Arquivo Suspeito no Ubuntu descoberto pelo rkhunter
13. Re: Arquivo Suspeito no Ubuntu descoberto pelo rkhunter
z_soldier
(usa Ubuntu)
Enviado em 07/03/2021 - 17:42h
ricardogroetaers escreveu:
Tudo que está na pasta "/dev/" é um arquivo de dispositivo, representa um dispositivo (disco, memória, processador, barramento, ....) e programas que são vistos como se fossem um dispositivo (mas não são), como por exemplo um snap.
Observe a saída do comando stat.
AmigaOS é um sistema operacional e o arquivo "pulse-shm-4121888080" pode ser apenas uma figurinha ou um caractere de uma figurinha.
Vá com o Gerenciador de Arquivos até a pasta "/dev/shm/", ache um dos "arquivos" suspeitos e veja suas propriedades.
Visualize, por exemplo, o arquivo acima (o AmigaOS) com um visualizador de imagens.
z_soldier escreveu:
[02:38:11] /dev/shm/pulse-shm-4121888080: AmigaOS bitmap font
root@notebook: stat /dev/shm/pulse-shm-364816400
Arquivo: '/dev/shm/pulse-shm-364816400'
Tamanho: 67108904 Blocos: 136 Bloco IO: 4096 arquivo comum
Dispositivo: 1ah/26d Inode: 10 Links: 1
Acesso: (0700/-rwx------) Uid: ( 1000/ soldier) Gid: ( 1000/ soldier)
Acessar: 2021-03-05 04:54:35.023607744 -0300
Modificar: 2021-03-05 04:48:15.011621329 -0300
Alterar: 2021-03-05 04:48:15.011621329 -0300
Nascimento: -.
[02:38:11] /dev/shm/pulse-shm-4121888080: AmigaOS bitmap font
root@notebook: stat /dev/shm/pulse-shm-364816400
Arquivo: '/dev/shm/pulse-shm-364816400'
Tamanho: 67108904 Blocos: 136 Bloco IO: 4096 arquivo comum
Dispositivo: 1ah/26d Inode: 10 Links: 1
Acesso: (0700/-rwx------) Uid: ( 1000/ soldier) Gid: ( 1000/ soldier)
Acessar: 2021-03-05 04:54:35.023607744 -0300
Modificar: 2021-03-05 04:48:15.011621329 -0300
Alterar: 2021-03-05 04:48:15.011621329 -0300
Nascimento: -.
Tudo que está na pasta "/dev/" é um arquivo de dispositivo, representa um dispositivo (disco, memória, processador, barramento, ....) e programas que são vistos como se fossem um dispositivo (mas não são), como por exemplo um snap.
Observe a saída do comando stat.
AmigaOS é um sistema operacional e o arquivo "pulse-shm-4121888080" pode ser apenas uma figurinha ou um caractere de uma figurinha.
Vá com o Gerenciador de Arquivos até a pasta "/dev/shm/", ache um dos "arquivos" suspeitos e veja suas propriedades.
Visualize, por exemplo, o arquivo acima (o AmigaOS) com um visualizador de imagens.
Já tentei, nenhum aplicativo abre esse arquivo. Eu verifiquei a saída do comando mount por desconfiar que poderia se tratar de um SO ou micro SO, algo minimalista:
tmpfs on /dev/shm type tmpfs (rw,nosuid,nodev) # Essa é a única linha de /dev/shm
Verifiquei que o Rhythmbox está instalado via snap, eu acho que esse aplicativo é instalado com o sistema, caso selecionamos a opção instalar programa de terceiros e já que essa opção existe antes do snap eu nem imaginei que esse software seria via snap agora, não que tenha saído da instalação do sistema, continua lá, foi por lá que instalei, mas caso seja este eu posso excluir pois há outros drivers que suprem a falta deste, já instalei em outra máquina sem esse software e o áudio funciona normal.
O que me deixou alerta foi mesmo o fato desse amigaOS pois parece um micro sistema como disse acima, caso fosse para todo o snap funcionar até faria sentido, mas apenas para o software de som fica meio suspeito, tem a linguagem de programação AmigaE que hoje é amigaDE a mesma usada para o jogo Far Cry, isso aumentou minhas suspeitas sobre AmigaOS em /dev/shm, além disso acabo de verificar que o snap é escrito em Java ou Flash não achei nada sobre uso de AmigaE ou AmigaDE para interação com hardware ou com o sistema por exemplo, até porque Java vai bem com SO linux.
Ocorre que não sei verificar qual dos vários arquivos de /dev/shm é o que está montado e porque apenas um está montado já que arquivos de um mesmo diretório geralmente são dos mesmo tipo, genericamente falando, como por exemplo os arquivos do /dev são de dispositivos de hardware, grande parte dos arquivos de /etc são de configuração dos softwares instalados e do SO...
Sabe como descobrir qual dos arquivos de /dev/shm é o que está montado?