/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
skrivebeskyttet trojan
Fra : leifnel


Dato : 22-01-02 02:52

Red Hat Linux release 6.1 (Cartman)

Jeg har fået en trojan ind på en ikke-opdateret redhat. (Bl.a. derfor,
jeg foretrækker debian...)
Serveren skulle alligevel erstattes af en nyere, så det gør ikke så
meget; den står nu i en krog uden netforbindelse.

Jeg fandt bl.a. en /usr/sbin/rhxp, der blev startet ved opstart.
Det er en ssh, der lytter på en høj port.

Anyway, det, der undrer mig er, at filen, selvom den ikke kører, ikke
kan slettes, chmod'es eller mv'es, selv ikke af root.
[root@host sbin]# ls -l rhxp
-rwxr-xr-x 1 root root 201552 Sep 24 1999 rhxp
[root@host sbin]# rm rhxp
rm: remove write-protected file `rhxp'? y
rm: cannot unlink `rhxp': Operation not permitted
[root@host sbin]#

Hvordan write-protecter man en fil under redhat? Er der en kommando
tilsvarend chflags under Freebsd?
chflags [-R [-H | -L | -P]] flags file ...
flags:
arch set the archived flag (super-user only)
opaque set the opaque flag (owner or super-user only)
nodump set the nodump flag (owner or super-user only)
sappnd set the system append-only flag (super-user only)
schg set the system immutable flag (super-user only)
sunlnk set the system undeletable flag (super-user only)
uappnd set the user append-only flag (owner or super-user
only)
uchg set the user immutable flag (owner or super-user
only)
uunlnk set the user undeletable flag (owner or super-user
only)
archived, sappend, schange, simmutable, uappend, uchange,

Leif

--
Leveret af:
http://www.kandu.dk/
"Vejen til en hurtig løsning"


 
 
Klaus Alexander Seis~ (22-01-2002)
Kommentar
Fra : Klaus Alexander Seis~


Dato : 22-01-02 07:18

Leif skrev:

> Anyway, det, der undrer mig er, at filen, selvom den ikke kører,
> ikke kan slettes, chmod'es eller mv'es, selv ikke af root.

Tag et kig på chattr(1) - måske er "immutable"-atributten sat.


// Klaus

--
><>    vandag, môre, altyd saam

leifnel (23-01-2002)
Kommentar
Fra : leifnel


Dato : 23-01-02 00:26

Tak for svaret Klaus Alexander Seistrup.
> Tag et kig på chattr(1) - måske er "immutable"-atributten sat.

> // Klaus

Det var netop det.
# find . -fstype ext2 -type f -exec lsattr {} \; | grep -v
"\-\-\-\-\-\-\-\-"
find: ./proc/6/fd: Permission denied
find: ./proc/2761/fd: Permission denied
----ia-- ./usr/bin/dir
----ia-- ./usr/bin/top
----ia-- ./usr/bin/pstree
----ia-- ./usr/bin/md5sum
----ia-- ./usr/bin/find
----ia-- ./usr/bin/slocate
----ia-- ./usr/sbin/lsof
----ia-- ./usr/sbin/rhxp
----ia-- ./etc/term.db
----ia-- ./bin/netstat
----ia-- ./bin/ls
----ia-- ./sbin/ifconfig

Den maskine er vist ikke til at stole på mere...
                        

--
Leveret af:
http://www.kandu.dk/
"Vejen til en hurtig løsning"


Lars Kongshøj (22-01-2002)
Kommentar
Fra : Lars Kongshøj


Dato : 22-01-02 07:34

leifnel wrote:
> Hvordan write-protecter man en fil under redhat? Er der en kommando
> tilsvarend chflags under Freebsd?

chattr

--
Lars Kongshøj

Peter Makholm (23-01-2002)
Kommentar
Fra : Peter Makholm


Dato : 23-01-02 00:24

"leifnel" <leifnel.news@kandu.dk> writes:

> Den maskine er vist ikke til at stole på mere...

Ingen maskiner der har haft besøgende er til at stole på mere. Har man
på fornemmelse at ens maskine har haft uindbudt besøg er der ikke
andet at gøre end at geninstallerer, eventuelt efter at have brugt
mere eller mindre tid på at afdække hvordan folk kom ind på maskinen.

--
Når folk spørger mig, om jeg er nørd, bliver jeg altid ilde til mode
og svarer lidt undskyldende: "Nej, jeg bruger RedHat".
-- Allan Olesen på dk.edb.system.unix

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408899
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste