Den mporw na sbisw arxeio
Apollon Oikonomopoulos
apollon at noc.grnet.gr
Wed Mar 24 20:13:02 EET 2010
On 19:50 Wed 24 Mar , Panagiotis Hatzis wrote:
> On 2010-03-24 19:36, Antonis Christofides <anthony at itia.ntua.gr> wrote:
> > Προσπαθώ να σβήσω τα αρχεία που μου έχει αφήσει ένας εισβολέας:
> >
> > root at machine:/lib/dbus-v2.2# ls -lh
> > total 716K
> > -rwxr-xr-x 1 root root 667 2009-03-29 18:32
> > -rwxr-xr-x 1 root root 49 2009-03-26 20:03 cat
> > -rwxr-xr-x 1 root root 561 2009-03-29 19:42 inst
> > -rwxr-xr-x 1 root root 541 1983-09-26 02:45 k
> > -rwxr-xr-x 1 root root 671K 2004-10-22 11:01 klogd
> > -rwxr-xr-x 1 root root 15K 2008-02-29 07:24 l4
> > -rwxr-xr-x 1 root root 46 2009-03-29 18:45 on
> > -rwxr-xr-x 1 root root 512 2010-02-26 08:23 s
> > root at machine:/lib/dbus-v2.2# rm cat
> > rm: cannot remove `cat': Operation not permitted
> >
> > Το ίδιο βγάνει σε οποιοδήποτε από τα παραπάνω αρχεία. Δοκίμασα find .
> > -inum XXXXX -exec rm {} \;, το ίδιο. Δοκίμασα single user mode, το
> > ίδιο. Δοκίμασα fsck, κανένα πρόβλημα. Δοκίμασα debugfs, ncheck XXXXX,
> > κανένα πρόβλημα. Τι να δοκιμάσω τώρα; Πρόκειται για ext3.
> >
> > --
> > linux-greek-users mailing list -- http://lists.hellug.gr
>
>
> Des me thn lsattr mhpws exei ginei me kapoio tropo set sto arxeio to immutable 'h to append
> only flag, to opoio den emfanizetai me thn ls -lh.
>
> man chattr(1) gia perissoteres plhrofories.
Ο εισβολέας είχε πάρει root στο μηχάνημα και είτε έχει βάλει attributes
(lsattr/chattr), είτε κάποιο rootkit. Ανεξαρτήτως του αν θα καταφέρεις να
σβήσεις τα αρχεία ή όχι, θα σε συμβούλευα να ξαναστήσεις το μηχάνημα, μιας και
είναι αδύνατο να εμπιστευτείς πλέον την τρέχουσα εγκατάσταση.
/Απόλλων
More information about the Linux-greek-users
mailing list