rm /sbin/ttyload
rm: remove write-protected regular file `/sbin/ttyload'? y
rm: cannot remove `/sbin/ttyload': Operation not permitted
Фиксится так:
chattr -ia /sbin/ttyload
FastNetMon
Showing posts with label chattr. Show all posts
Showing posts with label chattr. Show all posts
Monday, 4 January 2010
Удаление неудаляемых файлов
Тела руткитов нередко защищены от удаления и при вызове даже от рута команды rm выдают следующее:
Фиксится так:
Фиксится так:
Поиск всех файлов в Linux, где не пустой lsattr
for f in `find / | grep -v '/proc' | grep -v '/dev' | grep -v '/sys'`; do lsattr $f | grep -v '^-------------' ; done
Очень помогает для борьбы с некоторыми видами руткитов, которые делают свои исполняемые / инфицированные ими файлы не удаляемыми и не изменяемыми.
Вот примеры зловредного ПО и инфицированных файлов:
s---ia------- /sbin/ttyload
s---ia------- /sbin/ttyload
s---ia------- /etc/sh.conf
s---ia------- /etc/sh.conf
s----a------- /usr/sbin/lsof
s----a------- /usr/sbin/lsof
Subscribe to:
Posts
(
Atom
)