have you run the tool rkhunter? It can identify many Linux root kits. That helps a lot in setting the next steps. I expect the rm command is compromised on the machine itself. Very strange the live CD's failed to be useful. They are self contained and should let you mount and attrib and rm all you like.<br>
<br>Note: if you turn off ssh, you can't remote back in. The trick is to keep ssh updated (and any parts it depends on), deny root ssh connection, requires ssh keys (very, very secure) and block password access.<br><br>
<div class="gmail_quote">On Mon, Mar 19, 2012 at 6:29 PM, Barry R Cisna <span dir="ltr"><<a href="mailto:brcisna@eazylivin.net">brcisna@eazylivin.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hello All,<br>
<br>
Thanks to all that made suggestions on how to clear out the two main<br>
rootkit directories.<br>
I did try using a couple live cd's ,both Centos 6 and a deft CD( which I<br>
have found usually mounts LVM disks R/W easily). Unfortunately I got the<br>
same 'permission denied" when trying to delete the files using this<br>
method?<br>
<br>
I also tried the method of deleting the file by the inode number.<br>
Strangely enough,,I get no errors,and also I never get asked to confirm<br>
to actually delete the file. The command completes,,but the file(s) are<br>
not deleted. Nothing shows up in system log either FYI.This method did<br>
not work either.<br>
<br>
One thing I did find by accident when I try and create a blank file<br>
regardless of method,I always get error" bad file descriptor" when<br>
actually saving the blank file into either one of the two rootkit dirs.<br>
I am not sure what this represents. Almost as though these dirs are<br>
mounted in some fashion although,I see nothing in mtab or fstab?<br>
This is very strange to say the least.<br>
<br>
It is almost as though the immutable bit is set on these files,and<br>
dirs,,when in fact this is not the case.<br>
Any forensic experts here?....:)<br>
Guess I'll have to learn to make SURE I shut off ssh after remoting into<br>
the machine in the future.<br>
<br>
Take Care,<br>
Barry<br>
<div class="HOEnZb"><div class="h5"><br>
<br>
<br>
<br>
_______________________________________________<br>
K12OSN mailing list<br>
<a href="mailto:K12OSN@redhat.com">K12OSN@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/k12osn" target="_blank">https://www.redhat.com/mailman/listinfo/k12osn</a><br>
For more info see <<a href="http://www.k12os.org" target="_blank">http://www.k12os.org</a>><br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>-- <br>James P. Kinney III<br><br>As long as the general population is passive, apathetic, diverted to 
consumerism or hatred of the vulnerable, then the powerful can do as 
they please, and those who survive will be left to contemplate the 
outcome.<br>- <i><i><i><i>2011 Noam Chomsky<br><br><a href="http://heretothereideas.blogspot.com/" target="_blank">http://heretothereideas.blogspot.com/</a><br></i></i></i></i><br>