[Tech] login immodificabile
Lorenzo Cocchi
lorenzo.cocchi@libero.it
Lun 14 Apr 2003 21:27:14 CEST
Il domenica 13 aprile 2003, alle 22:40, Franco Bagnoli ha scritto:
>On Sun, 13 Apr 2003, Leonardo Boselli wrote:
>
>> Per motivi misteriosi il file in /bin ls df e ping mi saono diventati con
>> permission 0700 anziché 0755 . Hodato un comando chmod 755
>> /bin/* ... eil risultato è che tutti i file hanno preso questi permessi.
>> completi su mount login che non dovevano averli . per su e mount
>> rimetterci 4755 è stato banale. ma per login mi dice questo:
>> olo:/bin# mv login login00 mv: cannot unlink `login': Operation not
>> permitted mv: cannot remove `login': Operation not permitted
>> olo:/bin# chmod 4755 login chmod: changing permissions of `login':
>> Operation not permitted .... che posso fare ? COME MAI CAPITA
>> QUESTO ?
>
>probabilmente sono entrati sul tuo computer con un qualche rootkit che
>spesso rimpiazza login con un comando modificato e usa gli attributi non
>standard del ext2 per far sì che tu non lo possa cancellare.
>
>puoi cambiare il flag con chattr o (credo) debugfs
>
>ovviamente dovrai dare una controllata seria al sistema.....
>
Per una prima (banale) controllata puoi usare "chkrootkit".
http://www.chkrootkit.org
--
Lorenzo Cocchi
Maggiori informazioni sulla lista
flug-tech