RE: hacknutý linux

Zdeněk Prchal prchal na vtdata.cz
Pátek Únor 12 10:13:50 CET 2010


su--ia--------- ssh

díky za nakopnutí, to bylo ono. Zatím jsem neměl ani ponětí, že ext2fs nějaké takové atributy má.

Zdeněk Prchal

> -----Original Message-----
> From: linux-bounces na linux.cz [mailto:linux-bounces na linux.cz] On Behalf Of
> Pavel Just
> Sent: Friday, February 12, 2010 9:11 AM
> To: Diskuse o Linuxu v cestine
> Subject: Re: hacknutý linux
> 
> Co říká lsattr ?
> Pavel
> 
> Zdeněk Prchal napsal(a):
> > Zdravím,
> >
> > Dostal jsem se ke stroji (linux, kernel 2.6.31.6), na který se kdosi
> proboural (možná uhodl heslo roota). Umístil tam upravené binárky sshd, ssh,
> scp. Problém je, že jsou nějak něčím chráněny - nejdou smazat, přejmenovat,
> změnit atributy, a to ani po rebootu do single režimu, ani po instalaci nového
> kernelu. Takhle vypadá výstup strace (není toho v něm moc k vidění):
> >
> > rm -f sshd:
> >
> > ioctl(0, SNDCTL_TMR_TIMEBASE or TCGETS, {B38400 opost isig icanon echo ...})
> = 0
> > unlinkat(AT_FDCWD, "sshd", 0)           = -1 EPERM (Operation not permitted)
> > fstatat64(AT_FDCWD, "sshd", {st_mode=S_IFREG|0755, st_size=236456, ...},
> AT_SYMLINK_NOFOLLOW) = 0
> >
> > chmod 600 sshd:
> >
> > umask(0)                                = 022
> > stat64("sshd", {st_mode=S_IFREG|0755, st_size=236456, ...}) = 0
> > fchmodat(AT_FDCWD, "sshd", 0600)        = -1 EPERM (Operation not permitted)
> >
> > Kde bych měl hledat? Knihovny jsem už prohlížel, pokud jsem něco nepřehlédl,
> zdají se být v pořádku.
> >
> > Zdeněk Prchal
> > _______________________________________________
> > Linux mailing list
> > Linux na linux.cz
> > http://www.linux.cz/mailman/listinfo/linux
> >
> 
> --
> Tato zpráva neobsahuje viry, protože nepoužívám MS Windows.
> 
> _______________________________________________
> Linux mailing list
> Linux na linux.cz
> http://www.linux.cz/mailman/listinfo/linux



Další informace o konferenci Linux