Доброго времени суток!Контекст - взломали одну из моих личных виртуалок (особо не удивлен, ибо там древняя CentOS 6 - я про нее забыл, откровенно говоря, давно)
Прописали в /root/.ssh/authorized_keys свои ключи и добавили бинарники (/usr/bin/mysqldumpt + еще по мелочи) для ddos-атак.
И вот тут момент в том, что удалить или изменить эти файлы из-под root'а я не могу.
# rm -rf mysqldumpt
rm: cannot remove `mysqldumpt': Operation not permitted
lsattr показывает, что стоят аттрибуты immutable и append
# lsattr mysqldumpt
----ia-------e- mysqldumpt
Но вот снять их не выходит - команда chattr -i /root/.ssh/authorized_keys выполняется без ошибок, но при повторной проверке атрибут на месте
Хотелось бы разобраться, а как так вообще? Есть идеи, куда копнуть?
selinux отключен, fs - ext4