Un hacker ha dejado caer un archivo en mi directorio tmp que está causando problemas. Nada malicioso, excepto la creación de GB de entradas de error_log porque su script está fallando. Sin embargo, el archivo que están utilizando para ejecutar no tiene permisos e incluso como ROOT no puedo eliminar ni cambiar el nombre de este archivo.
---------- 1 wwwusr wwwusr 1561 Jan 19 02:31 zzzzx.php
root@servername [/home/wwwusr/public_html/tmp]# rm zzzzx.php
rm: remove write-protected regular file './zzzzx.php'? y
rm: cannot remove './zzzzx.php': Operation not permitted
También he intentado eliminar por inodo
root@servername [/home/wwwusr/public_html/tmp]# ls -il
...
1969900 ---------- 1 wwwusr wwwusr 1561 Jan 19 02:31 zzzzx.php
root@servername [/home/wwwusr/public_html/tmp]# find . -inum 1969900 -exec rm -i {} \;
rm: remove write-protected regular file './zzzzx.php'? y
rm: cannot remove './zzzzx.php': Operation not permitted
¿Cómo elimino este archivo?
linux
permissions
filesystems
Bradley
fuente
fuente
Respuestas:
El archivo probablemente ha sido bloqueado usando atributos de archivo .
Como root, haz
Atributos
a
(modalidad de apertura) oi
(inmutable) presentes impediría surm
. Si están ahí, entoncesdebería eliminar tu archivo.
fuente
setfxattr
y utilizados para almacenar atributos ACL o SELinux ...Desafortunadamente, Warren no publicó como respuesta sino como comentario; No puedo enfatizar lo suficiente que es totalmente correcto.
Eliminar / cambiar un archivo no solucionará su problema REAL; hará que UN síntoma desaparezca. Desconecte la caja, tome una imagen para análisis forense posterior y vuelva a instalar, con una versión más nueva (con suerte con nuevas correcciones de seguridad) de lo que estaba ejecutando.
Repito: eliminar el archivo NO ES UN ARREGLO .
fuente