merkwürdiges verzeichnis im root verzeichnis.

[bjunix]

Hallo,

seit 21 Feb habe ich im / verzeichnis ein kommisches verzeichnis mit einer merkwürdigen zeichen folge. besitzer ist root. Am 21 Feb habe ich apache,mysql und php auf neuste version gebracht. das verzeichnis ist mir allerdings erst heute aufgefallen. Das verzeichnis ist anscheinend während des kompilieren des apache 2.2.0 webservers erstellt worden ( stimmt zumindest zeitlich überein)


da ich nich hinbekommen habe per shell in das verzeichnis zu kommen, habe ich es mit mc versucht. der ist draufhin direkt abgeschmiert mit der meldung "cant change to directory ... " (oder so in der art)

Nun, was könnte das sein? mache mir sorgen das es ein überbleibsel eines schädlings ist.

habe hier ein screenshot von dem verzeichnis:
http://img49.imageshack.us/my.php?image=screen3on.png

[niemand]

Möglicherweise solltest du dir erstmal mit ls -l einen überblick verschaffen, und wenn du in das Verzeichn is willst, musst du den Namen quoten oder escapen. Wenn das nichts hilft (nicht darstellbare Zeichen), helfen die Autovervollständigung der Bash oder regexp weiter, auch ein Kosntrukt mit cut, head und tail, und alles andere, was im Bash Scripting Guide so beschrieben wird, wäre denkbar (und wenn man es so macht, dass man alle anderen Verzeichnisse beim cd ausschließt).

Zur Sicherheit würde ich das Dateisystem auch mal checken.

PS: Screenshot ist immer unpraktisch, am Besten in code-Tags hier pasten.

cu

[Joe User]

Code: Select all

ls -AbFlh /

[bjunix]

@niemand:

screenshot weil ich nicht wusste wie ich die zeichen des verzeichnisses darstellen soll

@joe user:

Code: Select all

ls -AbFlh /

dr-xr-x--x   2 root   root   4.0K Feb 21 13:18 360 nb/

wie ich da jetzt reinkomme weis ich leider nicht. Kann mir das jemand sagen, sonst werd ich mich mal mit dem bash guide auseinandersetzen. Kann eh ja eh nicht verkehrt sein, allerdings habe ich im moment nicht so viel zeit.


grüße
bjunik

edit: so hab jetzt mal reingeschaut ins verzeichnis. hab einfach mit ls -albR -I [<pattern>] alles andere ausgeschlossen. Sieht so aus als wäre das verzeichnis leer... mm. trotzdem merkwürdig woher das kommt.
ein fsck kann ich nur machen wenns dateisystem unmounted ist oder?

[niemand]

Wäre interessant, welches Muster du eingesetzt hast, denn dabei kann man auch was falsch machen, so dass nichts angezeigt wird.

Ich würde mit z.B.

Code: Select all

cd $(ls | grep -v ^[a-zA-Z])

mal in das Verzeichnis wechseln und per Hand nachschauen. Einmal da, würde ich auch mit lsof schauen, ob noch mehr Pozesse darauf zugreifen. Ist das nicht der Fall, würde ich das Verzeichnis vernünftig umbenennen und löschen.

Aber warte lieber auf Joe User, mit den escapes geht's wahrscheinlich sauberer (ich konnte jedoch auf die Schnelle nichts in der manpage finden).

cu

[bjunix]

Code: Select all

a15193072:/# cd $(ls | grep -v ^[a-zA-Z])
bash: cd: ð: No such file or directory

Ich habe es ganz laienhaft gemacht und mit ls -I einfach alle anderen verzeichnisse ausgeschlossen und ls -b 'für octal escapes':

Code: Select all

ls -lbaR -I sbin -I lib -I ...

[Joe User]

Es geht mit Sicherheit auch simpler:

Code: Select all

ls -b1 `find / -maxdepth 1 -type d -print0 | xargs -0 ls -Abd1 | grep -v ^/[[:alnum:]] | grep -v ^/$`

[niemand]

Oder auch

Code: Select all

ls "$(ls | grep -v ^[a-zA-Z])"
cd "$(ls | grep -v ^[a-zA-Z])"
mv "$(ls | grep -v ^[a-zA-Z])" bla

cu

[bjunix]

@joe user:
ne das funzt leider mal gar nicht ; )

Code: Select all

ls -AbFlh `find / -maxdepth 1 -type d -print0 | xargs -0 ls -Abd1 | grep -v ^/[[:alnum:]] - | grep -v ^/$ -`
ls: /\360\: No such file or directory
ls: \n\b: No such file or directory

@niemand

der mv befehl macht nix.


ich geh mal davon aus das das verzeichnis leer ist. wunder mich aber doch sehr stark wie da einfach so ein verzeichnis entsteht....

[Joe User]

Lass die "b"s mal weg:

Code: Select all

ls -1 `find / -maxdepth 1 -type d -print0 | xargs -0 ls -Ad1 | grep -v ^/[[:alnum:]] | grep -v ^/$`

[niemand]

der mv befehl macht nix.

Wenn die anderen beiden funktionieren und nur mv nichts macht, würde ich einen Dateisystemcheck wirklich empfehlen.

cu

[bjunix]

@joe user.

wieder nicht . aber danke für die mühe !!


dateisystem check muss ich im notfall system machen. sprich / unmounten oder geht das auch im betrieb?

[niemand]

Es geht auch gemountet, aber das ist unsicher. Wenn du das vorhast, sorge dafür, dass wirklich nur geprüft und nichts geschrieben wird.

cu