해커는 내 tmp 디렉토리에서 문제를 일으키는 파일을 삭제했습니다. 스크립트가 실패했기 때문에 GB의 error_log 항목을 생성하는 것 외에는 악의적인 동작이 없습니다. 그러나 실행하는 데 사용하는 파일에는 권한이 없으며 ROOT로도 파일을 삭제하거나 이름을 바꿀 수 없습니다.
---------- 1 wwwusr wwwusr 1561 Jan 19 02:31 zzzzx.php
root@servername [/home/wwwusr/public_html/tmp]# rm zzzzx.php
rm: remove write-protected regular file './zzzzx.php'? y
rm: cannot remove './zzzzx.php': Operation not permitted
또한 inode를 통해 삭제를 시도했습니다.
root@servername [/home/wwwusr/public_html/tmp]# ls -il
...
1969900 ---------- 1 wwwusr wwwusr 1561 Jan 19 02:31 zzzzx.php
root@servername [/home/wwwusr/public_html/tmp]# find . -inum 1969900 -exec rm -i {} \;
rm: remove write-protected regular file './zzzzx.php'? y
rm: cannot remove './zzzzx.php': Operation not permitted
이 파일을 어떻게 삭제하나요?
답변1
다음을 사용하여 파일을 잠글 수 있습니다.파일 속성.
루트 사용자로 다음을 수행합니다.
lsattr zzzzx.php
속성 a(추가 모드) 또는 (불변)이 있으면 .if가 거기에 있는 것을 i방지할 수 있습니다 .rm
chattr -ai zzzzx.php
rm zzzzx.php
파일을 삭제해야 합니다.
답변2
불행히도 Warren은 이것을 답변으로 게시하지 않고 의견으로 게시했습니다. 그가 절대적으로 옳았다는 점은 아무리 강조해도 지나치지 않습니다.
파일을 삭제/변경해도 실제 문제가 해결되지는 않으며 증상이 사라지게 됩니다. 상자를 오프라인으로 전환하고 나중에 포렌식을 위해 이미지를 찍은 다음 실행 중이던 모든 항목의 업데이트된 버전으로 다시 설치하십시오(새로운 보안 수정 사항이 적용되기를 바랍니다).
반복합니다: 파일을 삭제하는 것은해결책이 아니다.