[linux] /lost+found

[Jarry guru]

Jaroslav GOCNIK wrote:

> neviem z akeho dovodu, ale objavilo sa v adresary $subj. mnoho
> suborov s divnymi pravami ako napriklad [citat z prikazu ls -l]:
> ...
> cr-SrwSr--    1 11829    14959     50,  47 Oct 15  2021 #130111
> c--SrwS-wT    1 13361    11877     47, 115 May 16  2031 #130117
> br-srwS-wx    1 12144    25193     45,  52 Jan 24  2001 #130121
> br-sr-xr-x    1 25459    25711    115,  48 Jul  8  2027 #130123
> br-sr-xr-x    1 25459    27765    112, 109 Apr 27  2022 #130124
> atd...

Taketo cosi som uz raz videl u kamosa. Lenze on mal tak rozhaseny
cely server, ze som ho radsej odznovu preinstaloval a nezamyslal
sa nad tym. IMHO, ide bud o nejake HW problemy, alebo bol server
hacknuty. Taketo nebezpecne veci (setuid subory, devices, cudne
datumy...) sa nemaju preco objavit v /lost+found. Navyse (a to je
uz ozaj hodne zamyslenia!), este aj "world-wide-executable"!
V prvom rade by som odporucal urobit kompletny audit systemu...

> p.s. ono taketo divne subory sa este nachadzaju aj v adresary
> /usr/share/locale/ na roznych miestach, adresaroch...

Myslim, ze vyraznejsie varovanie ani nie je potrebne. Okamzite odpojit
od siete! Nabootovat z bezpecneho jadra (disketa, CD), spustit
tripwire/checksum/rpm alebo podobny software (samozrejme, tiez
z bezpecneho zdroja), skontrolovat vsetky logy (ak tam este vobec su,
ale mozno su uz prefiltrovane).
Proste standartna zachranna procedura. Osobne si myslim, ze uz je
aj tak velmi neskoro.

Jarry

BTW, odpovedam aj do listu, lebo sa mi to zda dost dolezity $SUBJ.

-- 
Sent through GMX FreeMail - http://www.gmx.net