2

У меня довольно странная проблема. Я обнаружил папку с файлом, который я не могу ни увидеть, ни удалить. Я считаю, что это руткит, и я отчаянно пытаюсь получить его с моей машины. Я вошел в систему как root на сервере. Папка называется silver и находится внутри каталога var . Я ничего не делаю в списке папок. ls -la не показывает папку, но я могу получить доступ к каталогу через cd silver . Внутри папки находится файл с именем ~.b - опять я не могу его увидеть или получить к нему доступ, но я знаю, что он существует, потому что мой журнал dmesg полон ошибок сегментации, вызванных этим файлом.

trivial-rewrite[24096]: segfault at 2 ip 00007f65c5457e65 sp 00007fff596e5360 error 4 in ~.b[7f65c5455000+6000]
cleanup[24097]: segfault at 2 ip 00007fd614f29e65 sp 00007ffffe7ad2c0 error 4 in ~.b[7fd614f27000+6000]

Попытка изменить атрибуты файла или папки, кажется, не имеет никакого эффекта

chattr -sia ~.b

Chattr: нет такого файла или каталога при попытке статистики ~ .b

Как мне избавиться от этого файла и каталога?

|источник

2 ответа2

1

Удалось наконец его удалить.

LD_PRELOAD = "/var/silver/~ .a" chattr -sia "/etc/ld.so.preload";LD_PRELOAD="/var/silver/~.a" rm "/etc/ld.so.preload"

А затем сделал chattr-sia для папки и удалил ее.

|источник
1

Для попытки исправления потребуется перезагрузка и локальный доступ к серверу. Поскольку вы не указали информацию о файловой системе или соответствующих дисках /raid /lvm, это общие инструкции.

Скорее всего, проблема в плохом диске с незаписываемым блоком, но возможны и другие ситуации. Во-первых, у вас повреждена файловая система, и эта ссылка неизменна. Во-вторых, у вас есть руткит, и руткит блокирует доступ к файлу, как вы предлагаете.

Самый простой способ решить все эти проблемы - перезагрузить сервер с помощью автономного аварийного диска. Я бы порекомендовал применить систему с именем systemrescueCD, но на исходном установочном диске ОС также должен быть режим восстановления. Вы должны получить образ и записать его на диск в другой системе. Перезагрузка с чистого носителя потенциально удалит любые руткиты или блокировки файловой системы.

После загрузки запустите соответствующую проверку fsck для типа файловой системы, чтобы попытаться устранить любые ошибки. Если вы используете raid или lvm, вам нужно будет воссоздать его вручную перед запуском fsck. Не монтируйте файловую систему на этом этапе до fsck.

Если fsck не завершит работу, это будет указывать на плохой диск.

Предполагая, что fsck завершит работу успешно (даже если он должен был исправить некоторые ошибки), вам нужно будет смонтировать файловую систему вручную и проверить, все ли еще есть подозрительный файл.

Если он исчез, скорее всего, у вас проблема с файловой системой.

Если он все еще там, вы сможете удалить его с помощью 

rm -f ~.b

команда.

Дело в том, что если результаты этих усилий указывают на наличие rootikit (не плохой диск или файловая система), вы захотите отформатировать диск и в любом случае выполнить полное восстановление ОС, так как вы действительно не уверены Вы вычистили все это.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .