Как использовать `list` для поиска атрибутов, измененных на`s---ia-------`?

Question

Как использовать `list` для поиска атрибутов, измененных на`s---ia-------`?

Мой Linux-сервер CentOS был недавно взломан (руткит). Некоторые атрибуты файлов были изменены, например команда:

lsattr /bin/ls

дает

s---ia------- /bin/ls

Как Cand я использую find Команда для вывода списка всех файлов в системе, атрибуты которых установлены в s---ia------- вместо -------------?

1

linux find attributes

Источник

Danijel 05 окт '12 в 09:43

2 ответа

Решение

Поскольку вы упомянули о find, я предлагаю вам попробовать следующую команду

find / -type f -exec lsattr {} + | grep -v '\-\-\-\-\-\-\-\-\-\-\-\-\-'

В идеале я бы предпочел использовать AIDE или tripwire

1

Источник

Nehal Dattani 05 окт '12 в 10:01

Другие вопросы по тегам linux find attributes

Iain 05 окт '12 в 10:05 2012-10-05 10:05 · Accepted Answer · 2012-10-05 10:05

Find не имеет возможности получить эту информацию напрямую, но вам не нужно ее использовать, поскольку lsattr имеет -R переключиться так

lsattr -R /path/you/care/about 2>/dev/null | grep -- 's---ia-------'

должен делать то, что вы хотите.

Обратите внимание -- grep не требуется для вашего конкретного набора атрибутов, но если, например, вы хотите найти '---- ia -------', тогда вам определенно это понадобится.