Dmesg

此 dmesg 日誌是否顯示正在傳輸的文件?

  • May 17, 2022

最近在 GitHub 頁面上針對以隱私為重點的 VirtualBox 包裝器 HiddenVM 打開了一個問題。揭幕戰發布了他聲稱的表明本地記憶體中的文件被發送到外部 IP 的內容:

當我使用 dmesg 時,我看到它在後台做了什麼。我從眾多資訊中挑選了兩條:

audit: type=1400 audit(1651914430.711:1128): apparmor="DENIED" operation="open" profile="torbrowser_firefox"
name="/home/amnesia/.cache/thumbnails/large/3678dc849747c84908498dd948db8f71.png"
pid=10995 comm="pool-firefox"
requested_mask="r" denied_mask="r" fsuid=1000 ouid=1000

Dropped outbound packet: IN= OUT=wlan0 SRC=i removed the adress DST=i removed the adress LEN=48 TC=0 HOPLIMIT=255 FLOWLBL=762031
PROTO=ICMPv6 TYPE=133 CODE=0 UID=0 GID=0

所以看起來它把文件從我的記憶體發送到了某個地址。就像為什麼應該更改設置的腳本會打開記憶體文件並將它們發送到某個地方?

開場白並沒有確切說明他們使用了哪些命令,也沒有提供任何進一步的細節。

這兩條消息是否表明文件正在從本地電腦發送到外部 IP?

GitHub問題中的問題描述是:

以下是我注意到的。當我嘗試啟動我的虛擬系統時,它給了我以下錯誤:VirtualBox Linux 核心驅動程序未載入或未正確設置。請嘗試通過執行重新設置它

‘/sbin/vboxconfig’

作為根。

我做了,但是由於一些權限問題它沒有工作。它失敗並告訴我使用 dmesg 找出原因。當我使用 dmesg 時,我看到它在後台做了什麼。我從眾多資訊中挑選了兩條:

和日誌消息:

審計:類型=1400 審計(1651914430.711:1128):apparmor=“DENIED” operation=“open” profile=“torbrowser_firefox” name="/home/amnesia/.cache/thumbnails/large/3678dc849747c84908498dd948db8f71.png" pid=10995 comm =“pool-firefox” requested_mask=“r” denied_mask=“r” fsuid=1000 ouid=1000

此消息是由 AppArmor 生成的,阻止名為 10995 的程序以pool-firefox使用者 ID 1000 執行對本地文件管理器的縮略圖圖像記憶體的讀取訪問。

我在這裡看不到任何東西表明此消息將以任何方式與以/sbin/vboxconfigroot 身份執行有關。更有可能的是,使用者只是打開了一個 Firefox 文件對話框(無論出於何種原因),並且對話框庫正在尋找圖像縮略圖,但是由於該庫是作為 Web 瀏覽器的一部分執行的,因此以隱私為中心的分發的 AppArmor 規則阻止訪問(以防止通過瀏覽器洩露本地縮略圖記憶體的可能性)。

丟棄的出站數據包:IN= OUT=wlan0 SRC=i 刪除了地址 DST=i 刪除了地址 LEN=48 TC=0 HOPLIMIT=255 FLOWLBL=762031 PROTO=ICMPv6 TYPE=133 CODE=0 UID=0 GID=0

ICMPv6 類型 133 是一個路由器請求數據包,即該系統正在發送一個數據包wlan0,請求 WiFi 網路上的 IPv6 路由器宣布自己。

它是 IPv6 自動配置的正常功能的一部分,UID=0表示數據包是由根級程序生成的。通常,此類數據包作為多播發送到鏈路本地“所有路由器” IPv6 多播地址,因此如果DST=地址不是ff02::2,則表明使用異常,可能表明 ICMPv6 消息可能被用作隱蔽數據洩露通道。

但是如此復雜的攻擊(已經需要特權訪問來製作自定義 ICMPv6 消息)而不刪除 iptables 過濾器阻塞並顯示它是不一致的,強烈表明這可能是使用者的誤解。

我沒有看到任何證據表明原始操作、第一個日誌消息和/或第二個日誌消息之間存在因果關係。

這看起來更像是一個常見的邏輯謬誤:“既然事件 Y 跟隨事件 X,那麼事件 Y 一定是由事件 X 引起的。” (“post hoc ergo propter hoc”

在這種情況下,使用者只是假設日誌消息完全是由它們執行/sbin/vboxconfig命令產生的,而實際上系統上同時發生了許多其他程序,並dmesg報告所有這些程序。

引用自:https://unix.stackexchange.com/questions/702820

相關問答

Linux-Kernel

奇怪的 dmesg 錯誤,可能導致滯後?

  • July 31, 2022
檢視問答
Dmesg

開發循環 0:無法讀取 RDB 塊 8

  • July 15, 2022
檢視問答
Rsync

dmesg 會一直報告文件系統讀取錯誤嗎?

  • May 27, 2022
檢視問答
Tty

為什麼 dmesg 輸出顯示在 /dev/tty1 上

  • May 20, 2022
檢視問答
Linux-Kernel

增加寫入 /dev/kmsg 的消息的大小限制

  • April 8, 2022
檢視問答
Linux

關於尾部作業系統和代理鏈 - 連接被拒絕

  • March 17, 2022
檢視問答