Den mporw na sbisw arxeio

Giorgos Keramidas keramida at ceid.upatras.gr
Wed Mar 24 20:33:14 EET 2010


On Wed, 24 Mar 2010 19:36:11 +0200, Antonis Christofides <anthony at itia.ntua.gr> wrote:
> Προσπαθώ να σβήσω τα αρχεία που μου έχει αφήσει ένας εισβολέας:
>
> root at machine:/lib/dbus-v2.2# ls -lh
> total 716K
> -rwxr-xr-x 1 root root  667 2009-03-29 18:32
> -rwxr-xr-x 1 root root   49 2009-03-26 20:03 cat
> -rwxr-xr-x 1 root root  561 2009-03-29 19:42 inst
> -rwxr-xr-x 1 root root  541 1983-09-26 02:45 k
> -rwxr-xr-x 1 root root 671K 2004-10-22 11:01 klogd
> -rwxr-xr-x 1 root root  15K 2008-02-29 07:24 l4
> -rwxr-xr-x 1 root root   46 2009-03-29 18:45 on
> -rwxr-xr-x 1 root root  512 2010-02-26 08:23 s
> root at machine:/lib/dbus-v2.2# rm cat
> rm: cannot remove `cat': Operation not permitted
>
> Το ίδιο βγάνει σε οποιοδήποτε από τα παραπάνω αρχεία. Δοκίμασα find .
> -inum XXXXX -exec rm {} \;, το ίδιο. Δοκίμασα single user mode, το
> ίδιο. Δοκίμασα fsck, κανένα πρόβλημα. Δοκίμασα debugfs, ncheck XXXXX,
> κανένα πρόβλημα. Τι να δοκιμάσω τώρα; Πρόκειται για ext3.

Αν ο εισβολέας έχει πειράξει το kernel η unlink() προφανώς θα αρνείται
να σβήσει τα δικά του αρχεία ότι και να κάνεις.  Αν κάνεις boot όμως από
Live CD-ROM και mount το partition, χωρίς το hacked kernel, μπορεί να
έχεις λίγο περισσότερο τύχη.



More information about the Linux-greek-users mailing list