hacknutý linux

[Zdeněk Prchal]

Zdravím,

Dostal jsem se ke stroji (linux, kernel 2.6.31.6), na který se kdosi proboural (možná uhodl heslo roota). Umístil tam upravené binárky sshd, ssh, scp. Problém je, že jsou nějak něčím chráněny - nejdou smazat, přejmenovat, změnit atributy, a to ani po rebootu do single režimu, ani po instalaci nového kernelu. Takhle vypadá výstup strace (není toho v něm moc k vidění):

rm -f sshd:

ioctl(0, SNDCTL_TMR_TIMEBASE or TCGETS, {B38400 opost isig icanon echo ...}) = 0
unlinkat(AT_FDCWD, "sshd", 0)           = -1 EPERM (Operation not permitted)
fstatat64(AT_FDCWD, "sshd", {st_mode=S_IFREG|0755, st_size=236456, ...}, AT_SYMLINK_NOFOLLOW) = 0

chmod 600 sshd:

umask(0)                                = 022
stat64("sshd", {st_mode=S_IFREG|0755, st_size=236456, ...}) = 0
fchmodat(AT_FDCWD, "sshd", 0600)        = -1 EPERM (Operation not permitted)

Kde bych měl hledat? Knihovny jsem už prohlížel, pokud jsem něco nepřehlédl, zdají se být v pořádku.

Zdeněk Prchal