Hallo,
ich hoffe, diesmal kommt meine Nachricht in der Liste an, ich vermisse einige Einträge. Na ja ....
Also, ich habe einige seltsame Dateien gefunden, die sich partout nicht löschen lassen:
pummel@linux:~/data2/rescue/274103_274104/private> ll total 0 -rwxr-xr-x 1 pummel users 0 Jul 15 2003 :256aF00F~E! -rwxr-xr-x 1 pummel users 0 Jul 15 2003 :256bX9B0~8S -rwxr-xr-x 1 pummel users 0 Jul 15 2003 X98:25599~B_ -rwxr-xr-x 1 pummel users 0 Jul 15 2003 }:2558:0398X9~QF
Nicht mal der mc kanns, obwohl der sonst alles löscht ;-) Hat jemand einen Tipp, wie ich den Müll loswerde?
Mit freundlichen Grüßen
Jens Puruckherr
On 20.02.04 Jens Puruckherr (jpuruckherr@cyberport.de) wrote:
Moin,
ich hoffe, diesmal kommt meine Nachricht in der Liste an, ich vermisse einige Einträge. Na ja ....
Also, ich habe einige seltsame Dateien gefunden, die sich partout nicht löschen lassen:
pummel@linux:~/data2/rescue/274103_274104/private> ll total 0 -rwxr-xr-x 1 pummel users 0 Jul 15 2003 :256aF00F~E! -rwxr-xr-x 1 pummel users 0 Jul 15 2003 :256bX9B0~8S -rwxr-xr-x 1 pummel users 0 Jul 15 2003 X98:25599~B_ -rwxr-xr-x 1 pummel users 0 Jul 15 2003 }:2558:0398X9~QF
Nicht mal der mc kanns, obwohl der sonst alles löscht ;-) Hat jemand einen Tipp, wie ich den Müll loswerde?
man lsattr ?
H.
On Fri, Feb 20, 2004 at 05:07:09PM +0100, Jens Puruckherr wrote:
lug-dd@schlittermann.de writes:
Hi Jens,
man lsattr ?
pummel@linux:~/data2/rescue/274103_274104/private> lsattr '}:2558:0398X9~QF'
Hast du den Namen per Hand eingegeben oder mittels bash autocompletion? Ich tippe mal darauf, das entweder der Dateiname ein Zeichen enthält was auf der Shell nicht sichtbar ist, deswegen ist die Datei nie identisch mit dem von dir eingegebenen String, oder du hast ein RootKit im Kernel der die system_call_table überschrieben hat und das Löschen/Bearbeiten nicht erlaubt. Da mir aber schon mal jemand so einen Fehler auf einem neu eingerichteten Rechner beschrieben hat tippe ich mal auf Ersteres.
Du kannst ja mal ein kleines Perl-Skript/C-Programm schreiben was mittels readdir() durch das Verzeichnis wandert und dir alle Dateinamen im HexCode ausgibt, mal sehen ob die Anzahl der Zeichen mit den der sichtbaren übereinstimmt.
Ciao, Tobias
lug-dd@schlittermann.de writes:
Hast du den Namen per Hand eingegeben oder mittels bash autocompletion?
hehe, wer schreibt denn sowas mit der Hand??
Ich tippe mal darauf, das entweder der Dateiname ein Zeichen enthält was auf der Shell nicht sichtbar ist, deswegen ist die Datei nie identisch mit dem von dir eingegebenen String, oder du hast ein RootKit im Kernel der die system_call_table überschrieben hat und das Löschen/Bearbeiten nicht erlaubt. Da mir aber schon mal jemand so einen Fehler auf einem neu eingerichteten Rechner beschrieben hat tippe ich mal auf Ersteres.
Nix Rootkit, war ein Crash im Filesyetem.
Du kannst ja mal ein kleines Perl-Skript/C-Programm schreiben was mittels readdir() durch das Verzeichnis wandert und dir alle Dateinamen im HexCode ausgibt, mal sehen ob die Anzahl der Zeichen mit den der sichtbaren übereinstimmt.
