<p>Use rpm -Va to see all packages compared to their md5 checksum from rpmdb. Replace every package that has binaries that don't match what rpm says they should be. Use yum replace foo or rpm -F foo.<br>
If you still can't modify that directory try a reboot to clean up the mount tables. Start it in single user mode. <br></p><p><br></p><p>rpm -Va | egrep '^..5' | awk '{print $NF}' | xargs rpm -q --whatprovides | sort -u <br>
</p><p>will provide the package list you need. If you are in runlevel 3 just run:</p><p>yum reinstall $(rpm -Va | egrep '^..5' | awk '{print $NF}' | xargs rpm -q --whatprovides | sort -u)</p><p>and that will reinstall the bad packages.</p>
<p><br></p><p><br></p>
<div class="gmail_quote">On Mar 18, 2012 1:35 PM, "Barry R Cisna" <<a href="mailto:brcisna@eazylivin.net" target="_blank">brcisna@eazylivin.net</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Hello All,<br>
<br>
One of our older ftp servers centos 5 got hit with the shv4 rootkit,,,as<br>
I had left ssh running mistakenly for a couple days.<br>
Long story short I simply can not delete the two main dirs that are<br>
created by the rootkit. Those being:<br>
lib/libsh  and /usr/lib/libsh.so.<br>
<br>
I know the immutable bit has not been set on these dirs or the files<br>
within. I did do an chattr -i /dir/files on the dirs just to make sure<br>
as well. Even changing file perms to root-root the dirs and files within<br>
can not be deleted.<br>
<br>
I noticed when trying to rm /lib/libsh/filexyz it always comes back with<br>
"Operation not permitted". I also notice at the end of each file name<br>
there is the ' character. Does anyone have any idea what the ' character<br>
suggests?<br>
<br>
I know,I should simply reformat the box with something newer but I am<br>
just trying to figure out firstly why the files are un-deletable.<br>
I am going to plop in a deft live cd and see if I can delete the files<br>
this way. Haven't had a chance to try this yet.<br>
<br>
Thanks,<br>
Barry Cisna<br>
<br>
<br>
_______________________________________________<br>
K12OSN mailing list<br>
<a href="mailto:K12OSN@redhat.com" target="_blank">K12OSN@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/k12osn" target="_blank">https://www.redhat.com/mailman/listinfo/k12osn</a><br>
For more info see <<a href="http://www.k12os.org" target="_blank">http://www.k12os.org</a>><br>
</blockquote></div>