forum.opennet.ru - "Удалить/изменить immutable файл и/или папку" (7)

"Удалить/изменить immutable файл и/или папку"

Форум Открытые системы на сервере (Файловые системы, диски)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Удалить/изменить immutable файл и/или папку"	+/–
Сообщение от lyric (ok), 25-Сен-24, 17:36
Доброго времени суток! Контекст - взломали одну из моих личных виртуалок (особо не удивлен, ибо там древняя CentOS 6 - я про нее забыл, откровенно говоря, давно) Прописали в /root/.ssh/authorized_keys свои ключи и добавили бинарники (/usr/bin/mysqldumpt + еще по мелочи) для ddos-атак. И вот тут момент в том, что удалить или изменить эти файлы из-под root'а я не могу. # rm -rf mysqldumpt rm: cannot remove `mysqldumpt': Operation not permitted lsattr показывает, что стоят аттрибуты immutable и append # lsattr mysqldumpt ----ia-------e- mysqldumpt Но вот снять их не выходит - команда chattr -i /root/.ssh/authorized_keys выполняется без ошибок, но при повторной проверке атрибут на месте Хотелось бы разобраться, а как так вообще? Есть идеи, куда копнуть? selinux отключен, fs - ext4
Ответить \| Правка \| Cообщить модератору

Оглавление

Зачем пытаться чинить хакнутую ось Там неизвестно что еще и куда насовали , Pahanivo пробегал (?), 18:28 , 25-Сен-24, (1)

Вопрос в разобраться, как так вообще умудрились файл защитить Само собой, потом, lyric (ok), 18:38 , 25-Сен-24, (2)

дарюломаешь сервак, ставишь атрибуты, подменяешь chattr - профитили ты chattr по, Pahanivo пробегал (?), 20:21 , 25-Сен-24, (4)

А вообще умные люди ищут как хакнули, а не что можно напакостить под рутом , Pahanivo пробегал (?), 20:23 , 25-Сен-24, (5)
Оно Спасибо за совет , lyric (ok), 00:01 , 26-Сен-24, (6)

В посте описано, что пробую изменить атрибуты, а затем их посмотреть у разных фа, lyric (ok), 19:39 , 25-Сен-24, (3)
gt оверквотинг удален Пальни демоны и вирусню по lsof, а ещё глянь на initrd , Аноним (7), 17:36 , 02-Окт-24, (7)

Сообщения [Сортировка по времени | RSS]

1. "Удалить/изменить immutable файл и/или папку" +/–

Сообщение от Pahanivo пробегал (?), 25-Сен-24, 18:28

Зачем пытаться чинить хакнутую ось??? Там неизвестно что еще и куда насовали.

Ответить | Правка | Наверх | Cообщить модератору

2. "Удалить/изменить immutable файл и/или папку" +/–

Сообщение от lyric (ok), 25-Сен-24, 18:38

> Зачем пытаться чинить хакнутую ось??? Там неизвестно что еще и куда насовали.
Вопрос в "разобраться, как так вообще умудрились файл защитить"
Само собой, потом пойдет под переустановку.

Ответить | Правка | Наверх | Cообщить модератору

4. "Удалить/изменить immutable файл и/или папку" +/–

Сообщение от Pahanivo пробегал (?), 25-Сен-24, 20:21

>> Зачем пытаться чинить хакнутую ось??? Там неизвестно что еще и куда насовали.
> Вопрос в "разобраться, как так вообще умудрились файл защитить"
дарю
ломаешь сервак, ставишь атрибуты, подменяешь chattr - профит
или ты chattr по md5 проверил? ))
> Само собой, потом пойдет под переустановку.

Ответить | Правка | Наверх | Cообщить модератору

5. "Удалить/изменить immutable файл и/или папку" +/–

Сообщение от Pahanivo пробегал (?), 25-Сен-24, 20:23

А вообще умные люди ищут как хакнули, а не что можно напакостить под рутом .... ибо это тупость.

Ответить | Правка | Наверх | Cообщить модератору

6. "Удалить/изменить immutable файл и/или папку" +/–

Сообщение от lyric (ok), 26-Сен-24, 00:01

>>> Зачем пытаться чинить хакнутую ось??? Там неизвестно что еще и куда насовали.
>> Вопрос в "разобраться, как так вообще умудрились файл защитить"
> дарю
> ломаешь сервак, ставишь атрибуты, подменяешь chattr - профит
> или ты chattr по md5 проверил? ))
>> Само собой, потом пойдет под переустановку.
Оно :)
Спасибо за совет!

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

3. "Удалить/изменить immutable файл и/или папку" +/–

Сообщение от lyric (ok), 25-Сен-24, 19:39

В посте описано, что пробую изменить атрибуты, а затем их посмотреть у разных файлов (/usr/bin/mysqldumpt и /root/.ssh/authorized_keys) - но это ошибка именно в посте. В реальности, само собой, пробовал на обоих файлах последовательно.
>[оверквотинг удален]
> из-под root'а я не могу.
> # rm -rf mysqldumpt
> rm: cannot remove `mysqldumpt': Operation not permitted
> lsattr показывает, что стоят аттрибуты immutable и append
> # lsattr mysqldumpt
> ----ia-------e- mysqldumpt
> Но вот снять их не выходит - команда chattr -i /root/.ssh/authorized_keys выполняется
> без ошибок, но при повторной проверке атрибут на месте
> Хотелось бы разобраться, а как так вообще? Есть идеи, куда копнуть?
> selinux отключен, fs - ext4

Ответить | Правка | Наверх | Cообщить модератору

7. "Удалить/изменить immutable файл и/или папку" +/–

Сообщение от Аноним (7), 02-Окт-24, 17:36

>[оверквотинг удален]
> из-под root'а я не могу.
> # rm -rf mysqldumpt
> rm: cannot remove `mysqldumpt': Operation not permitted
> lsattr показывает, что стоят аттрибуты immutable и append
> # lsattr mysqldumpt
> ----ia-------e- mysqldumpt
> Но вот снять их не выходит - команда chattr -i /root/.ssh/authorized_keys выполняется
> без ошибок, но при повторной проверке атрибут на месте
> Хотелось бы разобраться, а как так вообще? Есть идеи, куда копнуть?
> selinux отключен, fs - ext4
Пальни демоны и вирусню по lsof, а ещё глянь на initrd.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Удалить/изменить immutable файл и/или папку"	+/–
Сообщение от Pahanivo пробегал (?), 25-Сен-24, 18:28
Зачем пытаться чинить хакнутую ось??? Там неизвестно что еще и куда насовали.
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Удалить/изменить immutable файл и/или папку"	+/–
	Сообщение от lyric (ok), 25-Сен-24, 18:38
	> Зачем пытаться чинить хакнутую ось??? Там неизвестно что еще и куда насовали. Вопрос в "разобраться, как так вообще умудрились файл защитить" Само собой, потом пойдет под переустановку.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Удалить/изменить immutable файл и/или папку"	+/–
	Сообщение от Pahanivo пробегал (?), 25-Сен-24, 20:21
	>> Зачем пытаться чинить хакнутую ось??? Там неизвестно что еще и куда насовали. > Вопрос в "разобраться, как так вообще умудрились файл защитить" дарю ломаешь сервак, ставишь атрибуты, подменяешь chattr - профит или ты chattr по md5 проверил? )) > Само собой, потом пойдет под переустановку.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Удалить/изменить immutable файл и/или папку"	+/–
	Сообщение от Pahanivo пробегал (?), 25-Сен-24, 20:23
	А вообще умные люди ищут как хакнули, а не что можно напакостить под рутом .... ибо это тупость.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Удалить/изменить immutable файл и/или папку"	+/–
	Сообщение от lyric (ok), 26-Сен-24, 00:01
	>>> Зачем пытаться чинить хакнутую ось??? Там неизвестно что еще и куда насовали. >> Вопрос в "разобраться, как так вообще умудрились файл защитить" > дарю > ломаешь сервак, ставишь атрибуты, подменяешь chattr - профит > или ты chattr по md5 проверил? )) >> Само собой, потом пойдет под переустановку. Оно :) Спасибо за совет!
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору

3. "Удалить/изменить immutable файл и/или папку"	+/–
Сообщение от lyric (ok), 25-Сен-24, 19:39
В посте описано, что пробую изменить атрибуты, а затем их посмотреть у разных файлов (/usr/bin/mysqldumpt и /root/.ssh/authorized_keys) - но это ошибка именно в посте. В реальности, само собой, пробовал на обоих файлах последовательно. >[оверквотинг удален] > из-под root'а я не могу. > # rm -rf mysqldumpt > rm: cannot remove `mysqldumpt': Operation not permitted > lsattr показывает, что стоят аттрибуты immutable и append > # lsattr mysqldumpt > ----ia-------e- mysqldumpt > Но вот снять их не выходит - команда chattr -i /root/.ssh/authorized_keys выполняется > без ошибок, но при повторной проверке атрибут на месте > Хотелось бы разобраться, а как так вообще? Есть идеи, куда копнуть? > selinux отключен, fs - ext4
Ответить \| Правка \| Наверх \| Cообщить модератору

7. "Удалить/изменить immutable файл и/или папку"	+/–
Сообщение от Аноним (7), 02-Окт-24, 17:36
>[оверквотинг удален] > из-под root'а я не могу. > # rm -rf mysqldumpt > rm: cannot remove `mysqldumpt': Operation not permitted > lsattr показывает, что стоят аттрибуты immutable и append > # lsattr mysqldumpt > ----ia-------e- mysqldumpt > Но вот снять их не выходит - команда chattr -i /root/.ssh/authorized_keys выполняется > без ошибок, но при повторной проверке атрибут на месте > Хотелось бы разобраться, а как так вообще? Есть идеи, куда копнуть? > selinux отключен, fs - ext4 Пальни демоны и вирусню по lsof, а ещё глянь на initrd.
Ответить \| Правка \| Наверх \| Cообщить модератору