Новые ответы

Удалить/изменить immutable файл и/или папку,

lyric, 25-Сен-24, 17:36 [смотреть все]

Доброго времени суток!
Контекст - взломали одну из моих личных виртуалок (особо не удивлен, ибо там древняя CentOS 6 - я про нее забыл, откровенно говоря, давно)
Прописали в /root/.ssh/authorized_keys свои ключи и добавили бинарники (/usr/bin/mysqldumpt + еще по мелочи) для ddos-атак.
И вот тут момент в том, что удалить или изменить эти файлы из-под root'а я не могу.
# rm -rf mysqldumpt
rm: cannot remove `mysqldumpt': Operation not permitted
lsattr показывает, что стоят аттрибуты immutable и append
# lsattr mysqldumpt
----ia-------e- mysqldumpt

Но вот снять их не выходит - команда chattr -i /root/.ssh/authorized_keys выполняется без ошибок, но при повторной проверке атрибут на месте
Хотелось бы разобраться, а как так вообще? Есть идеи, куда копнуть?
selinux отключен, fs - ext4

Ответить | Сообщить модератору

Удалить/изменить immutable файл и/или папку, Pahanivo пробегал, 18:28 , 25-Сен-24 (1)
Зачем пытаться чинить хакнутую ось??? Там неизвестно что еще и куда насовали.

Ответить | Сообщить модератору

Удалить/изменить immutable файл и/или папку, lyric, 18:38 , 25-Сен-24 (2)
> Зачем пытаться чинить хакнутую ось??? Там неизвестно что еще и куда насовали.
Вопрос в "разобраться, как так вообще умудрились файл защитить"
Само собой, потом пойдет под переустановку.
Ответить | Сообщить модератору

Удалить/изменить immutable файл и/или папку, Pahanivo пробегал, 20:21 , 25-Сен-24 (4)
>> Зачем пытаться чинить хакнутую ось??? Там неизвестно что еще и куда насовали.
> Вопрос в "разобраться, как так вообще умудрились файл защитить"
дарю
ломаешь сервак, ставишь атрибуты, подменяешь chattr - профит
или ты chattr по md5 проверил? ))
> Само собой, потом пойдет под переустановку.
Ответить | Сообщить модератору

Удалить/изменить immutable файл и/или папку, Pahanivo пробегал, 20:23 , 25-Сен-24 (5)
А вообще умные люди ищут как хакнули, а не что можно напакостить под рутом .... ибо это тупость.
Ответить | Сообщить модератору
Удалить/изменить immutable файл и/или папку, lyric, 00:01 , 26-Сен-24 (6)
>>> Зачем пытаться чинить хакнутую ось??? Там неизвестно что еще и куда насовали.
>> Вопрос в "разобраться, как так вообще умудрились файл защитить"
> дарю
> ломаешь сервак, ставишь атрибуты, подменяешь chattr - профит
> или ты chattr по md5 проверил? ))
>> Само собой, потом пойдет под переустановку.
Оно :)
Спасибо за совет!
Ответить | Сообщить модератору

Удалить/изменить immutable файл и/или папку, lyric, 19:39 , 25-Сен-24 (3)
В посте описано, что пробую изменить атрибуты, а затем их посмотреть у разных файлов (/usr/bin/mysqldumpt и /root/.ssh/authorized_keys) - но это ошибка именно в посте. В реальности, само собой, пробовал на обоих файлах последовательно.
>[оверквотинг удален]
> из-под root'а я не могу.
> # rm -rf mysqldumpt
> rm: cannot remove `mysqldumpt': Operation not permitted
> lsattr показывает, что стоят аттрибуты immutable и append
> # lsattr mysqldumpt
> ----ia-------e- mysqldumpt
> Но вот снять их не выходит - команда chattr -i /root/.ssh/authorized_keys выполняется
> без ошибок, но при повторной проверке атрибут на месте
> Хотелось бы разобраться, а как так вообще? Есть идеи, куда копнуть?
> selinux отключен, fs - ext4
Ответить | Сообщить модератору