Como usar 'list' para localizar atributos alterados para 's --- ia -------'?

Question

Como usar 'list' para localizar atributos alterados para 's --- ia -------'?

#1 resposta do (2 votos)
#2 resposta do (1 votos)

1

Meu servidor linux do CentOS foi comprometido ultimamente (rootkit). Alguns atributos de arquivos foram alterados, por exemplo, o comando:

lsattr /bin/ls

dá

s---ia------- /bin/ls

Como cand Eu uso o comando find para listar todos os arquivos no sistema que possuem atributos definidos como s---ia------- em vez de ------------- ?

find linux attributes

por Danijel 05.10.2012 / 11:43

2 respostas

1

Como você mencionou o find, estou sugerindo que você tente seguir o comando

find / -type f -exec lsattr {} + | grep -v '\-\-\-\-\-\-\-\-\-\-\-\-\-'

O ideal seria usar AIDE ou tripwire

por 05.10.2012 / 12:01

Tags find linux attributes

Configurando o fail2ban para banir tentativas de login com falha no phpMyAdmin Switch PoE para energizar os pontos de acesso do Cisco Aironet 1200

score 2 · Accepted Answer

O Find não tem nenhuma maneira de obter essas informações diretamente, mas você não precisa usá-las, pois o lsattr tem um -R , então

lsattr -R /path/you/care/about 2>/dev/null | grep -- 's---ia-------'

deve fazer o que quiser.

Observe que -- para grep não é necessário para o seu conjunto específico de atributos, mas se, por exemplo, você quisesse pesquisar por '---- ia -------', você definitivamente precisaria dele.