https://opennet.me/openforum/vsluhforumID1/98004.html Доброго времени суток!<br><br>Контекст - взломали одну из моих личных виртуалок (особо не удивлен, ибо там древняя CentOS 6 - я про нее забыл, откровенно говоря, давно)<br><br>Прописали в /root/.ssh/authorized_keys свои ключи и добавили бинарники (/usr/bin/mysqldumpt + еще по мелочи) для ddos-атак.<br><br>И вот тут момент в том, что удалить или изменить эти файлы из-под root'а я не могу.<br><br># rm -rf mysqldumpt<br>rm: cannot remove `mysqldumpt': Operation not permitted<br><br>lsattr показывает, что стоят аттрибуты immutable и append<br># lsattr mysqldumpt<br>----ia-------e- mysqldumpt<br><br><br>Но вот снять их не выходит - команда chattr -i /root/.ssh/authorized_keys выполняется без ошибок, но при повторной проверке атрибут на месте<br><br>Хотелось бы разобраться, а как так вообще? Есть идеи, куда копнуть?<br><br>selinux отключен, fs - ext4<br> https://opennet.me/openforum/vsluhforumID1/98004.html#7 Wed, 02 Oct 2024 14:36:03 GMT &gt;[оверквотинг удален]<br>&gt; из-под root'а я не могу.<br>&gt; # rm -rf mysqldumpt <br>&gt; rm: cannot remove `mysqldumpt': Operation not permitted <br>&gt; lsattr показывает, что стоят аттрибуты immutable и append <br>&gt; # lsattr mysqldumpt <br>&gt; ----ia-------e- mysqldumpt <br>&gt; Но вот снять их не выходит - команда chattr -i /root/.ssh/authorized_keys выполняется <br>&gt; без ошибок, но при повторной проверке атрибут на месте <br>&gt; Хотелось бы разобраться, а как так вообще? Есть идеи, куда копнуть?<br>&gt; selinux отключен, fs - ext4 <br><br>Пальни демоны и вирусню по lsof, а ещё глянь на initrd.<br> https://opennet.me/openforum/vsluhforumID1/98004.html#6 Wed, 25 Sep 2024 21:01:14 GMT &gt;&gt;&gt; Зачем пытаться чинить хакнутую ось??? Там неизвестно что еще и куда насовали.<br>&gt;&gt; Вопрос в "разобраться, как так вообще умудрились файл защитить" <br>&gt; дарю <br>&gt; ломаешь сервак, ставишь атрибуты, подменяешь chattr - профит <br>&gt; или ты chattr по md5 проверил? )) <br>&gt;&gt; Само собой, потом пойдет под переустановку.<br><br>Оно :)<br>Спасибо за совет!<br> https://opennet.me/openforum/vsluhforumID1/98004.html#5 Wed, 25 Sep 2024 17:23:25 GMT А вообще умные люди ищут как хакнули, а не что можно напакостить под рутом .... ибо это тупость.<br> https://opennet.me/openforum/vsluhforumID1/98004.html#4 Wed, 25 Sep 2024 17:21:55 GMT &gt;&gt; Зачем пытаться чинить хакнутую ось??? Там неизвестно что еще и куда насовали.<br>&gt; Вопрос в "разобраться, как так вообще умудрились файл защитить" <br><br>дарю<br>ломаешь сервак, ставишь атрибуты, подменяешь chattr - профит<br>или ты chattr по md5 проверил? ))<br>&gt; Само собой, потом пойдет под переустановку. https://opennet.me/openforum/vsluhforumID1/98004.html#3 Wed, 25 Sep 2024 16:39:29 GMT В посте описано, что пробую изменить атрибуты, а затем их посмотреть у разных файлов (/usr/bin/mysqldumpt и /root/.ssh/authorized_keys) - но это ошибка именно в посте. В реальности, само собой, пробовал на обоих файлах последовательно.<br><br>&gt;[оверквотинг удален]<br>&gt; из-под root'а я не могу.<br>&gt; # rm -rf mysqldumpt <br>&gt; rm: cannot remove `mysqldumpt': Operation not permitted <br>&gt; lsattr показывает, что стоят аттрибуты immutable и append <br>&gt; # lsattr mysqldumpt <br>&gt; ----ia-------e- mysqldumpt <br>&gt; Но вот снять их не выходит - команда chattr -i /root/.ssh/authorized_keys выполняется <br>&gt; без ошибок, но при повторной проверке атрибут на месте <br>&gt; Хотелось бы разобраться, а как так вообще? Есть идеи, куда копнуть?<br>&gt; selinux отключен, fs - ext4 <br><br> https://opennet.me/openforum/vsluhforumID1/98004.html#2 Wed, 25 Sep 2024 15:38:35 GMT &gt; Зачем пытаться чинить хакнутую ось??? Там неизвестно что еще и куда насовали. <br><br>Вопрос в "разобраться, как так вообще умудрились файл защитить"<br>Само собой, потом пойдет под переустановку.<br> https://opennet.me/openforum/vsluhforumID1/98004.html#1 Wed, 25 Sep 2024 15:28:48 GMT Зачем пытаться чинить хакнутую ось??? Там неизвестно что еще и куда насовали.<br><br><br>