/ Forside/ Teknologi / Operativsystemer / Linux / Spørgsmål
Login
Glemt dit kodeord?
Brugernavn 

Kodeord  


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
skrivebeskyttet trojan
Fra : leifnel
Vist : 501 gange
50 point
Dato : 22-01-02 02:52

Red Hat Linux release 6.1 (Cartman)

Jeg har fået en trojan ind på en ikke-opdateret redhat. (Bl.a. derfor, jeg foretrækker debian...)
Serveren skulle alligevel erstattes af en nyere, så det gør ikke så meget; den står nu i en krog uden netforbindelse.

Jeg fandt bl.a. en /usr/sbin/rhxp, der blev startet ved opstart.
Det er en ssh, der lytter på en høj port.

Anyway, det, der undrer mig er, at filen, selvom den ikke kører, ikke kan slettes, chmod'es eller mv'es, selv ikke af root.
[root@host sbin]# ls -l rhxp
-rwxr-xr-x 1 root root 201552 Sep 24 1999 rhxp
[root@host sbin]# rm rhxp
rm: remove write-protected file `rhxp'? y
rm: cannot unlink `rhxp': Operation not permitted
[root@host sbin]#

Hvordan write-protecter man en fil under redhat? Er der en kommando tilsvarend chflags under Freebsd?
chflags [-R [-H | -L | -P]] flags file ...
flags:
arch set the archived flag (super-user only)
opaque set the opaque flag (owner or super-user only)
nodump set the nodump flag (owner or super-user only)
sappnd set the system append-only flag (super-user only)
schg set the system immutable flag (super-user only)
sunlnk set the system undeletable flag (super-user only)
uappnd set the user append-only flag (owner or super-user only)
uchg set the user immutable flag (owner or super-user only)
uunlnk set the user undeletable flag (owner or super-user only)
archived, sappend, schange, simmutable, uappend, uchange,

Leif

 
 
Accepteret svar
Fra : Nyhedsbruger

Modtaget 50 point
Dato : 22-01-02 07:18

Leif skrev:

> Anyway, det, der undrer mig er, at filen, selvom den ikke kører,
> ikke kan slettes, chmod'es eller mv'es, selv ikke af root.

Tag et kig på chattr(1) - måske er "immutable"-atributten sat.


// Klaus

--
><>    vandag, môre, altyd saam

Kommentar
Fra : Nyhedsbruger


Dato : 22-01-02 07:34

leifnel wrote:
> Hvordan write-protecter man en fil under redhat? Er der en kommando
> tilsvarend chflags under Freebsd?

chattr

--
Lars Kongshøj

Godkendelse af svar
Fra : leifnel


Dato : 23-01-02 00:26

Tak for svaret Klaus Alexander Seistrup.
> Tag et kig på chattr(1) - måske er "immutable"-atributten sat.

> // Klaus

Det var netop det.
# find . -fstype ext2 -type f -exec lsattr {} \; | grep -v "\-\-\-\-\-\-\-\-"
find: ./proc/6/fd: Permission denied
find: ./proc/2761/fd: Permission denied
----ia-- ./usr/bin/dir
----ia-- ./usr/bin/top
----ia-- ./usr/bin/pstree
----ia-- ./usr/bin/md5sum
----ia-- ./usr/bin/find
----ia-- ./usr/bin/slocate
----ia-- ./usr/sbin/lsof
----ia-- ./usr/sbin/rhxp
----ia-- ./etc/term.db
----ia-- ./bin/netstat
----ia-- ./bin/ls
----ia-- ./sbin/ifconfig

Den maskine er vist ikke til at stole på mere...
                        

Kommentar
Fra : Nyhedsbruger


Dato : 23-01-02 00:24

"leifnel" <leifnel.news@kandu.dk> writes:

> Den maskine er vist ikke til at stole på mere...

Ingen maskiner der har haft besøgende er til at stole på mere. Har man
på fornemmelse at ens maskine har haft uindbudt besøg er der ikke
andet at gøre end at geninstallerer, eventuelt efter at have brugt
mere eller mindre tid på at afdække hvordan folk kom ind på maskinen.

--
Når folk spørger mig, om jeg er nørd, bliver jeg altid ilde til mode
og svarer lidt undskyldende: "Nej, jeg bruger RedHat".
-- Allan Olesen på dk.edb.system.unix

Du har følgende muligheder
Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
Søg
Reklame
Statistik
Spørgsmål : 177445
Tips : 31962
Nyheder : 719565
Indlæg : 6408099
Brugere : 218879

Månedens bedste
Årets bedste
Sidste års bedste