黑客在我的 tmp 目录中删除了一个导致问题的文件。除了因为脚本失败而创建 GB 的 error_log 条目之外,没有任何恶意行为。但是,他们用来执行的文件没有权限,即使作为 ROOT,我也无法删除或重命名该文件。
---------- 1 wwwusr wwwusr 1561 Jan 19 02:31 zzzzx.php
root@servername [/home/wwwusr/public_html/tmp]# rm zzzzx.php
rm: remove write-protected regular file './zzzzx.php'? y
rm: cannot remove './zzzzx.php': Operation not permitted
我也尝试过通过 inode 删除
root@servername [/home/wwwusr/public_html/tmp]# ls -il
...
1969900 ---------- 1 wwwusr wwwusr 1561 Jan 19 02:31 zzzzx.php
root@servername [/home/wwwusr/public_html/tmp]# find . -inum 1969900 -exec rm -i {} \;
rm: remove write-protected regular file './zzzzx.php'? y
rm: cannot remove './zzzzx.php': Operation not permitted
我该如何删除这个文件?
答案1
该文件可能已使用锁定文件属性。
作为根用户,执行以下操作:
lsattr zzzzx.php
属性a(追加模式)或i(不可变)的存在会阻止您的rm.如果他们在那里的话
chattr -ai zzzzx.php
rm zzzzx.php
应该删除你的文件。
答案2
不幸的是,沃伦并没有作为答案而是作为评论发布;我怎么强调都不为过,他是完全正确的。
删除/更改一个文件并不能解决您真正的问题;它会让一种症状消失。将盒子脱机,拍摄图像以供以后取证,然后使用您正在运行的任何内容的更新版本(希望带有新的安全修复程序)重新安装。
我重复一遍:删除文件是并非解决办法。