Sob suspeitas de estar contaminado, instalei e rodei o rkhunter. ao rodar me apareceu algumas suspeitas, algumas são simples de resolver por ser falso positivo. mas oque mais me assustou é o “/etc/.#gshadowiw4LRp” . não achei praticamente nada sobre esse arquivo. sem falar no nome aterrorizante dessa belezinha.
sudo rkhunter -c --rwo
[sudo] senha para noen:
Warning: The command '/usr/bin/egrep' has been replaced by a script: /usr/bin/egrep: POSIX shell script, ASCII text executable
Warning: The command '/usr/bin/fgrep' has been replaced by a script: /usr/bin/fgrep: POSIX shell script, ASCII text executable
Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script, ASCII text executable
Warning: The command '/usr/bin/vendor_perl/GET' has been replaced by a script: /usr/bin/vendor_perl/GET: Perl script text executable
Warning: The SSH configuration option 'PermitRootLogin' has not been set.
The default value may be 'yes', to allow root access.
Warning: The SSH configuration option 'Protocol' has not been set.
The default value may be '2,1', to allow the use of protocol version 1.
Warning: Hidden file found: /etc/.#gshadowiw4LRp: ASCII text
Warning: Hidden file found: /etc/.updated: ASCII text
Warning: Hidden file found: /usr/share/man/man5/.k5identity.5.gz: gzip compressed data, max compression, from Unix, truncated
Warning: Hidden file found: /usr/share/man/man5/.k5login.5.gz: gzip compressed data, max compression, from Unix, truncated
Tenta copiar o arquivo pra dentro de uma das pastas dentro do diretório /home do sistema e tenta abrir o arquivo pra ver o conteúdo. Caso não consiga abrir o arquivo, abre um terminal e digita sudo chattr -i “nome do arquivo sem aspas” e depois tenta abrir novamente o arquivo pra ver o conteúdo.
Uma veez eu consegui abrir um arquivo que não queria abrir depois que eu fiz esse procedimento.