URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 98004
[ Назад ]
Исходное сообщение
"Удалить/изменить immutable файл и/или папку"
Отправлено lyric , 25-Сен-24 17:36 
Доброго времени суток!

Контекст - взломали одну из моих личных виртуалок (особо не удивлен, ибо там древняя CentOS 6 - я про нее забыл, откровенно говоря, давно)

Прописали в /root/.ssh/authorized_keys свои ключи и добавили бинарники (/usr/bin/mysqldumpt + еще по мелочи) для ddos-атак.

И вот тут момент в том, что удалить или изменить эти файлы из-под root'а я не могу.

# rm -rf mysqldumpt
rm: cannot remove `mysqldumpt': Operation not permitted

lsattr показывает, что стоят аттрибуты immutable и append
# lsattr mysqldumpt
----ia-------e- mysqldumpt


Но вот снять их не выходит - команда chattr -i /root/.ssh/authorized_keys выполняется без ошибок, но при повторной проверке атрибут на месте

Хотелось бы разобраться, а как так вообще? Есть идеи, куда копнуть?

selinux отключен, fs - ext4

Содержание
Сообщения в этом обсуждении
"Удалить/изменить immutable файл и/или папку"
Отправлено Pahanivo пробегал , 25-Сен-24 18:28 
Зачем пытаться чинить хакнутую ось??? Там неизвестно что еще и куда насовали.


"Удалить/изменить immutable файл и/или папку"
Отправлено lyric , 25-Сен-24 18:38 
> Зачем пытаться чинить хакнутую ось??? Там неизвестно что еще и куда насовали.

Вопрос в "разобраться, как так вообще умудрились файл защитить"
Само собой, потом пойдет под переустановку.

"Удалить/изменить immutable файл и/или папку"
Отправлено Pahanivo пробегал , 25-Сен-24 20:21 
>> Зачем пытаться чинить хакнутую ось??? Там неизвестно что еще и куда насовали.
> Вопрос в "разобраться, как так вообще умудрились файл защитить"

дарю
ломаешь сервак, ставишь атрибуты, подменяешь chattr - профит
или ты chattr по md5 проверил? ))
> Само собой, потом пойдет под переустановку.

"Удалить/изменить immutable файл и/или папку"
Отправлено Pahanivo пробегал , 25-Сен-24 20:23 
А вообще умные люди ищут как хакнули, а не что можно напакостить под рутом .... ибо это тупость.
"Удалить/изменить immutable файл и/или папку"
Отправлено lyric , 26-Сен-24 00:01 
>>> Зачем пытаться чинить хакнутую ось??? Там неизвестно что еще и куда насовали.
>> Вопрос в "разобраться, как так вообще умудрились файл защитить"
> дарю
> ломаешь сервак, ставишь атрибуты, подменяешь chattr - профит
> или ты chattr по md5 проверил? ))
>> Само собой, потом пойдет под переустановку.

Оно :)
Спасибо за совет!

"Удалить/изменить immutable файл и/или папку"
Отправлено lyric , 25-Сен-24 19:39 
В посте описано, что пробую изменить атрибуты, а затем их посмотреть у разных файлов (/usr/bin/mysqldumpt и /root/.ssh/authorized_keys) - но это ошибка именно в посте. В реальности, само собой, пробовал на обоих файлах последовательно.

>[оверквотинг удален]
> из-под root'а я не могу.
> # rm -rf mysqldumpt
> rm: cannot remove `mysqldumpt': Operation not permitted
> lsattr показывает, что стоят аттрибуты immutable и append
> # lsattr mysqldumpt
> ----ia-------e- mysqldumpt
> Но вот снять их не выходит - команда chattr -i /root/.ssh/authorized_keys выполняется
> без ошибок, но при повторной проверке атрибут на месте
> Хотелось бы разобраться, а как так вообще? Есть идеи, куда копнуть?
> selinux отключен, fs - ext4

"Удалить/изменить immutable файл и/или папку"
Отправлено Аноним , 02-Окт-24 17:36 
>[оверквотинг удален]
> из-под root'а я не могу.
> # rm -rf mysqldumpt
> rm: cannot remove `mysqldumpt': Operation not permitted
> lsattr показывает, что стоят аттрибуты immutable и append
> # lsattr mysqldumpt
> ----ia-------e- mysqldumpt
> Но вот снять их не выходит - команда chattr -i /root/.ssh/authorized_keys выполняется
> без ошибок, но при повторной проверке атрибут на месте
> Хотелось бы разобраться, а как так вообще? Есть идеи, куда копнуть?
> selinux отключен, fs - ext4

Пальни демоны и вирусню по lsof, а ещё глянь на initrd.