|
| skrivebeskyttet trojan Fra : leifnel | Vist : 545 gange 50 point Dato : 22-01-02 02:52 |
|
Red Hat Linux release 6.1 (Cartman)
Jeg har fået en trojan ind på en ikke-opdateret redhat. (Bl.a. derfor, jeg foretrækker debian...)
Serveren skulle alligevel erstattes af en nyere, så det gør ikke så meget; den står nu i en krog uden netforbindelse.
Jeg fandt bl.a. en /usr/sbin/rhxp, der blev startet ved opstart.
Det er en ssh, der lytter på en høj port.
Anyway, det, der undrer mig er, at filen, selvom den ikke kører, ikke kan slettes, chmod'es eller mv'es, selv ikke af root.
[root@host sbin]# ls -l rhxp
-rwxr-xr-x 1 root root 201552 Sep 24 1999 rhxp
[root@host sbin]# rm rhxp
rm: remove write-protected file `rhxp'? y
rm: cannot unlink `rhxp': Operation not permitted
[root@host sbin]#
Hvordan write-protecter man en fil under redhat? Er der en kommando tilsvarend chflags under Freebsd?
chflags [-R [-H | -L | -P]] flags file ...
flags:
arch set the archived flag (super-user only)
opaque set the opaque flag (owner or super-user only)
nodump set the nodump flag (owner or super-user only)
sappnd set the system append-only flag (super-user only)
schg set the system immutable flag (super-user only)
sunlnk set the system undeletable flag (super-user only)
uappnd set the user append-only flag (owner or super-user only)
uchg set the user immutable flag (owner or super-user only)
uunlnk set the user undeletable flag (owner or super-user only)
archived, sappend, schange, simmutable, uappend, uchange,
Leif
| |
| Accepteret svar Fra : Nyhedsbruger | Modtaget 50 point Dato : 22-01-02 07:18 |
|
Leif skrev:
> Anyway, det, der undrer mig er, at filen, selvom den ikke kører,
> ikke kan slettes, chmod'es eller mv'es, selv ikke af root.
Tag et kig på chattr(1) - måske er "immutable"-atributten sat.
// Klaus
--
><> vandag, môre, altyd saam
| |
|
leifnel wrote:
> Hvordan write-protecter man en fil under redhat? Er der en kommando
> tilsvarend chflags under Freebsd?
chattr
--
Lars Kongshøj
| |
| Godkendelse af svar Fra : leifnel |
Dato : 23-01-02 00:26 |
|
Tak for svaret Klaus Alexander Seistrup.
> Tag et kig på chattr(1) - måske er "immutable"-atributten sat.
> // Klaus
Det var netop det.
# find . -fstype ext2 -type f -exec lsattr {} \; | grep -v "\-\-\-\-\-\-\-\-"
find: ./proc/6/fd: Permission denied
find: ./proc/2761/fd: Permission denied
----ia-- ./usr/bin/dir
----ia-- ./usr/bin/top
----ia-- ./usr/bin/pstree
----ia-- ./usr/bin/md5sum
----ia-- ./usr/bin/find
----ia-- ./usr/bin/slocate
----ia-- ./usr/sbin/lsof
----ia-- ./usr/sbin/rhxp
----ia-- ./etc/term.db
----ia-- ./bin/netstat
----ia-- ./bin/ls
----ia-- ./sbin/ifconfig
Den maskine er vist ikke til at stole på mere...
| |
|
"leifnel" <leifnel.news@kandu.dk> writes:
> Den maskine er vist ikke til at stole på mere...
Ingen maskiner der har haft besøgende er til at stole på mere. Har man
på fornemmelse at ens maskine har haft uindbudt besøg er der ikke
andet at gøre end at geninstallerer, eventuelt efter at have brugt
mere eller mindre tid på at afdække hvordan folk kom ind på maskinen.
--
Når folk spørger mig, om jeg er nørd, bliver jeg altid ilde til mode
og svarer lidt undskyldende: "Nej, jeg bruger RedHat".
-- Allan Olesen på dk.edb.system.unix
| |
| Du har følgende muligheder | |
|
Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.
Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
| |
|
|