Я обнаружил это из любопытства, где обсуждали анализ атаки вредоносного ПО.
Что касается подделки, часто злоумышленники загружают инструменты, чтобы облегчить свою работу.
Что касается fake.cfg, в Linux действительно есть утилита под названием fake.
$apt-cache search fake | grep ^fake
fake - IP address takeover tool
Fake - это утилита, которая позволяет захватить IP-адрес путем подключения второго интерфейса на хост-машине и использования бесплатного arp. Предназначен для включения резервных серверов в локальной сети.
Я подозреваю, что подделка может быть способом:
- обхода правил брандмауэра;
- подключения к другим сетям;
- генерация пакетов / спама с использованием нескольких IP-адресов вашей сети одновременно, чтобы избежать черных списков / fail2ban / apache mod evasive при атаке других серверов в Интернете в целом.
Что касается ебли, то цели менее ясны.
Я нашел это:
https://github.com/nvbn/thefuck
Великолепное приложение, которое исправляет вашу предыдущую консольную команду.
Команда fuck использует подстановку правил для выполнения предыдущей команды с изменениями. Я предполагаю, что он используется в качестве основного инструмента для автоматизации / обфускации в истории / мониторинга некоторых фактических команд, выполняемых злоумышленниками.
В дополнение к отладчикам, которые уже упоминались другими, для отслеживания их активности я действительно рекомендую использовать strace
, sysdig
или dtrace4linux
. Это фантастические инструменты для отслеживания мельчайших деталей вызовов ядра.
Для отслеживания всех файлов, открытых в скомпрометированном вводе-выводе, вы запускаете:
sysdig -p "%12user.name %6proc.pid %12proc.name %3fd.num %fd.typechar %fd.name" evt.type=open
Snoop-файл открывается по мере их появления (с помощью sysdig)
От:
http: //www.sysdig.org / wiki / sysdig-examples /
Sysdig может отображать все , включая буферы записываемых файлов или данные, отправляемые по сети.
Излишне говорить, что перед запуском этих команд вы должны сделать резервную копию и изолировать сервер.
sed -n 'N;N;/\n18$/!s/ folder Check:\n.*\n/ /p'
для этого текста будет выведено:
X 17
Y 17
-n
говорит sed
не печатать пространство шаблонов по умолчанию (мы печатаем только те, которые хотим, с флагом p
для команды s
)N;N
:мы втягиваем две следующие строки в пространство паттерна, мы обрабатываем по 3 строки за раз в 3-строчном пространстве паттерна. /\n18/!
:если пространство шаблонов не заканчивается(!
)($
)в<newline>18
s/folder Check:\n.*\n//p
:удалить часть между именем папки и количеством и p
стереть. Вы также можете сохранить только имя папки(s/ folder Check:\n.*//p
)или выгрузить полные три строки(p
)в зависимости от того, что именно вы хотите. То же, что иawk
:
awk '{sub(/ folder Check:$/, ""); folder = $0; getline; getline; count = $0}
count != 18 {print folder, count}'
$ awk '{n=(NR%3)} n==1{folder=$1} (n==0) && ($0!=18){print folder, $0}' file
X 17
Y 17