Снова здравствуй, ЛОР!
На этот раз я к тебе по делу.
После внепланового ребута домашней машины с аптаймом в несколько месяцев обнаружил на логинскрине в GNOME странного пользователя.
В $HOME у этого пользователя была директория с китайским иероглифом в названии.
模板
Отключил машину от интернета, стал разбираться.
Этого пользователя я создал сам, для одной софтины (owntone-server, бывш. daapd), однако, очевидно, никаких директорий в его хомяке не создавал, тем более с китайским иероглифом в названии.
Увидел в истории шелла запуск этой софтины от рута и подумал – ну всё, приехали.
Софт хоть и достаточно популярный, но после бэкдоров в xz уже никому и ничему не веришь.
Однако, сегодня обнаружился куда более интересный факт:
total 153808
drwxr-xr-x 2 hana hana 4096 Jul 8 2022 laptop
drwxr-xr-x 3 hana hana 4096 Jun 9 2022 vanitygen
drwxr-xr-x 4 hana hana 4096 Jun 9 2024 vanitygen-plusplus
-rwxrwxrwx 1 hana hana 157475346 Jun 2 2024 zaberi_menja.zip
drwxr-xr-x 2 root root 4096 Feb 10 17:30 模板
root@undercity:~# ls -l /home/asxpi/
total 8
drwxr-xr-x 14 asxpi asxpi 4096 Dec 24 00:45 invidious
drwxr-xr-x 2 root root 4096 Feb 10 17:30 模板
То есть, у всех пользователей в системе (upd: не у всех – у моего, например, не было) есть эта пустая директория с иероглифом в названии в хомяке.
Раскопки глубже показали наличие этой (пустой) директории с иероглифом в /etc/skel:
total 40
drwxr-xr-x 3 root root 4096 Feb 10 17:27 .
drwxr-xr-x 166 root root 12288 May 7 12:21 ..
-rw-r–r– 1 root root 220 Dec 8 2020 .bash_logout
-rw-r–r– 1 root root 3526 Dec 8 2020 .bashrc
-rw-r–r– 1 root root 5290 Apr 13 2023 .face
lrwxrwxrwx 1 root root 5 Jul 12 2023 .face.icon -> .face
-rw-r–r– 1 root root 807 Dec 8 2020 .profile
drwxr-xr-x 2 root root 4096 Feb 10 17:30 模板
Остальные файлы в /etc/skel не тронуты. Других признаков взлома нету. rkhunter не нашёл ничего.
В /var/log/auth.log ничего примечательного не обнаружено.
Из занимательного: я почти уверен, что в марте этого файла не было в /home/asxpi как минимум. (но не на 100% уверен, конечно же)
Из куда более занимательного: в хомяке лежали приватные ключи от криптокошельков общей суммой в несколько битков плейнтекстом – всё целое, ничего не пропало.
Что ещё посмотреть, прежде чем грохнуть систему?
Как вообще такое могло произойти?
Есть ли (хотя бы мизерный) шанс, что это следствие побитой ФС после аварийного отключения электричества, после которого и была обнаружена эта странная директория? (отключение было вчера, всё ещё вопросы как появилась директория с mtime = 10 Feb)
Систему в любом случае буду переустанавливать и сносить, как и инвалидировать все приватные ключи, естественно – интерес чисто спортивный, как же так вышло и как не допустить такого в дальнейшем.
Linux.org.ru: Форум – Security