ハッカーは私のtmpディレクトリから問題を引き起こすファイルを削除しました。スクリプトが失敗したため、GBのerror_logエントリを生成する以外に悪意のある動作はありません。ただし、実行に使用するファイルには権限がなく、ROOTでファイルを削除したり名前を変更したりすることはできません。
---------- 1 wwwusr wwwusr 1561 Jan 19 02:31 zzzzx.php
root@servername [/home/wwwusr/public_html/tmp]# rm zzzzx.php
rm: remove write-protected regular file './zzzzx.php'? y
rm: cannot remove './zzzzx.php': Operation not permitted
また、inode経由で削除しようとしました。
root@servername [/home/wwwusr/public_html/tmp]# ls -il
...
1969900 ---------- 1 wwwusr wwwusr 1561 Jan 19 02:31 zzzzx.php
root@servername [/home/wwwusr/public_html/tmp]# find . -inum 1969900 -exec rm -i {} \;
rm: remove write-protected regular file './zzzzx.php'? y
rm: cannot remove './zzzzx.php': Operation not permitted
このファイルをどのように削除しますか?
答え1
以下を使用してファイルをロックできます。ファイル属性。
rootユーザーとして、次の操作を行います。
lsattr zzzzx.php
プロパティa(追加モード)または(不変)があると、.ifがそこにあるのをi防ぐことができます。rm
chattr -ai zzzzx.php
rm zzzzx.php
ファイルを削除する必要があります。
答え2
残念ながら、Warrenはこれを回答として投稿せずにコメントとして投稿しました。彼が絶対に正しいことは、どんなに強調しても過度ではありません。
ファイルを削除/変更しても実際の問題は解決されず、症状が消えます。ボックスをオフラインにし、後でフォレンジックのために画像を撮ってから、実行中のすべてのアイテムの更新版に再インストールします(新しいセキュリティ修正が適用されることを願っています)。
繰り返します: ファイルを削除することは解決策ではありません。