所以我受到了一个脚本kitte …幸运的是,该框是Ubuntu,并能够取代W /二进制文件从一个可比较的系统, 但是 ,
一些我无法删除的文件,我仍然难住这个。 被劫持的文件位于root可写的/_bin目录下。
nathan@db-0:~$ ls -ld !$ ls -ld /_bin drwxr-xr-x 2 root root 4096 Mar 12 18:00 /_bin
好的,这些是目录上的perms,现在是以下文件中的文件:
nathan@db-0:~$ ls -l /_bin total 268 -rwxr-xr-x 1 root root 39696 Nov 19 22:25 ls -rwxr-xr-x 1 root root 119800 Mar 31 2012 netstat -rwxr-xr-x 1 root root 101240 Dec 12 2011 ps
现在,当我尝试删除这些文件之一(作为根):
root@db-0:/home/nathan# rm /_bin/ls rm: cannot remove `/_bin/ls': Operation not permitted
或者,如果我尝试删除整个_bin目录(再次以root身份):
root@db-0:/home/nathan# rm -rf /_bin rm: cannot remove `/_bin/ls': Operation not permitted rm: cannot remove `/_bin/netstat': Operation not permitted rm: cannot remove `/_bin/ps': Operation not permitted
那么我怎样才能删除这些文件?
编辑:
果然不可变的位已经设置,但是,删除它不会让我删除文件。
root@db-0:/home/nathan# lsattr /_bin s---ia--------- /_bin/ls s---ia--------- /_bin/netstat s---ia--------- /_bin/ps root@db-0:/home/nathan# chattr -R -i /_bin root@db-0:/home/nathan# lsattr /_bin s----a--------- /_bin/ls s----a--------- /_bin/netstat s----a--------- /_bin/ps root@db-0:/home/nathan# rm -rf /_bin rm: cannot remove `/_bin/ls': Operation not permitted rm: cannot remove `/_bin/netstat': Operation not permitted rm: cannot remove `/_bin/ps': Operation not permitted
也validation/_bin没有不可变的位:
root@db-0:/home/nathan# lsattr -d /_bin --------------- /_bin
攻击者很有可能在文件和目录中设置了不可变的属性。 这通常由rootkit来完成,使清理更加困难。
要确认这一点,请尝试:
lsattr /_bin
要删除不可变属性,请使用:
chattr -R -i /_bin
您还需要清除a和s属性,因为这些可能会影响您删除文件的能力。
chattr -R -i -a -s /_bin
请参阅chattr手册页,了解所有属性及其function的完整说明。
看起来粘滞的位还在那里。
chmod -t /_bin