hacknutý linux

[Pavel Just]

Co říká lsattr ?
Pavel

Zdeněk Prchal napsal(a):
> Zdravím,
>
> Dostal jsem se ke stroji (linux, kernel 2.6.31.6), na který se kdosi proboural (možná uhodl heslo roota). Umístil tam upravené binárky sshd, ssh, scp. Problém je, že jsou nějak něčím chráněny - nejdou smazat, přejmenovat, změnit atributy, a to ani po rebootu do single režimu, ani po instalaci nového kernelu. Takhle vypadá výstup strace (není toho v něm moc k vidění):
>
> rm -f sshd:
>
> ioctl(0, SNDCTL_TMR_TIMEBASE or TCGETS, {B38400 opost isig icanon echo ...}) = 0
> unlinkat(AT_FDCWD, "sshd", 0)           = -1 EPERM (Operation not permitted)
> fstatat64(AT_FDCWD, "sshd", {st_mode=S_IFREG|0755, st_size=236456, ...}, AT_SYMLINK_NOFOLLOW) = 0
>
> chmod 600 sshd:
>
> umask(0)                                = 022
> stat64("sshd", {st_mode=S_IFREG|0755, st_size=236456, ...}) = 0
> fchmodat(AT_FDCWD, "sshd", 0600)        = -1 EPERM (Operation not permitted)
>
> Kde bych měl hledat? Knihovny jsem už prohlížel, pokud jsem něco nepřehlédl, zdají se být v pořádku.
>
> Zdeněk Prchal
> _______________________________________________
> Linux mailing list
> Linux na linux.cz
> http://www.linux.cz/mailman/listinfo/linux
>   

-- 
Tato zpráva neobsahuje viry, protože nepoužívám MS Windows.