rmdirが空のディレクトリを削除できませんでした

私はlsをトレースし、Digに詳細情報を取得しました（重要でないシステムコールを取り除いた）：

open("empty_dir", O_RDONLY|O_NONBLOCK|O_DIRECTORY|O_CLOEXEC) = 3
getdents(3, /* 3 entries */, 32768)     = 80
write(1, ".\n", 2.)                     = 2
write(1, "..\n", 3..)                   = 3

うーん、syscall getdentsは正しく機能し、3つのエントリ（ '。'、 '..'および '_--- *'）をすべて返しましたが、lsは '。'のみを書き込んだことがわかります。および「..」。これは、coreutilsで使用されるgetdentsのラッパーに問題があることを意味します。また、coreutilsはreaddirのgetdents glibcラッパーを使用します。また、getdentsに問題がないことを証明するために、getdentsのサンプルセクションの man ページの小さなプログラムをテストしました。このプログラムはすべてのファイルを表示しました。

たぶん、glibcでバグを見つけただけでしょうか？だから私はglibcパッケージを私のディストリビューションの最後のバージョンに更新しましたが、良い結果が得られませんでした。また、関連する情報がBugzillaに見つかりませんでした。

より深く行きましょう：

# gdb ls
(gdb) break readdir
(gdb) run
Breakpoint 1, 0x00007ffff7dfa820 in readdir () from /lib64/libncom.so.4.0.1
(gdb) info symbol readdir
readdir in section .text of /lib64/libncom.so.4.0.1

待って、何？ libncom.so.4.0.1？ libcではありませんか？はい、悪意のあるアクティビティを隠すためのlibc関数を持つ悪意のある共有ライブラリが表示されます。

# LD_PRELOAD=/lib64/libc.so.6 find / > good_find
# find / > injected_find
# diff good_find injected_find
10310d10305
< /lib64/libncom.so.4.0.1
73306d73300
< /usr/bin/_-config
73508d73501
< /usr/bin/_-pud
73714d73706
< /usr/bin/_-minerd
86854d86845
< /etc/ld.so.preload

ルートキットファイルを削除し、すべてのパッケージのファイルをチェックする（rpm -Va（私の場合）、自動起動スクリプト、プリロード/プリリンク設定、システムファイル（find / + rpm -qf（私の場合）、影響を受けるパスワードを変更し、ルートキットのプロセスを見つけて強制終了します。

# for i in /proc/[1-9]*; do name=$(</proc/${i##*/}/comm); ps -p ${i##*/} > /dev/null || echo $name; done
_-minerd

最後に、完全なシステムアップデートで、再起動して問題を解決しました。ハッキングが成功した理由：パブリックネットワークから突然利用可能になった非常に古いファームウェアを備えたipmiインターフェイス。