Um hacker deixou cair um arquivo no meu diretório tmp que está causando problemas. Nada mal-intencionado, exceto a criação de GB de entradas error_log porque o script está falhando. No entanto, o arquivo que eles estão usando para executar não tem permissões e, mesmo como ROOT, não consigo excluir ou renomear este arquivo.
---------- 1 wwwusr wwwusr 1561 Jan 19 02:31 zzzzx.php
root@servername [/home/wwwusr/public_html/tmp]# rm zzzzx.php
rm: remove write-protected regular file './zzzzx.php'? y
rm: cannot remove './zzzzx.php': Operation not permitted
Eu também tentei remover por inode
root@servername [/home/wwwusr/public_html/tmp]# ls -il
...
1969900 ---------- 1 wwwusr wwwusr 1561 Jan 19 02:31 zzzzx.php
root@servername [/home/wwwusr/public_html/tmp]# find . -inum 1969900 -exec rm -i {} \;
rm: remove write-protected regular file './zzzzx.php'? y
rm: cannot remove './zzzzx.php': Operation not permitted
Como faço para excluir este arquivo?
O arquivo provavelmente foi bloqueado usando os atributos de arquivo .
Como root, faça
lsattr zzzzx.php
Atributos a (modo de acréscimo) ou i (imutável) presente impediriam seu rm . Se eles estão lá, então
chattr -ai zzzzx.php
rm zzzzx.php
deve excluir seu arquivo.
Infelizmente Warren não postou como resposta, mas como um comentário; Eu não posso enfatizar o suficiente para que ele esteja totalmente correto.
Remover / alterar um arquivo não corrigirá seu problema REAL; isso fará com que UM sintoma desapareça. Pegue a caixa off-line, tire uma imagem para análise forense posterior e reinstale-a, com uma versão mais recente (esperançosamente com novas correções de segurança) do que você estava executando.
Repito: excluir o arquivo é NÃO É FIXO .
Tags permissions linux filesystems