Ich habe ein rootkitted SUSE Linux und versuche es zu beheben. Ich habe root-Rechte, aber wenn ich gehe:
cd /etc/init.d
vi rc.sysinit
vi sagt mir, dass die Datei [schreibgeschützt] ist. Der Eigentümer der Datei ist root.root und die Berechtigungen sind 0644, das ist also in Ordnung. Auch die Partition, auf der sich die Datei befindet, ist mounter als rw und zumindest jede andere Datei in der /etc/init.dich bearbeiten kann.
Ich habe auch versucht:
fuser rc.sysinit
lsof | grep rc.sysinit
aber kein erfolg. Was könnte das Sperren der Datei sein und wie kann ich sie "entsperren"? Ich habe auch einige andere gesperrte Dateien wie 'ps' und 'netstat', die ich wiederum nicht überschreiben kann:
rpm -i --force
Der Inhalt von rc.sysinitist:
\#Xntps (NTPv3 daemon) startup..
/usr/sbin/xntps -q
Der xntpsBefehl ist das erste, was ich entfernen muss.
Antworten:
Ich habe herausgefunden, dass die Datei selbst für root schreibgeschützt war - das unveränderliche Flag.
Folgendes ausführen hat den Trick gemacht:
quelle