Назад | Перейти на главную страницу

Мой Linux-ящик был взломан. Некоторые файлы невозможно удалить даже с правами root. Как их заменить?

Злоумышленник попытался установить руткит на мой компьютер. Хочу обратно, до переустановки. Как заменить недействительные файлы, установленные злоумышленником? Я не могу их поесть или убрать. Он говорит «Операция запрещена» на rm, chown, mv и т. Д. Я использую debian sarge.

Изменить: chattr показывает некоторые флаги (s, i и a), но их удаление не помогает. Отредактируйте еще раз: моя ошибка, извините, chattr работал. Не знаю, видел.

В этом случае переустановка является подходящим действием. Как только коробка была взломана, это уже не заслуживающая доверия установка. Даже если вы «думаете», что у вас все в порядке.

Я бы сделал копию диска с помощью dd или одного из множества бесплатных вариантов создания образа диска, чтобы вы могли провести на нем некоторую криминалистику и получить любые данные, которые вам нужны. Затем я бы переустановил и восстановил ваши данные из заведомо исправной резервной копии. Надеюсь, с помощью судебно-медицинской экспертизы вы сможете выяснить, как злоумышленник проник внутрь, и принять меры, чтобы этого больше не повторилось.

Сначала попробуйте «поговорить» с этими файлами и / или каталогами, в которых они расположены.

Кроме того, в случае руткита лучше чистая установка (друг получил «руткит», и неприятный код лежал в двоичном файле «ls» и выполнялся на каждом «ls»).

Позже: во второй раз вам следует попробовать загрузить LiveCD / LiveUSB, смонтировать этот раздел и отредактировать / просканировать его.

Есть некоторые «скрытые разрешения», которые обычно не отображаются для файлов. Один из них называется неизменный и предотвращает изменение файла даже root.

В болтать Команда может использоваться для установки / сброса неизменяемого флага, позволяя удалить файл как обычно.

Если существует руткит, препятствующий редактированию системных файлов, вам, вероятно, придется загрузиться с Live CD (фактического, не записываемого компакт-диска), чтобы затем вы могли смонтировать сломанную (корневую) файловую систему и работать с административным программным обеспечением. из программного обеспечения Live CD, устраняя проблемы.

Или, что более вероятно, вам следует загрузиться с Live CD и восстановить файлы, которые вам нужны, на резервный носитель перед полной переустановкой. Если вы были рутированы, то все подозрительно - полная переустановка имеет смысл.

Вы также должны проверить, какая уязвимость позволила вам получить root-права - потому что, если вы что-то не измените (что-то исправьте), злоумышленник может снова вставить свой руткит.