Як видалити файл без дозволів?

Хакер випустив файл у мій dm-каталог, що спричиняє проблеми. Немає нічого шкідливого, крім створення записів про помилки в ГБ, оскільки їх сценарій не працює. Однак файл, який вони використовують для виконання, не має дозволів, і навіть як ROOT я не можу видалити або перейменувати цей файл.

----------  1 wwwusr wwwusr 1561 Jan 19 02:31 zzzzx.php

root@servername [/home/wwwusr/public_html/tmp]# rm zzzzx.php
rm: remove write-protected regular file './zzzzx.php'? y
rm: cannot remove './zzzzx.php': Operation not permitted

Я також спробував видалити за допомогою inode

root@servername [/home/wwwusr/public_html/tmp]# ls -il

...
1969900 ----------  1 wwwusr wwwusr 1561 Jan 19 02:31 zzzzx.php

root@servername [/home/wwwusr/public_html/tmp]# find . -inum 1969900 -exec rm -i {} \;

rm: remove write-protected regular file './zzzzx.php'? y
rm: cannot remove './zzzzx.php': Operation not permitted

Як видалити цей файл?

linux permissions filesystems

— Бредлі
джерело

Якби я був ти, я б хотів занести ящик і прокласти цю скриньку. У ньому явно є хоча б один отвір у захисті, що є досить поганим, що хтось може писати нові файли із спеціальними дозволами за межами кореня документа, а потім, крім усього іншого, вдається отримати PHP / Apache, щоб спробувати завантажити його. Друже мій, ти по-королівськи обтяжений. Якщо ви хочете повернути цю скриньку, вам доведеться вивести її з орбіти. Це єдиний спосіб бути впевненим .

— Warren Young

Дякую Уоррен Це насправді абсолютно нова скринька, яка переходить на акаунти, які ніколи раніше не піддавалися компромету. Я намагаюся з'ясувати, які налаштування відрізняються (обидва поля CPanel).

— Бредлі

Тільки тому, що ОС нещодавнє, а інсталяція свіжа не означає, що ви не можете мати компроміс. Помилка, виявлена сьогодні в ОС, що постачалася 6 місяців тому, може зберігатися роками, оскільки люди продовжують встановлювати старіші ОС з компакт-дисків, які постійно старіють. Навіть якщо є помилка на недолік, вікно між установкою та оновленням дозволяє компроміс. Якщо відмовитись, якщо я помиляюся, що якийсь поганий актор розмістив цей файл у вашій системі, сумлінному сисадміну доведеться хоча б спробувати пояснити його присутність іншим способом.

— Warren Young

Відповіді:

Файл, ймовірно, був заблокований за допомогою атрибутів файлу .

Як корінь, зробіть

lsattr zzzzx.php

aНаявні атрибути (режим додавання) або i(незмінний) перешкоджають вашим rm. Якщо вони там, то

chattr -ai zzzzx.php
rm zzzzx.php

слід видалити файл.

— ire_and_curses
джерело

Я б уникав називати їх розширеними атрибутами файлів, оскільки це може спричинити плутанину з розширеними атрибутами файлів, встановленими з setfxattrі використовуються для зберігання атрибутів ACL або SELinux ....

— Стефан Шазелас

@Stephane Chazelas - добре. Чи працюють для вас звичайні "атрибути файлів"?

— ire_and_curses

Я не можу придумати нічого кращого. Раніше вони були атрибутами файлу ext2, але тепер їх підтримує інша FS в Linux, як xfs btrfs, тому більше не можна їх називати.

— Стефан Шазелас

На жаль, Уоррен не опублікував як відповідь, а як коментар; Не можу підкреслити, що він абсолютно правильний.

Видалення / зміна одного файлу не вирішить вашу РЕАЛЬНУ проблему; це зробить ОДИН симптом. Візьміть вікно в режимі офлайн, сфотографуйте для подальшої криміналістики та перевстановіть з новою версією (сподіваємось, що / нові виправлення безпеки) того, що ви працювали.

Повторюю: видалення файлу НЕ ФІКС .

— тинькувати
джерело

Я не опублікував відповіді, оскільки мій коментар не відповідає на поставлене запитання.

— Warren Young

Хе ... я, мабуть, я все ще надто новачок у способі обміну ставками. Я вважаю за краще проголосувати за "не відповісти", ніж не сказати, що потрібно сказати; D

— подумайте

Питання не в тому, як виправити цю проблему, це у видаленні файлу без дозволів. І це цікаве питання!

— Вім

@tink: Це те, що коментарі є для : говорити речі , які повинні бути сказані, які не відповідає на питання.

— Warren Young

Очевидно , що це робить відповідь на питання , яке було задане. Витираючи диск, вилучите файл! Зазвичай це не розумний спосіб видалення файлу, але в цьому випадку це найбільш розумний спосіб, оскільки він одночасно вирішує основну проблему. (Крім того, навіть якщо це буквально не дало відповіді на запитання, оскільки було прямо задано - що це робиться! - не помилково розміщувати рішення актуальної проблеми ОП .)

— Елія Каган