[linux] /lost+found
Jarry guru
jarry na gmx.net
Pátek Září 22 06:48:47 CEST 2000
Jaroslav GOCNIK wrote:
> neviem z akeho dovodu, ale objavilo sa v adresary $subj. mnoho
> suborov s divnymi pravami ako napriklad [citat z prikazu ls -l]:
> ...
> cr-SrwSr-- 1 11829 14959 50, 47 Oct 15 2021 #130111
> c--SrwS-wT 1 13361 11877 47, 115 May 16 2031 #130117
> br-srwS-wx 1 12144 25193 45, 52 Jan 24 2001 #130121
> br-sr-xr-x 1 25459 25711 115, 48 Jul 8 2027 #130123
> br-sr-xr-x 1 25459 27765 112, 109 Apr 27 2022 #130124
> atd...
Taketo cosi som uz raz videl u kamosa. Lenze on mal tak rozhaseny
cely server, ze som ho radsej odznovu preinstaloval a nezamyslal
sa nad tym. IMHO, ide bud o nejake HW problemy, alebo bol server
hacknuty. Taketo nebezpecne veci (setuid subory, devices, cudne
datumy...) sa nemaju preco objavit v /lost+found. Navyse (a to je
uz ozaj hodne zamyslenia!), este aj "world-wide-executable"!
V prvom rade by som odporucal urobit kompletny audit systemu...
> p.s. ono taketo divne subory sa este nachadzaju aj v adresary
> /usr/share/locale/ na roznych miestach, adresaroch...
Myslim, ze vyraznejsie varovanie ani nie je potrebne. Okamzite odpojit
od siete! Nabootovat z bezpecneho jadra (disketa, CD), spustit
tripwire/checksum/rpm alebo podobny software (samozrejme, tiez
z bezpecneho zdroja), skontrolovat vsetky logy (ak tam este vobec su,
ale mozno su uz prefiltrovane).
Proste standartna zachranna procedura. Osobne si myslim, ze uz je
aj tak velmi neskoro.
Jarry
BTW, odpovedam aj do listu, lebo sa mi to zda dost dolezity $SUBJ.
--
Sent through GMX FreeMail - http://www.gmx.net
Další informace o konferenci linux