The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Удалить/изменить immutable файл и/или папку"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Файловые системы, диски)
Изначальное сообщение [ Отслеживать ]

"Удалить/изменить immutable файл и/или папку"  +/
Сообщение от lyric (ok), 25-Сен-24, 17:36 
Доброго времени суток!

Контекст - взломали одну из моих личных виртуалок (особо не удивлен, ибо там древняя CentOS 6 - я про нее забыл, откровенно говоря, давно)

Прописали в /root/.ssh/authorized_keys свои ключи и добавили бинарники (/usr/bin/mysqldumpt + еще по мелочи) для ddos-атак.

И вот тут момент в том, что удалить или изменить эти файлы из-под root'а я не могу.

# rm -rf mysqldumpt
rm: cannot remove `mysqldumpt': Operation not permitted

lsattr показывает, что стоят аттрибуты immutable и append
# lsattr mysqldumpt
----ia-------e- mysqldumpt


Но вот снять их не выходит - команда chattr -i /root/.ssh/authorized_keys выполняется без ошибок, но при повторной проверке атрибут на месте

Хотелось бы разобраться, а как так вообще? Есть идеи, куда копнуть?

selinux отключен, fs - ext4

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Удалить/изменить immutable файл и/или папку"  +/
Сообщение от Pahanivo пробегал (?), 25-Сен-24, 18:28 
Зачем пытаться чинить хакнутую ось??? Там неизвестно что еще и куда насовали.


Ответить | Правка | Наверх | Cообщить модератору

2. "Удалить/изменить immutable файл и/или папку"  +/
Сообщение от lyric (ok), 25-Сен-24, 18:38 
> Зачем пытаться чинить хакнутую ось??? Там неизвестно что еще и куда насовали.

Вопрос в "разобраться, как так вообще умудрились файл защитить"
Само собой, потом пойдет под переустановку.

Ответить | Правка | Наверх | Cообщить модератору

4. "Удалить/изменить immutable файл и/или папку"  +/
Сообщение от Pahanivo пробегал (?), 25-Сен-24, 20:21 
>> Зачем пытаться чинить хакнутую ось??? Там неизвестно что еще и куда насовали.
> Вопрос в "разобраться, как так вообще умудрились файл защитить"

дарю
ломаешь сервак, ставишь атрибуты, подменяешь chattr - профит
или ты chattr по md5 проверил? ))
> Само собой, потом пойдет под переустановку.

Ответить | Правка | Наверх | Cообщить модератору

5. "Удалить/изменить immutable файл и/или папку"  +/
Сообщение от Pahanivo пробегал (?), 25-Сен-24, 20:23 
А вообще умные люди ищут как хакнули, а не что можно напакостить под рутом .... ибо это тупость.
Ответить | Правка | Наверх | Cообщить модератору

6. "Удалить/изменить immutable файл и/или папку"  +/
Сообщение от lyric (ok), 26-Сен-24, 00:01 
>>> Зачем пытаться чинить хакнутую ось??? Там неизвестно что еще и куда насовали.
>> Вопрос в "разобраться, как так вообще умудрились файл защитить"
> дарю
> ломаешь сервак, ставишь атрибуты, подменяешь chattr - профит
> или ты chattr по md5 проверил? ))
>> Само собой, потом пойдет под переустановку.

Оно :)
Спасибо за совет!

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

3. "Удалить/изменить immutable файл и/или папку"  +/
Сообщение от lyric (ok), 25-Сен-24, 19:39 
В посте описано, что пробую изменить атрибуты, а затем их посмотреть у разных файлов (/usr/bin/mysqldumpt и /root/.ssh/authorized_keys) - но это ошибка именно в посте. В реальности, само собой, пробовал на обоих файлах последовательно.

>[оверквотинг удален]
> из-под root'а я не могу.
> # rm -rf mysqldumpt
> rm: cannot remove `mysqldumpt': Operation not permitted
> lsattr показывает, что стоят аттрибуты immutable и append
> # lsattr mysqldumpt
> ----ia-------e- mysqldumpt
> Но вот снять их не выходит - команда chattr -i /root/.ssh/authorized_keys выполняется
> без ошибок, но при повторной проверке атрибут на месте
> Хотелось бы разобраться, а как так вообще? Есть идеи, куда копнуть?
> selinux отключен, fs - ext4

Ответить | Правка | Наверх | Cообщить модератору

7. "Удалить/изменить immutable файл и/или папку"  +/
Сообщение от Аноним (7), 02-Окт-24, 17:36 
>[оверквотинг удален]
> из-под root'а я не могу.
> # rm -rf mysqldumpt
> rm: cannot remove `mysqldumpt': Operation not permitted
> lsattr показывает, что стоят аттрибуты immutable и append
> # lsattr mysqldumpt
> ----ia-------e- mysqldumpt
> Но вот снять их не выходит - команда chattr -i /root/.ssh/authorized_keys выполняется
> без ошибок, но при повторной проверке атрибут на месте
> Хотелось бы разобраться, а как так вообще? Есть идеи, куда копнуть?
> selinux отключен, fs - ext4

Пальни демоны и вирусню по lsof, а ещё глянь на initrd.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру