Não é possível excluir pasta ou arquivos dentro

2

Eu tenho um problema bastante estranho. Eu encontrei uma pasta com um arquivo, que não posso ver nem excluir. Isto é, creio eu, um rootkit e estou desesperado para tirá-lo da minha máquina. Estou logado como root no servidor. A pasta é chamada de prata e está dentro do diretório var . Nada que eu faço lista a pasta. ls -la não mostra a pasta, mas posso acessar o diretório via cd silver . Dentro da pasta há um arquivo chamado ~.b - novamente, não consigo ver ou acessá-lo, mas sei que existe porque o meu dmesg log está cheio de falhas de segmentação causadas por esse arquivo.

trivial-rewrite[24096]: segfault at 2 ip 00007f65c5457e65 sp 00007fff596e5360 error 4 in ~.b[7f65c5455000+6000]
cleanup[24097]: segfault at 2 ip 00007fd614f29e65 sp 00007ffffe7ad2c0 error 4 in ~.b[7fd614f27000+6000]

Tentando alterar atributos no arquivo ou a pasta parece não ter efeito algum

chattr -sia ~.b

chattr: No such file or directory while trying to stat ~.b

Como faço para me livrar deste arquivo e do diretório?

    
por Alex 26.03.2014 / 17:03

2 respostas

1

Gerenciado para finalmente obtê-lo excluído.

LD_PRELOAD="/ var / silver / ~ .a" chattr -sia "/etc/ld.so.preload";LD_PRELOAD="/var/silver/~.a" rm "/etc/ld.so. pré-carga "

Depois, fiz um chattr -sia na pasta e o excluí.

    
por 28.03.2014 / 11:39
1

Para a tentativa de correção, será necessária uma reinicialização e acesso local ao servidor. Como você não deu informações sobre o sistema de arquivos ou as unidades subjacentes / raid / lvm, estas são instruções genéricas.

O problema mais provável é apenas uma unidade defeituosa com um bloco não gravável, mas outras situações são possíveis. A primeira é que você tem uma corrupção do sistema de arquivos e esse link é imutável. Outra é que você tem um rootkit e o rootkit está bloqueando o acesso ao arquivo, como você sugere.

A maneira mais fácil de resolver tudo isso é reinicializar o servidor com um disco de recuperação autônomo. Eu recomendaria aplicar o chamado systemrescueCD, mas o disco de instalação original do sistema operacional também deve ter um modo de recuperação. Você deve obter a imagem e gravá-la em um disco em outro sistema. A reinicialização de mídias limpas removerá potencialmente qualquer rootkits ou bloqueios do sistema de arquivos.

Uma vez inicializado, execute a verificação fsck apropriada para o tipo de sistema de arquivos para tentar resolver quaisquer erros. Se você estiver executando um ataque ou lvm, você precisará recriá-lo manualmente antes de executar o fsck. Não monte o sistema de arquivos neste ponto antes do fsck.

Se o fsck não terminar, isso indicaria uma unidade defeituosa.

Assumindo que o fsck termine com sucesso (mesmo que tenha que corrigir alguns erros), você precisará montar o sistema de arquivos manualmente e verificar se o arquivo suspeito ainda está lá.

Se tiver desaparecido, você provavelmente teve um problema no sistema de arquivos.

Se ainda estiver lá, você poderá removê-lo com o

rm -f ~.b 
comando

.

A coisa é, se os resultados desses esforços parecem indicar um rootikit (não uma unidade ou sistema de arquivos inválidos), você vai querer formatar a unidade e fazer uma restauração completa do SO, como você realmente pode. Não se esqueça de limpar tudo.

    
por 26.03.2014 / 17:41