Arquivo Suspeito no Ubuntu descoberto pelo rkhunter

z_soldier
(usa Ubuntu)

Enviado em 03/03/2021 - 02:56h

Uso sistema operacional Ubuntu 16.04 LTS, fiz uma varredura com o rkhunter versão 1.4.2, a mais recente que pode ser baixada via apt install. Este detectou como arquivos suspeitos:

Info: Starting test name 'filesystem'
[02:38:07] Performing filesystem checks
[02:38:07] Info: SCAN_MODE_DEV set to 'THOROUGH'
[02:38:11] Checking /dev for suspicious file types [ Warning ]
[02:38:11] Warning: Suspicious file types found in /dev:
[02:38:11] /dev/shm/pulse-shm-2364043622: data
[02:38:11] /dev/shm/pulse-shm-3113908998: data
[02:38:11] /dev/shm/pulse-shm-1866810948: data
[02:38:11] /dev/shm/pulse-shm-993918762: data
[02:38:11] /dev/shm/pulse-shm-4121888080: AmigaOS bitmap font
[02:38:11] /dev/shm/pulse-shm-501192030: data
[02:38:11] /dev/shm/ecryptfs-soldier-Private: ASCII text
[02:38:11] /dev/shm/pulse-shm-2487454426: data
[02:38:11] /dev/shm/pulse-shm-1792377011: data
[02:38:11] /dev/shm/pulse-shm-2080511903: data

Gostaria de excluir esse "AmigaOS" mas não é um pacote dpkg ( dpkg -l | grep -i amiga ou amigaOS ). Pesquisei bastante no google e achei que "amiga" é um tipo de fonte (letras) criadas para linux mas não achei nada sobre como excluir e se a exclusão pode ou não quebrar o sistema. Agradeço, gostaria de excluir isso, como posso fazer essa exclusão? A exclusão pode quebrar o Sistema Operacional?
Trazendo um complemento, 05-03-2021:
[04:54:38] Checking /dev for suspicious file types [ Warning ]
[04:54:38] Warning: Suspicious file types found in /dev:
[04:54:38] /dev/shm/pulse-shm-2556802286: data
[04:54:38] /dev/shm/pulse-shm-1467017572: data
[04:54:38] /dev/shm/pulse-shm-2671952290: data
[04:54:38] /dev/shm/pulse-shm-364816400: AmigaOS bitmap font
[04:54:38] /dev/shm/pulse-shm-3335495516: data
[04:54:38] /dev/shm/ecryptfs-soldier-Private: ASCII text
[04:54:38] /dev/shm/pulse-shm-2891927294: data
[04:54:38] /dev/shm/pulse-shm-3736035571: data
[04:54:38] /dev/shm/pulse-shm-652406636: data

root@notebook: stat /dev/shm/pulse-shm-364816400
Arquivo: '/dev/shm/pulse-shm-364816400'
Tamanho: 67108904 Blocos: 136 Bloco IO: 4096 arquivo comum
Dispositivo: 1ah/26d Inode: 10 Links: 1
Acesso: (0700/-rwx------) Uid: ( 1000/ soldier) Gid: ( 1000/ soldier)
Acessar: 2021-03-05 04:54:35.023607744 -0300
Modificar: 2021-03-05 04:48:15.011621329 -0300
Alterar: 2021-03-05 04:48:15.011621329 -0300
Nascimento: -

Aparentemente o arquivo é criado todo dia pelo sistema, mais de um scan aponta problemas no diretório /dev, indicando que ali pode haver arquivo suspeito, talvez eu coloque aqui a saída do lynis na versão mais atualizada.
O arquivo pertence ao usuário admin da máquina e o grupo do arquivo é o mesmo do admin tb, acredito que este é criado na inicialização do sistema mas não faço ideia de como, por qual processo.
Já fiz uma busca na saída do dmesg com filtro grep e o nome do arquivo mas não há nenhuma pista do processo que gera esse arquivo.

Para as pessoas que não entendem do assunto ou tentam engenharia social talvez o Stanislausk aqui, não sei ainda qual o caso dele mas considerando a dificuldade com o português deve ser estrangeiro ou não sabe o que diz. Para outros usuários que possam ler esse post o conselho é não respondam as perguntas desse StanislausK, isso é engenharia social e não ajuda, pode expor o seu sistema e consequentemente sua máquina.