Grummel...och nöö, dan lass ichs lieber ;-)
Mit freundlichen Grüßen
Jens Puruckherr
Am Freitag, 20. Februar 2004 16:17 schrieb Jens Puruckherr:
-rwxr-xr-x 1 pummel users 0 Jul 15 2003 :256aF00F~E! -rwxr-xr-x 1 pummel users 0 Jul 15 2003 :256bX9B0~8S -rwxr-xr-x 1 pummel users 0 Jul 15 2003 X98:25599~B_ -rwxr-xr-x 1 pummel users 0 Jul 15 2003 }:2558:0398X9~QF
Nicht mal der mc kanns, obwohl der sonst alles löscht ;-) Hat jemand einen Tipp, wie ich den Müll loswerde?
Mit ls -il die Inode der Datei auslesen und dann über Script Inode löschen.
micha
Am Freitag, 20. Februar 2004 16:17 schrieb Jens Puruckherr:
pummel@linux:~/data2/rescue/274103_274104/private> ll total 0 -rwxr-xr-x 1 pummel users 0 Jul 15 2003 :256aF00F~E! -rwxr-xr-x 1 pummel users 0 Jul 15 2003 :256bX9B0~8S -rwxr-xr-x 1 pummel users 0 Jul 15 2003 X98:25599~B_ -rwxr-xr-x 1 pummel users 0 Jul 15 2003 }:2558:0398X9~QF
Nicht mal der mc kanns, obwohl der sonst alles löscht ;-) Hat jemand einen Tipp, wie ich den Müll loswerde?
Da fällt mir gerade noch ein, wenn's nicht zu viele sind müßte ja rm -i * auch gehen, oder man schiebt es ins /tmp und wartet bis der cron seine Arbeit macht.
micha
Am Fri den 20 Feb 2004 um 04:17:42PM +0100 schrieb Jens Puruckherr:
Hallo,
ich hoffe, diesmal kommt meine Nachricht in der Liste an, ich vermisse einige Einträge. Na ja ....
Also, ich habe einige seltsame Dateien gefunden, die sich partout nicht löschen lassen:
pummel@linux:~/data2/rescue/274103_274104/private> ll total 0 -rwxr-xr-x 1 pummel users 0 Jul 15 2003 :256aF00F~E! -rwxr-xr-x 1 pummel users 0 Jul 15 2003 :256bX9B0~8S -rwxr-xr-x 1 pummel users 0 Jul 15 2003 X98:25599~B_ -rwxr-xr-x 1 pummel users 0 Jul 15 2003 }:2558:0398X9~QF
cd ~/data2/rescue/274103_274104/private find . -exec rm {} ;
Sollte helfen, oder?
andre
lug-dd@schlittermann.de writes:
cd ~/data2/rescue/274103_274104/private find . -exec rm {} ;
Sollte helfen, oder?
Nö:
pummel@linux:~/data2/rescue/274103_274104/private> ll insgesamt 0 -rwxr-xr-x 1 pummel users 0 2003-07-15 08:59 }:2558:0398X9~QF -rwxr-xr-x 1 pummel users 0 2003-07-15 09:00 :256aF00F~E! -rwxr-xr-x 1 pummel users 0 2003-07-15 08:59 :256bX9B0~8S -rwxr-xr-x 1 pummel users 0 2003-07-15 09:00 X98:25599~B_ pummel@linux:~/data2/rescue/274103_274104/private> find . -exec rm {} ; rm: Weder ».« noch »..« kann gelöscht werden rm: Entfernen von »./:256bX9B0~8S« nicht möglich: Datei oder Verzeichnis nicht gefunden rm: Entfernen von »./X98:25599~B_« nicht möglich: Datei oder Verzeichnis nicht gefunden rm: Entfernen von »./}:2558:0398X9~QF« nicht möglich: Datei oder Verzeichnis nicht gefunden rm: Entfernen von »./:256aF00F~E!« nicht möglich: Datei oder Verzeichnis nicht gefunden
Mit freundlichen Grüßen
Jens Puruckherr
On Mon, Feb 23, 2004 at 07:58:53AM +0100, Jens Puruckherr wrote:
pummel@linux:~/data2/rescue/274103_274104/private> find . -exec rm {} ; rm: Weder ».« noch »..« kann gelöscht werden rm: Entfernen von »./:256bX9B0~8S« nicht möglich: Datei oder Verzeichnis nicht gefunden rm: Entfernen von »./X98:25599~B_« nicht möglich: Datei oder Verzeichnis nicht gefunden rm: Entfernen von »./}:2558:0398X9~QF« nicht möglich: Datei oder Verzeichnis nicht gefunden rm: Entfernen von »./:256aF00F~E!« nicht möglich: Datei oder Verzeichnis nicht gefunden
welches Filesystem?
On Fri, Feb 20, 2004 at 04:17:42PM +0100, Jens Puruckherr wrote:
Also, ich habe einige seltsame Dateien gefunden, die sich partout nicht löschen lassen:
pummel@linux:~/data2/rescue/274103_274104/private> ll total 0 -rwxr-xr-x 1 pummel users 0 Jul 15 2003 :256aF00F~E! -rwxr-xr-x 1 pummel users 0 Jul 15 2003 :256bX9B0~8S -rwxr-xr-x 1 pummel users 0 Jul 15 2003 X98:25599~B_ -rwxr-xr-x 1 pummel users 0 Jul 15 2003 }:2558:0398X9~QF
Nicht mal der mc kanns, obwohl der sonst alles löscht ;-) Hat jemand einen Tipp, wie ich den Müll loswerde?
wenn du weisst, wo die dateien herkommen (z.b. von der letzten rettung einer sterbenden Platte), dann mit den bisher beschriebenen Methoden oder (in diesem Verzeichnis) mit find . -type f -print0 | xargs -0 rm Ansonsten würde ich den Rechner sofort vom Netz nehmen und den Rootkit suchen. Danach mkfs.
lug-dd@schlittermann.de writes:
wenn du weisst, wo die dateien herkommen (z.b. von der letzten rettung einer sterbenden Platte), dann mit den bisher beschriebenen Methoden oder (in diesem Verzeichnis) mit find . -type f -print0 | xargs -0 rm
pummel@linux:~/data2/rescue/274103_274104/private> find . -type f -print0 | xargs -0 rm rm: Entfernen von »./:256bX9B0~8S« nicht möglich: Datei oder Verzeichnis nicht gefunden rm: Entfernen von »./X98:25599~B_« nicht möglich: Datei oder Verzeichnis nicht gefunden rm: Entfernen von »./}:2558:0398X9~QF« nicht möglich: Datei oder Verzeichnis nicht gefunden rm: Entfernen von »./:256aF00F~E!« nicht möglich: Datei oder Verzeichnis nicht gefunden
Ansonsten würde ich den Rechner sofort vom Netz nehmen und den Rootkit suchen. Danach mkfs.
Ist kein Rootkit, ganz sicher.
Mit freundlichen Grüßen
Jens Puruckherr
Hallo Jens,
hier kann ich die Dateien erzeugen und auch wieder entfernen:
stefan2@platon:~/test/seltsam> touch ':256aF00F~E!' stefan2@platon:~/test/seltsam> touch 'X98:25599~B_' stefan2@platon:~/test/seltsam> touch ':256bX9B0~8S' stefan2@platon:~/test/seltsam> touch '
}:2558:0398X9~QF'
stefan2@platon:~/test/seltsam> rm -f ':256aF00F~E!' 'X98:25599~B_' ':256bX9B0~8S' stefan2@platon:~/test/seltsam> rm -f '
}:2558:0398X9~QF'
stefan2@platon:~/test/seltsam> ll insgesamt 0 stefan2@platon:~/test/seltsam>
Stefan
.
Jens Puruckherr wrote:
Ahhh....gargel.....karrrrrrggg
Habe ich schon erwähnt, dass die Dateien auf meinem gemountetem homedir aufm Filesever liegen.....duck.
Wenn *nur* solche Dateien in dem Verzeichnis liegen (wie Du IIRC geschrieben hattest), geht meine Loesung von heute frueh mit der Einzelloeschung oder:
find . -type f -exec rm -f '{}' ;
Man beachte in beiden Faellen die beiden ' um die Dateinamen.
Stefan
.
lug-dd@schlittermann.de writes:
Wenn *nur* solche Dateien in dem Verzeichnis liegen (wie Du IIRC geschrieben hattest),
Jo, nur die 4 Leichen.
geht meine Loesung von heute frueh mit der Einzelloeschung oder:
find . -type f -exec rm -f '{}' ;
Man beachte in beiden Faellen die beiden ' um die Dateinamen.
Meckert nicht, macht aber auch nichts ...
Mit freundlichen Grüßen
Jens Puruckherr
lug-dd@mailman.schlittermann.de
-
Andre Schulze -
Hilmar Preusse -
Jens Puruckherr -
Michael Zimmermann -
Stefan Lagotzki -
Stefan Seyfried -
Tobias Koenig