Re: archivos con monbres extraños

[Jaume Martin Claramonte <jaumartin@gmail.com>]

Iñigo Tejedor Arrondo escribió:
> El vie, 17-11-2006 a las 00:52 +0100, Jaume Martin Claramonte escribió:
> > Buenas, desde que ha empezado el curso universitario tengo a mi debian 
> > un poco abandonada y hoy esty mirando mi home y resulta que tengo 4 
> > archivos sus nombre son:
> > -rw-r--r-- 1 root loko 466285 2006-11-11 01:27 24061163204794.log
> > -rw-r--r-- 1 root loko 71419232 2006-11-11 01:27 24061163204794.tgz
> > -rw-r--r-- 1 root loko    468 2006-11-11 01:29 30031163204906.log
> > -rw-r--r-- 1 root loko 26075764 2006-11-11 01:29 30031163204906.tgz
> >
> > los tgz contienen gran parte, por no decir toda una imagen de mi / yo 
> > creo que no los he creado, como puedo ver si alguin los ha creado o si 
> > me han entrado? que log's tengo que mirar? a que se puede deber?
> >
> > Saludos.
>
> ls -l --author  (o man ls)
>
> Parece que pertenecen a root ¿hablas del home del usuario loko?
Si.

> Fijate que son muy seguidos... ¿recuerdas si hiciste algo el sábado
> pasado hacia las 01:27? a mi a veces me pasa, que esribo mal un comando,
> me genera un fichero, donde no debería y luego me lo encuentro.
> ¿probaste algún programa o algo? ¿que dicen esos .log?
Bueno he estado mirando los logs en concreto el auth.log y el syslog y 
viendo el syslog he recordado que el sábado sobre esa hora intente 
formatear un pendrive que tiene una partición cifrada y me dio un par de 
errores posiblemente se ha eso.

> ¿tienes algún servicio a la escucha? en tal caso, revisa sus logs. Para
> el sistema, echa un vistazo a /var/log/auth.log y mira esa fecha.
si tengo el ssh a la escucha.
> Si tienes paranoia por saberlo, deberías hacer una imagen del disco duro
> y leer sobre analisis forense (google).
>
> Suerte