Tek od skora sam primoran da se bavim administracijom Linux-a (sto mi pricinjava veliko zadovoljstvo iako sam zelen na tom polju) ali:
Ovoga puta imam stvarno ozbiljan problem. Naime, pre par nedelja sam provalio da je neko upao ne jedan od servera (promenjena verzija ssh i slicno), reinstalirao sam ssh i jos neke stvari ali mi je Tripwire javljao da se neki fajlovi ipak povremeno menjaju pa sam bio pomalo sumnjicav.
Masina je RH6.2 i tera gomilu aplikativnih servera od kojih svaki slusa na nekoliko portova tako da "netstat -a -p" daje nocunu moru ali mi je pre par dana slucajno zapalo za oko da neki proces slusa na portu 31333 i da se zove "psybnc" ili nesto slicno. Na internetu sam naso da je to neki shit za IRC-ovanje - sto je bilo sasvim sumnjivo - pa sam pokusao da saznam nesto vise o tom procesu ali njega nije bilo u spisku procesa ("top" ili "ps axu ..." i ostalo), ipak sam ga posle dosta trazenja nasao u /proc/<NEKI_PID>, gde se videlo da se executable nalazi u /usr/man/man3/.spawn/... i tako dalje. Dakle, tu smo, odmah je bilo jasno... mada u /usr/man/man3 nikako nisam mogao da vidim taj ".spawn" direktorijum, "cd .spawn" je bez problema usao u njega - naravno, tu sam zatekao gomilu megabajta crack-erskog softvera, sve passworde na masini (i za jos gomilu tudjih servera) i tako to ... Takodje sam kasnije u /usr/sbin nasao fajl pod imenom ".spawn" (pokretao se iz rc.system) koji nikako nisam mogao da vidim ali je "rm .spanw" pitao da li da ga obrise - i obrisao ga.
E sad pitanje: Kako je moguce da proces bude nevidljiv ( top ili ps), kako je moguce da direktorijum ili fajl bude nevidljiv (ls -al i slicno ga ne lista) i kako da proverim da na masini nema jos neki tako skriven direktorijum ili fajl - neki alat ili nesto...
Unapred hvala
p.s. Bio sam malo brzoplet, pa sam prvo postovao ovu poruku a tek onda procitao "Linux security" post (tzeljko ili tako neko) na osnovu koga sam zakljucio da je na doticnom sistemu verovatno stavljen neki Rootkit koji je zamenio "ps", "ls" i verovatno jos neke komande (tako da ne prikazuju nista sto se zove .spawn ili tako nekako) no svejedno, i dalje mi treba dobar savet.