昨天, 就是昨天. 真是太惊奇了, 公司同事发现一个Linux下的病毒!
第一次见到. 我从出生到现在第一次见到, Windows下的哪些东西就见多了.
是这样的, 在一个目录下面有很多文件, 至少可以判断不是自己新建的文件, 全为root权限! 奇怪的是我用root用户进去既然没办法用rm删除, 可以使用chmod修改文件的属性, 可以读写该文件(我用vi打开测试过, 可以读写的), 但就是没办法rm. 我想了好久还是没办法, 今天太忙没顾上哪个问题. 这星期6, 7好好想想. 下星期一去Test一下.
太吃惊了.....
由于自己曾经升级过一次公司的文件系统, 感觉对Linux底层文件系统部分还是懂些. 今晚写了个小的测试.
===============================
以下操纵全部在root用户下:
我测试的环境:
gcc version 3.4.5 20051201 (Red Hat 3.4.5-2)
2.6.9-34.EL i686 i686 i386 GNU/Linux
我将一个普通文件的i_mode修改为 S_IFDIR后, 这个文件就没办法用rm了, 用cd也没办法看这个文件了.
修改i_mode后可以看到很多奇怪的东西, 这些在普通的root下是没办法用命令修改得到的. 留博记念一下!!!
struct inode {
struct hlist_node i_hash;
struct list_head i_list;
struct list_head i_dentry;
unsigned long i_ino;
atomic_t i_count;
umode_t i_mode;
....
}
i_mode的具体属性在 include/linux/stat.h文件中可以看到.
回家还看电脑好累啊! 累......
*************************************************************************************************
问题描叙(可能记的不是太清楚):
系统应该是RH AS4的, 也许是5 or 3, 但一定是RH的。
在目录"/webhome/"下本应该存放的是公司自己的相关文件,但出现了一个目录"...", 对就是三个点的目录, 你用“mkdir ...”是没办法新键该目录的, 但可以使用“mkdir ./...”就可以新键了。 你要查看该目录, 由于以“.”开头的文件是隐藏文件,所以要用“ls -la”来查看,你就可以看到该目录了。
在该"./..."目录下面的目录又有一个目录“.www.xxx.com”, 其中xxx我是记不清的部分,应该是哪个破网站的URL。进入在目录后下面就一堆文件,这些文件你是没办法删除的,你可以读写它们,但就是没办法删除,我用vi打开过该文件,当把vi关闭后目录下又多出来.filename.swp文件,这个文件我想应该是vi产生的,由于可以新键文件,但没办法删除,所以该文件在vi关闭后就留下了。
可能你会想到lsattr, chattr, stat等,这里有篇相关的介绍:http://blog.chinaunix.net/u/19782/showart_388847.html
对。 我刚开始也想到哪个, 就用lsattr查看那些文件,全为空,什么也没有,不存在什么i, a东西。
问题就这些了。