Greetings all,<br>
<br>
having reinstalled ubuntu after being infected with trinoo_master on port 27665, I discovered that there is still a problem. <br>
<br>
1. netstat -tlp revealed open ports listening at the 3xxxx port range. I killed the PID associated. <br>
2. then nmap showed no problems, but<br>
3. rkhunter suggested some hidden files in /dev needed to be looked at. <br>
4. /dev/.static is a problem. <br>
<br>
I removed two other suspicious directories, including a file in /etc
.... /etc/.pwd.lock ... but I cannot remove .static. It contains a
directory: /dev/.static/dev which is empty, but rm -R .static/ fails: <br>
<br>
<span style="font-style: italic;"># rm -R .static</span><br style="font-style: italic;">
<span style="font-style: italic;">rm: cannot remove directory `.static/dev': Device or resource busy<br>
<br>
# ls -l .static/<br>
total 28<br>
drwxrwxrwx  2 brian brian 28672 2006-01-25 16:59 dev<br>
<span style="font-style: italic;"><br>
</span></span>(I chown, chgrp and chmod to see if I could remove the beastie ..)<br>
<br>
lsattr shows nothing<br>
mount shows no association to other processes. <br>
<br>
I strongly suspect this is the source of a problem. How can I delete
that directory, and clean the space it occupies? All suggestions
gratefully received. <br>
<br>
Brian<br>