Nach Lektüre von https://www.heise.de/news/Emotet-Trickbot-nimmt-Linux-Systeme-ins-Visier-4860584.html und https://www.bitblokes.de/trickbot-malware-kann-nun-auch-linux-geraete-infizieren-so-pruefst-du/ habe ich gerade meine cronjobs geprüft und dabei folgendes entdeckt:
Zunächst nichts auffälliges:
sudo cat /etc/crontab 17 * * * * root cd / && run-parts --report /etc/cron.hourly 25 6 * * * root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily ) 47 6 * * 7 root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.weekly ) 52 6 1 * * root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.monthly ) crontab -l no crontab for xxx
In /tmp liegt allerdings ein Ordner "ssh-BfYHcIksxdHb", der offenbar heute Morgen beim Hochfahren angelegt wurde und der eine Datei mit dem Namen "agent.1237" enthält. Außer "0 B" und "agent.1237 (Socket)" in der Statusleiste konnte ich ihr keine Informationen entlocken.
Muss ich mir Sorgen machen oder ist das was völlig normales?