hacknutý linux

[iko]

Skusal si
chattr -i sshd
?

Iko

On 02/12/2010 09:09 AM, Zdeněk Prchal wrote:
> Zdravím,
> 
> Dostal jsem se ke stroji (linux, kernel 2.6.31.6), na který se kdosi proboural (možná uhodl heslo roota). Umístil tam upravené binárky sshd, ssh, scp. Problém je, že jsou nějak něčím chráněny - nejdou smazat, přejmenovat, změnit atributy, a to ani po rebootu do single režimu, ani po instalaci nového kernelu. Takhle vypadá výstup strace (není toho v něm moc k vidění):
> 
> rm -f sshd:
> 
> ioctl(0, SNDCTL_TMR_TIMEBASE or TCGETS, {B38400 opost isig icanon echo ...}) = 0
> unlinkat(AT_FDCWD, "sshd", 0)           = -1 EPERM (Operation not permitted)
> fstatat64(AT_FDCWD, "sshd", {st_mode=S_IFREG|0755, st_size=236456, ...}, AT_SYMLINK_NOFOLLOW) = 0
> 
> chmod 600 sshd:
> 
> umask(0)                                = 022
> stat64("sshd", {st_mode=S_IFREG|0755, st_size=236456, ...}) = 0
> fchmodat(AT_FDCWD, "sshd", 0600)        = -1 EPERM (Operation not permitted)
> 
> Kde bych měl hledat? Knihovny jsem už prohlížel, pokud jsem něco nepřehlédl, zdají se být v pořádku.
> 
> Zdeněk Prchal