ハッカーが問題を引き起こしている私のtmpディレクトリにファイルをドロップしました。スクリプトが失敗しているため、GBのerror_logエントリを作成する以外は悪意のあることは何もありません。ただし、実行に使用しているファイルには権限がなく、ROOTとしても、このファイルを削除したり名前を変更したりすることはできません。
---------- 1 wwwusr wwwusr 1561 Jan 19 02:31 zzzzx.php
root@servername [/home/wwwusr/public_html/tmp]# rm zzzzx.php
rm: remove write-protected regular file './zzzzx.php'? y
rm: cannot remove './zzzzx.php': Operation not permitted
私もinodeで削除してみました
root@servername [/home/wwwusr/public_html/tmp]# ls -il
...
1969900 ---------- 1 wwwusr wwwusr 1561 Jan 19 02:31 zzzzx.php
root@servername [/home/wwwusr/public_html/tmp]# find . -inum 1969900 -exec rm -i {} \;
rm: remove write-protected regular file './zzzzx.php'? y
rm: cannot remove './zzzzx.php': Operation not permitted
このファイルを削除するにはどうすればよいですか?
ファイルはおそらく ファイル属性 を使用してロックされています。
ルートとして、
lsattr zzzzx.php
属性a
(追加モード)またはi
(不変)が存在すると、rm
が妨げられます。彼らがそこにいるなら
chattr -ai zzzzx.php
rm zzzzx.php
ファイルを削除する必要があります。
残念ながら、ウォーレンは回答ではなくコメントとして投稿しませんでした。彼が完全に正しいことを強調することはできません。
1つのファイルを削除または変更しても、REALの問題は修正されません。 1つの症状が消えます。ボックスをオフラインにし、後でフォレンジックのためにイメージを取り、再インストールします。実行しているものの新しいバージョン(できれば新しいセキュリティ修正を含む)を使用して再インストールします。
繰り返しますが、ファイルの削除はNOT A FIXです。