Debian Buster
OpenSSH_7.9p1
Rendellenes viselkedés nem volt tapasztalható. Pár fura dolog viszont gyanús lehet a humán támadónak.
Szokatlan, hogy /-be léptet be és nem a home-omba.
Ahogy Nyosi írta, ha bela userrel lépek be, létrejöhetne a /home/bela és azzal indulhatna, mint working directory. Így ahogy most van minimum gyanút keltő.
pid 1-et írták már
de gyanút kelt az is, hogy szegényes a pid lista
/etc/fstab üres
/etc/mtab felfedi, hogy docker-ben vagyunk
(/.dockerenv eleve sejteni engedi mondjuk)
mount mond egy olyat, hogy:
/dev/vda1 on /etc/hostname type ext4 (rw,relatime)
wtf
Fura, hogy nincs mondjuk egy less
Nem tudom mennyire cél a nem lelepleződés és emberi támadó számára meggyőzőnek levés. Egy script nem valószínű, hogy törődik ezekkel, de aki szokott linuxra ssh-zni annak pár dolog feltűnhet.