おそらく、失敗したシェル コマンドで偶然作成したのでしょう。私は自分でそのようなことをしました。その結果、おそらく無害なデータでいっぱいになります。 そうではないと私が推測するいくつかの理由を次に示します。 悪意のある:
<オール>file 単なるデータ ファイルだと思います。もちろん、それが悪意がないことを証明するものはありません (別名、ウイルスは持っていません)。 実行可能ではないという理由だけで、それが悪意のあるペイロードの一部ではない可能性があるという意味ではありません。これはおそらく古すぎるかもしれませんが、あなたの bash の履歴が問題の日/時間にあるかどうかを確認します.
ファイルを分析する方法についてのヒントを提供していないことに気付きましたが、メインのヘルパー (file) は既にヒットしています。 と strings )、そして彼らは助けていません!誤ったコマンドからのランダムなデータで満たされたファイルは、あなたが見ているものを説明し、おそらく sudo という名前のファイルを生成する可能性が高くなります IMO.
<ブロック引用>
このファイルの調査を進めるためのヒントはありますか?
file以降 は「データ」を実行可能ファイルとして認識しないため、適切なエントリ ポイントが見つからない限り、(データを実行して) 動的に分析することは困難です。
試すことができるもう 1 つの標準 Linux ツールは次のとおりです。
stat
これにより、ディレクトリ リストだけで確認できるメタデータ情報よりも多くのメタデータ情報が得られます。
あなたが試すことができる別のツールは次のとおりです:
binwalk
ファームウェア イメージなどのバイナリ ファイルの分析を提供できます。たとえば、バイナリ ファイルにファイル システム binwalk が含まれている場合
Linux で無料で利用できるもう 1 つのツールは、「The Sleuth Kit」です。バイナリ ファイルが未加工のディスク イメージまたはファイル システム データである場合は、「The Sleuth Kit」を使用して処理を試みることができます。
バイナリを IDA (Hexrays の「対話型逆アセンブラー」- フリーウェア バージョンが利用可能) にドロップして、IDA がそれを理解できるかどうかを確認することもできます。しかし file の場合 IDA がそれを認識しているとは思えません。
history | grep sudo から始めます 端末から最新の sudo コマンドを調べて、不正な形式がないかどうかを確認してください。
- あなたのホーム ディレクトリです。
- 特別な所有権があるとは言っていないので、あなたが所有していると仮定します.
- これはほぼ間違いなく、シェル コマンドが間違っているため、端末から作成した可能性があります。
- スクリプトによって作成されたものかもしれませんが、スクリプトに「sudo」コマンドを入れることはほとんどありません。
- それ自体が公然と明らかに表示されているので、最近作成していなければおそらく気付いていたでしょう。