую систему, но прежде всего в моем /home/user/ папка и это являются подкаталогами. Я могу удалить 0 inode с find . -inum $inode_of_equal_sign -exec rm {} \;. Однако я не могу удалить = файл, с помощью какой-либо техники, которую я мог найти для того, чтобы избавиться от имен файлов со специальными символами, и при этом я не мог определить процесс, который продолжает заменять их.
Я не могу статистика большинство использования файлов lsof или stat или file или любые другие утилиты, поскольку я продолжаю получать ошибку can't stat /run/users/1000/gvfs если я размонтировал его, это повторно смонтировано. Это также, кажется, принадлежит UID 999, который является человечностью живой пользователь установки. Я просмотрел папку устройств, и там это кажется этим /dev/fuse принадлежит root:pulseaudio, и отказывается оставаться удаленным или быть разблокированными.. Это ударяет меня несколько подозреваемый для преуменьшения его максимально существенно, поскольку это - моя машина разработки, и я лишил его всех ненужных пакетов и сервисов, который включает все аудио и пакеты принтера, файлы конфигурации и модули ядра. pulseaudio группа также владеет несколькими файлами/папками в других частях системы. Я проследил его до systemd который, насколько я могу сказать, только запускает процессы, которые уже запускаются выскочкой. Файлы конфигурации в /etc/systemd почти все символьные ссылки назад на /lib/systemd, Я устранил systemd от выскочки перезапущенной, но это появляется это systemd или независимо от того, что это на самом деле, на самом деле запускается PID 2, D-Bus... Не абсолютно уверенный то, что сделать об этом, никогда вручную, настроило что-либо в D-шине прежде. затем замеченный несколько .so файлы в /var/lib/systemd и /lib/systemd/ с именами, которые кажутся, что они были сделаны с mktemp. Многие из них были двоичными, но mimetype не соответствовал профилю общего объекта, многие из них были symlinked в файлы общего объекта в библиотеке ядра. Была также папка /lib/xtables с горстью сценариев жемчуга для того, что я предполагаю, что мы можем назвать "нестандартные" сетевые утилиты и некоторые двоичные файлы, которые я не исследовал. Несколько из этих таинственных файлов, выпущенных быть простыми текстовыми файлами, содержащими PIDs процессов, связанных с этим... Я не знаю, секретная функция? Недокументированный демон? Загруженный systemd.
(Я чувствую, что довольно безопасно сказать, что я не точно владелец этой системы больше, как, возможно, я просто одалживаю его теперь), я определил, что все подозрительные файлы были созданы приблизительно в то же время. 3:33 19-го апреля. Таким образом, я начал рыть через файлы, которые были созданы в то время. Они все казались прочь. Найденный, я забываю, какой, но он имел ? символы, поскольку это - inode, весь, он - атрибуты разрешения, это - размер и т.д. когда Вы просмотрели его с ls -ial Я видел изрядное количество странного schiz в моих каталогах, терминал, сходящий с ума от случайно catлуг некоторый двоичный файл, графические незначительные сбои, и т.д. но что каждый был новым на мне.
Так или иначе я задаюсь вопросом, видел ли кто-либо это прежде. Это - система самопополнения сокетов, символьных ссылок и файлов, который центрируется вокруг блокировки /dev/fuse кому: /run/user/<Your UID>/gvfs, и, кажется, создает своего рода зеркало gvfs заблокированный к идентификатору Вашего пользователя. Это переживает reinstalltion в жестком диске и даже остановило некоторые попытки к dd if=/dev/urandom of=/dev/sda это от живого диска на вершине. Я также заметил 0 файлы на Карте памяти, которую я был достаточно близорук для подключения с попыткой сохранить мою работу (который я сделал.) Это присваивает владение группы файлам группам, которые распространены, (т.е. pulseaudio, alsa, но которые находятся не обязательно в/etc/groups. Прочтение источника живого диска, который я установил, кажется, что существуют некоторые сценарии жемчуга, которые устанавливают рычаги для событий начальной загрузки/установки на месте для загрузки различных efi файлов, чем те в папке начальной загрузки. Это могло быть частью secureboot вещи все же. Я не уверен. Я загружаю несколько других копий человечности и некоторые другие дистрибутивы для сравнения с этим, которое я сохранил, но не имею свободной изолированной машины для использования в качестве карантина или "чистой комнаты".
Просто задавшись вопросом, видел ли кто-либо еще использующий человечность это поведение прежде, и если эта вещь уже имеет имя. Или.. Вы знаете.. Если это - скрытая функция ОС.. Как я отключаю его.
[ОБНОВЛЕНИЕ:] Я нашел это: https://unix.stackexchange.com/questions/77453/why-cannot-find-read-run-user-1000-gvfs-even-though-it-is-running-as-root#77592, который объясняет неспособность статистике объекты моего внимания как корень. Однако я все еще не могу объяснить = & 0 почему /dev/fuse был бы заблокирован и принадлежал бы root:pulseaudio когда нет никакой трассировки pulseaudio в системе, включая список для него в /etc/group.
2 ответа
Я никогда не видел ничего как это ни в одной из моих систем Linux (обрызгивание в течение многих лет, запуская Linux исключительно в течение пяти лет и Ubuntu для три).
Тем не менее это очень похоже на поведение различных вредоносных разновидностей Windows. Возможно, что ClamAV мог улучшить вещи, если можно установить его на флеш-накопителе с установленным (в противоположность Живому) Ubuntu на нем, но более надежный метод должен был бы записать Живой USB на другом (чистом) компьютере и начальной загрузке от него, затем переустановить ОС (и вытереть / домой). Да, это потеряет всю Вашу хранившую информацию - но как Вы отмечаете, Вы больше не владеете этим компьютером, и кто бы ни позволяет Вашему одалживать его, может отменить это в любое время, уже имеет любую информацию, которую они хотят и могут взять его от Вас без уведомления; эффективно, это уже пошло.
могло бы стоить попытаться копировать вещи как текстовые документы, фотографии, и т.д. к другому носителю, затем исследуя тот носитель от Живой начальной загрузки медиа для проверки на них "от" файлов - но я буду удивлением, если бы то независимо от того, что живет в системе, не посадило себя на резервных носителях, и если бы это делает, не было бы безопасно смонтировать что носитель в системе после очистки его.
Таким образом, я запускал скрипт, который смонтировал файловую систему, и chrooted в него для внесения изменений затем перекомпилировал его в ISO. Я пытался использовать некоторый необычный тернарный оператор вместо, если оператор, потому что он сделает многословие и корректировку уровня журнала значительно тривиальными. (Этот проект был моим осуществлением/оправданием для прохождения через ABSG, не для работы.)
Поэтому, что работало во время моих нормальных условий тестирования, сделайте к моему пренебрежению, не сделал, когда переменная не удовлетворит условию. Не может помнить точно, как это работало, но это было что-то как:
(( "$verbosity" >= "1" ))
и, так как $verbosity, должно быть, был пустым во время случая, и я был chrooting с proc, sys, dev, без сети как LXC (D|FS) или виртуальное поле или докер того, от чего, таким образом, это писало "" в файл = в любом каталоге, я запустил скрипт.
ПОВЕРХНОСТЬ. Palm.
виртуализация Использования для системных ресурсов, когда Вы chroot мои друзья.