Érinthetetlen fájlok CentOS 4

Red Hat, Fedora, CentOS

Van egy CentOS 4 rendszer, amit yum upgrade-el frissítettem. Frissítés közben észrevettem, hogy a /bin/netstat fájlra azt írj, hogy nem tudja felülírni, ezért átnevezi, de az sem sikerült neki.
Megnéztem, hogy mi is van ezzel a netstat fájllal.
a /bin/ könyvtárban van összesen 3 db fájl, aminek furcsa a tulajdonosa és a csoportja: 


-rwxr-xr-x   1 122      114         39696 Jul  2  2009 ls
-rw-r--r--   1 root     root        81240 Mar  8 05:12 ls;4d75aaa9
-rw-r--r--   1 root     root        81240 Mar  9 05:37 ls;4d7701fd
-rw-r--r--   1 root     root        81240 Mar 10 05:03 ls;4d784b8f
-rw-r--r--   1 root     root        81240 Mar 10 07:17 ls;4d786b34
-rw-r--r--   1 root     root        81240 Mar 10 10:46 ls;4d789bee
-rw-r--r--   1 root     root        81240 Mar 17 07:34 ls;4d81ab54
-rw-r--r--   1 root     root        81240 Mar 17 07:34 ls;4d81ab85
-rw-r--r--   1 root     root        81240 Mar 17 07:55 ls;4d81b05d
...
-rwxr-xr-x   1 122      114         54152 Jul 25  2008 netstat
-rw-r--r--   1 root     root       109704 Mar 17 05:38 netstat;4d819040
-rw-r--r--   1 root     root       109704 Mar 17 06:51 netstat;4d81a160
-rw-r--r--   1 root     root       109704 Mar 17 07:08 netstat;4d81a570
-rw-r--r--   1 root     root       109704 Mar 17 07:36 netstat;4d81abe4
-rw-r--r--   1 root     root       109704 Mar 17 09:06 netstat;4d81c0e1
-rw-r--r--   1 root     root       109704 Mar 18 05:31 netstat;4d82e002
...
-rwxr-xr-x   1 122      114         62920 Jun  1  2009 ps
-rw-r--r--   1 root     root        61408 Mar 17 07:34 ps;4d81ab85
-rw-r--r--   1 root     root        61408 Mar 17 07:55 ps;4d81b05d

A chmod, chown, chgrp hatástalanok ezeken a fájlokon. Pontosabban azt írja, hogy a művelet nem megengedett.
Az mv is azt mondja, hogy nem lehet elmozgatni a fájlt.
Elindítottam egy Ubuntu telepítőt Live módban.
Konzolon (Alt-CTRL-F1) sudo-val kiadva a fenti parancsokat sem sikerült a hozzáférést megváltoztatni.
Beállította, hogy a következő rendszerindítás után végezzen lemez ellenőrzést, az után sem változott a helyzet.
Fel vettem dumy usert 122-es user ID-vel és 114-es csoport ID-vel.
(A /etc/passwd, /etc/shadow, /etc/group, /etc/gshadow fájlokban egy usert megdupláztam, módosítottam a nevét és az ID-ket is a fentieknek megfelelően írtam át.)
Ez csak annyit csinált, hogy az ls -la azt a dumy usert írja ki a számok helyet.

A kérdés adott: Hogyan tovább? Hogy lehetne módosítási jogosultságot szerezni a fájlok felett? Futtatni lehet őket.

  • 980 megtekintés

( _ventura_ v | 2011. 03. 18., p – 08:09 )

egy lsattr -al nézd meg az attributumokat is.

Ubuntu 10.04, Thinkpad x61s

s---ia------- /bin//ps
s---ia------- /bin//ls
s---ia------- /bin//netstat

minden más üres -------------
No ezeket az attribútumokat hogy lehet törölni?
Gondolom az attr paranccsal -r kapcsolóval. Csak tudnom kellene a törlendő attribútum nevét.
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba és kész!

root@foobar:/tmp$ touch foo
root@foobar:/tmp# chattr +i foo
root@foobar:/tmp# lsattr foo
----i------------ foo
root@foobar:/tmp# rm foo
rm: remove write-protected regular empty file `foo'? y
rm: cannot remove `foo': Operation not permitted
root@foobar:/tmp# chattr -i foo
root@foobar:/tmp# rm foo
root@foobar:/tmp# ls foo
ls: foo: No such file or directory

--
trey @ gépház

( Zahy v | 2011. 03. 18., p – 08:12 )

Én is az lsattr-ot javasolnám, de kérdéseim is vannak:
- milyen FS?
- mi ez a sok X;abcde nevű fájl, mivel csináltál ilyen listázást?

( gbor | 2011. 03. 18., p – 09:12 )

a kérdés az, hogy a p*csába lettek azok a fájlok gazdagabbak egy immutable bit-el
a logokban van valami ezzel kapcsolatban? ha a gép server funkciókat lát el, erősen gyanakodnék, legalább http://www.chkrootkit.org/ v. http://rkhunter.sourceforge.net/ v. port mirror-al lesni a forgalmát egy ideig, v. előrehozni dist-upgrade-et, és tiszta telepítés:\