Строка sudo -s
заставит ваш скрипт открыть оболочку, возможно, после запроса пароля. Это будет продолжаться только тогда, когда вы выйдете из этой новой оболочки, и общее впечатление может легко сложиться так, что оно завершилось без каких-либо действий.
Вы должны удалить эту строку и запустить сценарий напрямую от имени любого пользователя, который ему нужен, так что, возможно,
sudo./deploy.sh
Возможно, они загрузили модуль ядра, который подключается к обработке системного вызова getdents()
и удаляет соответствующие записи каталога из результатов, прежде чем они будут возвращены в пространство пользователя.
С помощью команды insmod
такой модуль ядра может быть загружен из местоположения, отличного от -по умолчанию, и ему также может быть присвоено обманчивое имя.Он также может скрыть себя от листинга lsmod
во многом таким же образом :, подключившись к той части ядра, которая создает листинг, и удалив из него собственное имя перед передачей информации дальше.