The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Удалить/изменить immutable файл и/или папку"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Файловые системы, диски)
Изначальное сообщение [ Отслеживать ]

"Удалить/изменить immutable файл и/или папку"  +/
Сообщение от lyric (ok), 25-Сен-24, 17:36 
Доброго времени суток!

Контекст - взломали одну из моих личных виртуалок (особо не удивлен, ибо там древняя CentOS 6 - я про нее забыл, откровенно говоря, давно)

Прописали в /root/.ssh/authorized_keys свои ключи и добавили бинарники (/usr/bin/mysqldumpt + еще по мелочи) для ddos-атак.

И вот тут момент в том, что удалить или изменить эти файлы из-под root'а я не могу.

# rm -rf mysqldumpt
rm: cannot remove `mysqldumpt': Operation not permitted

lsattr показывает, что стоят аттрибуты immutable и append
# lsattr mysqldumpt
----ia-------e- mysqldumpt


Но вот снять их не выходит - команда chattr -i /root/.ssh/authorized_keys выполняется без ошибок, но при повторной проверке атрибут на месте

Хотелось бы разобраться, а как так вообще? Есть идеи, куда копнуть?

selinux отключен, fs - ext4

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Удалить/изменить immutable файл и/или папку"  +/
Сообщение от Pahanivo пробегал (?), 25-Сен-24, 18:28 
Зачем пытаться чинить хакнутую ось??? Там неизвестно что еще и куда насовали.


Ответить | Правка | Наверх | Cообщить модератору

2. "Удалить/изменить immutable файл и/или папку"  +/
Сообщение от lyric (ok), 25-Сен-24, 18:38 
> Зачем пытаться чинить хакнутую ось??? Там неизвестно что еще и куда насовали.

Вопрос в "разобраться, как так вообще умудрились файл защитить"
Само собой, потом пойдет под переустановку.

Ответить | Правка | Наверх | Cообщить модератору

4. "Удалить/изменить immutable файл и/или папку"  +/
Сообщение от Pahanivo пробегал (?), 25-Сен-24, 20:21 
>> Зачем пытаться чинить хакнутую ось??? Там неизвестно что еще и куда насовали.
> Вопрос в "разобраться, как так вообще умудрились файл защитить"

дарю
ломаешь сервак, ставишь атрибуты, подменяешь chattr - профит
или ты chattr по md5 проверил? ))
> Само собой, потом пойдет под переустановку.

Ответить | Правка | Наверх | Cообщить модератору

5. "Удалить/изменить immutable файл и/или папку"  +/
Сообщение от Pahanivo пробегал (?), 25-Сен-24, 20:23 
А вообще умные люди ищут как хакнули, а не что можно напакостить под рутом .... ибо это тупость.
Ответить | Правка | Наверх | Cообщить модератору

6. "Удалить/изменить immutable файл и/или папку"  +/
Сообщение от lyric (ok), 26-Сен-24, 00:01 
>>> Зачем пытаться чинить хакнутую ось??? Там неизвестно что еще и куда насовали.
>> Вопрос в "разобраться, как так вообще умудрились файл защитить"
> дарю
> ломаешь сервак, ставишь атрибуты, подменяешь chattr - профит
> или ты chattr по md5 проверил? ))
>> Само собой, потом пойдет под переустановку.

Оно :)
Спасибо за совет!

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

3. "Удалить/изменить immutable файл и/или папку"  +/
Сообщение от lyric (ok), 25-Сен-24, 19:39 
В посте описано, что пробую изменить атрибуты, а затем их посмотреть у разных файлов (/usr/bin/mysqldumpt и /root/.ssh/authorized_keys) - но это ошибка именно в посте. В реальности, само собой, пробовал на обоих файлах последовательно.

>[оверквотинг удален]
> из-под root'а я не могу.
> # rm -rf mysqldumpt
> rm: cannot remove `mysqldumpt': Operation not permitted
> lsattr показывает, что стоят аттрибуты immutable и append
> # lsattr mysqldumpt
> ----ia-------e- mysqldumpt
> Но вот снять их не выходит - команда chattr -i /root/.ssh/authorized_keys выполняется
> без ошибок, но при повторной проверке атрибут на месте
> Хотелось бы разобраться, а как так вообще? Есть идеи, куда копнуть?
> selinux отключен, fs - ext4

Ответить | Правка | Наверх | Cообщить модератору

7. "Удалить/изменить immutable файл и/или папку"  +/
Сообщение от Аноним (7), 02-Окт-24, 17:36 
>[оверквотинг удален]
> из-под root'а я не могу.
> # rm -rf mysqldumpt
> rm: cannot remove `mysqldumpt': Operation not permitted
> lsattr показывает, что стоят аттрибуты immutable и append
> # lsattr mysqldumpt
> ----ia-------e- mysqldumpt
> Но вот снять их не выходит - команда chattr -i /root/.ssh/authorized_keys выполняется
> без ошибок, но при повторной проверке атрибут на месте
> Хотелось бы разобраться, а как так вообще? Есть идеи, куда копнуть?
> selinux отключен, fs - ext4

Пальни демоны и вирусню по lsof, а ещё глянь на initrd.

Ответить | Правка | Наверх | Cообщить модератору

8. "Удалить/изменить immutable файл и/или папку"  +/
Сообщение от liciyam823email (ok), 03-Июн-25, 16:43 
Hi there,

Sorry to hear about the breach — it's all too easy to lose track of legacy VMs, and unfortunately, attackers love finding these low-hanging fruits.

Now, onto your main issue:
You're seeing files that can't be deleted even as root, and lsattr shows i (immutable) and a (append-only) flags, but chattr -i doesn’t seem to remove them — even though SELinux is off and you're on ext4.

This behavior strongly suggests that either:

The filesystem is being manipulated at a lower level — possibly with a rootkit or kernel module that intercepts and spoofs system calls. What you see with lsattr or chattr may not reflect reality because the kernel is compromised.

Immutable attributes are being re-set immediately by a background process or watchdog script set up by the attacker (common in sophisticated malware kits). You could try monitoring inotify events or using lsof to see if a specific process keeps reopening or resetting file attributes.

Root isn't root anymore — if capabilities have been limited or if namespaces/cgroups are used to restrict actions inside what appears to be a full root session, your control could be just an illusion.

How to proceed:
Boot the VM from a live ISO image or mount the disk elsewhere (e.g., another clean VM). From there, you can operate on the disk offline, bypassing whatever malware may be running.

Once mounted, re-check the file attributes and try removing the malware.

If you're not planning to keep the VM, wipe and rebuild is strongly recommended — CentOS 6 has been EOL for a long time and likely has many unpatched vulnerabilities.

Now, regarding your mention of HBA & Storage Controllers:
This reminds me of how malware can manipulate low-level I/O behaviors, much like HBAs (Host Bus Adapters) or RAID controllers https://serverorbit.com/hba-and-controllers/accessories/cach... do. In enterprise environments, HBAs with caching or advanced RAID controllers can "abstract" actual disk behavior from the OS — similar in concept to how a rootkit may abstract the truth of file attributes or presence.

Just like a RAID controller cache can buffer write/delete operations and present a consistent (but not necessarily real-time) view to the OS, a rootkit or compromised kernel module can present fake responses to commands like chattr, making you believe attributes are changing when they're not.

Similarly, if you’re ever dealing with corrupted or infected systems on bare-metal servers, it’s good practice to check whether the RAID controller cache might be holding onto data (especially with write-back caching enabled). Sometimes, malware can even hide in firmware or unused partitions, especially if BMC/IPMI has been exposed.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру