เคยเจอ case ว่าเครื่องเพื่อน โดน hack จาก script
แล้วทำการเปลี่ยนค่า permission ของไฟล์ ls ครับ
เช๊คจากคำสั่ง
#cd /bin
#lsattr
------------------ ./tar
------------------ ./netcat
------------------ ./bzcat
------------------ ./dd
------------------ ./true
------------------ ./zforce
------------------ ./mt
s---ia------------ ./ls
พบว่าค่า attribute ของ command ls ถูกเปลี่ยน
แก้ไขโดย
#chattr -i ls
#chattr -a ls
#chown root:root ls
ผมทำการ copy ไฟล์ ls จากเครื่องอื่นที่เป็น distro เดียวกันมาลงครับ
#cp ls_backup ls
#chattr -s ls
ปกติไฟล์พวกนี้ ไม่สามารถเปลี่ยน owner ได้ตรงๆ เพราะมันติดสิทธิ์ของไฟล์อยู่ ต้องแก้ไขด้วยวิธีข้างบน
แค่นี้ก็ใช้งานได้แล้ว
แล้วก็ตามหาตัวผู้ร้ายต่อไป อิอิ
