From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <a_mdl@mail.ru>
From: Denis  Medvedev <a_mdl@mail.ru>
To: ALT Linux Sisyphus discussions <sisyphus@lists.altlinux.org>
Mime-Version: 1.0
X-Mailer: mPOP Web-Mail 2.19
X-Originating-IP: [85.140.221.228]
Date: Thu, 25 Oct 2007 12:50:21 +0400
References: <200710251246.32220.peet@altlinux.ru>
In-Reply-To: <200710251246.32220.peet@altlinux.ru>
Content-Type: text/plain; charset=koi8-r
Content-Transfer-Encoding: 8bit
Message-Id: <E1IkyQ1-000HHp-00.a_mdl-mail-ru@f137.mail.ru>
Subject: Re: [sisyphus] =?koi8-r?b?y9TPINDJ28XUINcgLi4uICh3YXM6IC9ldGMvaWZ0?=
	=?koi8-r?b?YWIgPyk=?=
X-BeenThere: sisyphus@lists.altlinux.org
X-Mailman-Version: 2.1.9
Precedence: list
Reply-To: Denis Medvedev <a_mdl@mail.ru>,
	ALT Linux Sisyphus discussions <sisyphus@lists.altlinux.org>
List-Id: ALT Linux Sisyphus discussions <sisyphus.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sisyphus>
List-Post: <mailto:sisyphus@lists.altlinux.org>
List-Help: <mailto:sisyphus-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Thu, 25 Oct 2007 08:50:21 -0000
Archived-At: <http://lore.altlinux.org/sisyphus/E1IkyQ1-000HHp-00.a_mdl-mail-ru@f137.mail.ru/>
List-Archive: <http://lore.altlinux.org/sisyphus/>
List-Post: <mailto:sisyphus@altlinux.ru>

А если у вас ext3 - попробуйте поставить атрибут immutable на этот файл?
Его не так-то просто снимать...
сhattr +i 


-----Original Message-----
From: "Peter V. Saveliev" <peet@altlinux.ru>
To: ALT Linux Sisyphus discussions <sisyphus@lists.altlinux.org>
Date: Thu, 25 Oct 2007 12:46:31 +0400
Subject: Re: [sisyphus] кто пишет в ... (was: /etc/iftab ?)

> В сообщении от Thursday 25 October 2007 11:43:33 Artem Zolochevskiy 
> написал(а):
> > hi all
> >
> > после upgrade-a что-то странно с сетью началось.
> > выяснилось, что какая-та нехорошая редиска понаписала маки в
> > /etc/iftab
> <skip >
> 
> У меня вопрос шире. Как узнать, кто пишет в файл? Inotify не позволяет 
> получить pid процесса, и, насколько я понимаю, да и по любому это анализ 
> post-mortem.
> 
> Знает ли кто-нибудь проксирующий fuse-модуль с возможностью блокировки записи 
> выбранных файлов?
> 
> ...
> 
> Вопрос не праздный. Какая-то <skip /> дважды меняла мне /etc/tcb/.../shadow 
> без моего ведома. При этом машина в инет смотрит через snat, chkrootkit 
> ничего не находит, rpm -Va не принёс открытий, в процессах подозрительного 
> нет, а логах тоже ничего, следов подчистки логов не наблюдается.
> 
> Ситуация кинетически неприятная, а потенциально же просто опасная.
> 
> -- 
> Peter V. Saveliev
> _______________________________________________
> Sisyphus mailing list
> Sisyphus@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sisyphus