file incancellabile ed invisibile

**fleone** · 05-06-2007, 17:47

Ciao a tutti,

ho avuto un problemino sul server, ho installato rkhunter e mi ha trovato questo rootkit:

RH-Sharpe's

precisamente in questi file:

/usr/bin/wp
/usr/bin/shad
/usr/bin/slice

il primo e l'ultimo sono riuscito ad eliminarli... ma il secondo ../usr/bin/shad ... proprio non riesco. ho provato con rm /usr/bin/shad -f da root ma niente, mi dice

rm: cannot remove `/usr/bin/shad': Operation not permitted

tra l'altro, nei processi è visibile se faccio ps ax|grep shad ma se provo a killarlo mi dice che non posso.

Come faccio? Qualcuno ha un'idea?

Grazie ancora.

**sacarde** · 05-06-2007, 19:21

e' in uso il file ?

lsof nomefile

**fleone** · 06-06-2007, 09:47

Ciao, non mi da alcuni risultato. Il file esiste, se faccio ls -a non lo vede, se faccio un chmod funziona, se faccio un chown o chgrp funziona, se faccio lsof non mi da nessun errore, se faccio ls shad .. idem... non capisco proprio!

Grazie!

**untamed** · 06-06-2007, 09:51

prova con "fuser -vk /usr/bin/shad"

**raistlin76** · 06-06-2007, 09:53

Hai provato a killarlo con il segnale KILL?
# kill -s SIGKILL $pid_shad

**fleone** · 06-06-2007, 10:29

Originariamente inviato da untamed
prova con "fuser -vk /usr/bin/shad"

nulla di fatto.. come schiacciare [Enter]

anche il metodo proposto da raistlin76, mi restituisce
kill [-s sigspec | -n signum | -sigspec] [pid | job]... or kill -l [sigspec]

**marco@linuxbox** · 06-06-2007, 11:02

se puoi riavviare la macchina prova a rimuoverlo da una live

**fleone** · 06-06-2007, 11:06

ci stavo pensando... volevo usarlo come ultima spiaggia, il nostro server è presso Aruba e per fare questo lavoro devo inviare un fax con i documenti del nostro amministratore che ha problemi di salute ed è abbastanza latitante... Loro, infatti, non mettono su una live se prima non hanno il permesso del proprietario dell'azienda (e mi sembra più che giusto

)

Grazie comunque per il prezioso aiuto.

a buon rendere.

Fabio.

**cacao74** · 06-06-2007, 12:33

Originariamente inviato da fleone
anche il metodo proposto da raistlin76, mi restituisce
kill [-s sigspec | -n signum | -sigspec] [pid | job]... or kill -l [sigspec]

credo tu abbia sbagliato la sintassi del comando.
riscrivi pari pari qui cosa hai digitato.

ciao

**fleone** · 06-06-2007, 15:27

Originariamente inviato da cacao74
credo tu abbia sbagliato la sintassi del comando.
riscrivi pari pari qui cosa hai digitato.

ciao

ciao, ho scritto esattamente quello che mi hai scritto tu, ossia

kill -s SIGKILL $pid_shad

comunque, ora hanno installato una distro live (knoppix), ho provato a cancellarlo... , logicamente ora si trova in /mnt/hda2/usr/bin/shad .....

NIENTE! mi ripete che è un file di sistema! Non mi lascia neanche cambiare i permessi.

gli Arubiani mi hanno proposto di riformattare la macchina... PER UN FILE?!!!! Se mi sporco le mani mi faccio la doccia?

VVoVe:

Spero qualcuno abbia qualche idea in proposito, il rootkit è RH-Sharpe's, magari può aiutarvi...

grazie ancora!

Discussione: file incancellabile ed invisibile

Strumenti discussione

Ricerca discussione

Visualizza

file incancellabile ed invisibile

Permessi di invio