Gerenciado para finalmente obtê-lo excluído.
LD_PRELOAD="/ var / silver / ~ .a" chattr -sia "/etc/ld.so.preload";LD_PRELOAD="/var/silver/~.a" rm "/etc/ld.so. pré-carga "
Depois, fiz um chattr -sia na pasta e o excluí.
Eu tenho um problema bastante estranho. Eu encontrei uma pasta com um arquivo, que não posso ver nem excluir. Isto é, creio eu, um rootkit e estou desesperado para tirá-lo da minha máquina. Estou logado como root no servidor. A pasta é chamada de prata e está dentro do diretório var . Nada que eu faço lista a pasta. ls -la não mostra a pasta, mas posso acessar o diretório via cd silver . Dentro da pasta há um arquivo chamado ~.b - novamente, não consigo ver ou acessá-lo, mas sei que existe porque o meu dmesg log está cheio de falhas de segmentação causadas por esse arquivo.
trivial-rewrite[24096]: segfault at 2 ip 00007f65c5457e65 sp 00007fff596e5360 error 4 in ~.b[7f65c5455000+6000] cleanup[24097]: segfault at 2 ip 00007fd614f29e65 sp 00007ffffe7ad2c0 error 4 in ~.b[7fd614f27000+6000]
Tentando alterar atributos no arquivo ou a pasta parece não ter efeito algum
chattr -sia ~.b
chattr: No such file or directory while trying to stat ~.b
Como faço para me livrar deste arquivo e do diretório?
Para a tentativa de correção, será necessária uma reinicialização e acesso local ao servidor. Como você não deu informações sobre o sistema de arquivos ou as unidades subjacentes / raid / lvm, estas são instruções genéricas.
O problema mais provável é apenas uma unidade defeituosa com um bloco não gravável, mas outras situações são possíveis. A primeira é que você tem uma corrupção do sistema de arquivos e esse link é imutável. Outra é que você tem um rootkit e o rootkit está bloqueando o acesso ao arquivo, como você sugere.
A maneira mais fácil de resolver tudo isso é reinicializar o servidor com um disco de recuperação autônomo. Eu recomendaria aplicar o chamado systemrescueCD, mas o disco de instalação original do sistema operacional também deve ter um modo de recuperação. Você deve obter a imagem e gravá-la em um disco em outro sistema. A reinicialização de mídias limpas removerá potencialmente qualquer rootkits ou bloqueios do sistema de arquivos.
Uma vez inicializado, execute a verificação fsck apropriada para o tipo de sistema de arquivos para tentar resolver quaisquer erros. Se você estiver executando um ataque ou lvm, você precisará recriá-lo manualmente antes de executar o fsck. Não monte o sistema de arquivos neste ponto antes do fsck.
Se o fsck não terminar, isso indicaria uma unidade defeituosa.
Assumindo que o fsck termine com sucesso (mesmo que tenha que corrigir alguns erros), você precisará montar o sistema de arquivos manualmente e verificar se o arquivo suspeito ainda está lá.
Se tiver desaparecido, você provavelmente teve um problema no sistema de arquivos.
Se ainda estiver lá, você poderá removê-lo com o
rm -f ~.b
.
A coisa é, se os resultados desses esforços parecem indicar um rootikit (não uma unidade ou sistema de arquivos inválidos), você vai querer formatar a unidade e fazer uma restauração completa do SO, como você realmente pode. Não se esqueça de limpar tudo.
Tags rootkit linux malware-removal