Exclui o ubuntu software o snap e tudo que acompanha, limpei o diretório /dev/shm, reinicializei o sistema mais de uma vez e os arquivos voltaram para o mesmo lugar, com certeza há algo de muito errado, desisti por hora e reinstalei a porcaria toda.

removido
(usa Nenhuma)

Enviado em 03/03/2021 - 15:24h

posso estar errado, mas é algo referente ao pulseaudio, ou seja, ao sistema de som.
acho que se apagar isso, vai zoar e muito o sistema...
mas, como disse, posso estar errado...

leandropscardua
(usa Ubuntu)

Enviado em 03/03/2021 - 16:10h

Bom, um texto abaixo sobre /dev/shm
https://www.cyberciti.biz/tips/what-is-devshm-and-its-practical-usage.html
Qdo vc encontra um arquivo suspeito tem de verificar quem (qual programa) está usando ele (sudo lsof /dev/shm/... ). Esse foi o 1o scan c o hkhunter? Ele e o chkrootkit de vez em quando dão falso positivo w vc tem de verificar quem está usando o arquivo. É bom executar logo qdo inicia o sistema pq vc não carregou nada ainda, pelo menos na minha opinião.

ricardogroetaers
(usa Linux Mint)

Enviado em 03/03/2021 - 18:48h

São arquivos de dispositivo de memória compartilhada, normalmente como se fosse um disco na ram.
Opcional no kernel linux.
Pode ser que pacotes snap usem isso.
No meu sistema Mint a pasta "/dev/shm/" está vazia.

z_soldier
(usa Ubuntu)

Enviado em 05/03/2021 - 05:12h

A sessão do usuário ADM no seu Mint é criptografada?

ricardogroetaers
(usa Linux Mint)

Enviado em 05/03/2021 - 16:40h

Não há criptografia no meu sistema Mint.

z_soldier
(usa Ubuntu)

Enviado em 05/03/2021 - 21:03h

Eu já estava pensando em mudar minha distro para Mint, ontem apareceu mais uma atualização a 3ª da semana e inclusive uma atualização para o rkhunter, algo muito difícil de acontecer e os arquivos do /dev/shm deixaram de ser identificados como suspeitos mas valeu a dica da distro Mint.

leandropscardua
(usa Ubuntu)

Enviado em 06/03/2021 - 09:52h

Se vc rodar rkhunter qdo ligar o computador, usar o computador por duas horas e rodar rkhunter de novo ele vai apontar um monte de arquivo suspeito. Isso é normal. Vc tem de rodar frequentemente p poder distinguir o q é normal e o q não é e enquanto o sistema não tiver sido comprometido.

z_soldier
(usa Ubuntu)

Enviado em 06/03/2021 - 22:52h

Eu atualizei o post e escrevi que não foi apenas o rkhunter que apontou arquivos suspeitos no diretório /dev, o scan lynis na versão mais atualizada também, e outros scans que utilizei. Caso fosse apenas o scan do rkhunter apontando problemas eu não suspeitaria. Acredito que há malware instalado no meu sistema apesar do scan do rkhunter não apontar mais nada após a atualização. Eu gostaria que vendesse nas bancas os CDs que agora seriam DVDs com as distros e de preferência distros que já trouxessem ferramentas de scan para vírus e malwares.
Não é tão simples identificar e retirar malwares instalado no sistema como muita gente tenta fazer parecer, há malwares complexos e várias formas de esconder arquivos no sistema, gostaria de saber se há formas de esconder arquivos que estão rodando no sistema, por exemplo do comando "top" ou "htop", infelizmente as informações mais atualizadas sobre softwares e malwares estão em inglês o que dificulta a leitura consumindo muito mais tempo para conseguir informações sobre determinados assuntos, tenho que melhorar meu inglês mesmo.

ricardogroetaers
(usa Linux Mint)

Enviado em 07/03/2021 - 00:19h

Tudo que está na pasta "/dev/" é um arquivo de dispositivo, representa um dispositivo (disco, memória, processador, barramento, ....) e programas que são vistos como se fossem um dispositivo (mas não são), como por exemplo um snap.
Observe a saída do comando stat.

AmigaOS é um sistema operacional e o arquivo "pulse-shm-4121888080" pode ser apenas uma figurinha ou um caractere de uma figurinha.
Vá com o Gerenciador de Arquivos até a pasta "/dev/shm/", ache um dos "arquivos" suspeitos e veja suas propriedades.
Visualize, por exemplo, o arquivo acima (o AmigaOS) com um visualizador de imagens.

StanislausK
(usa FreeBSD)

Enviado em 07/03/2021 - 10:43h

Ola,

o que você anda fazendo com o seu sistema? Se você não faz nada comprometedor, então deve ser falso positivo. O log é bem extenso e não fácil de entender!

Você atualiza o seu sistema com frequência (uma vez por semana)? O Ubuntu 16.04 LTS somente perde o suporte em 04/2024.

Você tem firewall configurado? Como estão as suas portas?

Você usa com frequência o anti-virus?

Você tem um aplicativo que protege a sua navegação?

Não se baseia apenas no log do rkhunter. É uma ferramenta dentre muitas para proteger o seu sistema.

leandropscardua
(usa Ubuntu)

Enviado em 07/03/2021 - 10:57h

Melhor reinstalar o sistema operacional todo. Se vc está na situação em q não sabe se o sistema está ou não comprometido.