Làm cách nào để xóa một tệp không có quyền?

Một tin tặc đã đánh rơi một tập tin trong thư mục tmp của tôi đang gây ra sự cố. Không có gì độc hại ngoại trừ việc tạo các mục error_log của GB vì tập lệnh của chúng bị lỗi. Tuy nhiên, tệp họ đang sử dụng để thực thi không có quyền và ngay cả khi ROOT tôi không thể xóa hoặc đổi tên tệp này.

----------  1 wwwusr wwwusr 1561 Jan 19 02:31 zzzzx.php

root@servername [/home/wwwusr/public_html/tmp]# rm zzzzx.php
rm: remove write-protected regular file './zzzzx.php'? y
rm: cannot remove './zzzzx.php': Operation not permitted

Tôi cũng đã thử loại bỏ bằng inode

root@servername [/home/wwwusr/public_html/tmp]# ls -il

...
1969900 ----------  1 wwwusr wwwusr 1561 Jan 19 02:31 zzzzx.php

root@servername [/home/wwwusr/public_html/tmp]# find . -inum 1969900 -exec rm -i {} \;

rm: remove write-protected regular file './zzzzx.php'? y
rm: cannot remove './zzzzx.php': Operation not permitted

Làm cách nào để xóa tập tin này?

linux permissions filesystems

— Bradley
nguồn

Tôi là bạn, tôi sẽ tìm cách nuke và mở cái hộp đó ra. Nó rõ ràng có ít nhất một lỗ hổng bảo mật, đủ tệ để ai đó có thể viết các tệp mới với quyền tùy chỉnh bên ngoài gốc tài liệu, và trên hết, quản lý để có được PHP / Apache để thử và tải nó. Bạn ơi, bạn đang đắm đuối. Nếu bạn muốn lấy lại cái hộp đó, bạn phải nuke nó từ quỹ đạo. Đó là cách duy nhất để chắc chắn .

— Warren Young

Cảm ơn Warren. Đây thực sự là một hộp hoàn toàn mới di chuyển qua các tài khoản chưa bao giờ bị xâm phạm trước đây. Tôi đang cố gắng tìm ra các cài đặt khác nhau (cả hai hộp CPanel).

— Bradley

Chỉ vì hệ điều hành gần đây và cài đặt mới không có nghĩa là bạn không thể thỏa hiệp. Một lỗi được phát hiện ngày hôm nay trong một HĐH được xuất xưởng 6 tháng trước có thể tồn tại trong nhiều năm, khi mọi người tiếp tục cài đặt HĐH cũ hơn từ các đĩa CD liên tục cũ hơn. Ngay cả khi có một bản vá cho lỗ hổng, cửa sổ giữa cài đặt và cập nhật cho phép thỏa hiệp. Đặt điều đó sang một bên, nếu tôi sai rằng một diễn viên xấu nào đó đã đặt tập tin đó vào hệ thống của bạn, một sysadmin có lương tâm ít nhất sẽ phải cố gắng giải thích sự hiện diện của nó theo một cách khác.

— Warren Young

Câu trả lời:

Các tập tin có thể đã bị khóa bằng cách sử dụng các thuộc tính tập tin .

Làm gốc, làm

lsattr zzzzx.php

Các thuộc tính a(chế độ chắp thêm) hoặc i(không thay đổi) sẽ ngăn cản bạn rm. Nếu họ ở đó, thì

chattr -ai zzzzx.php
rm zzzzx.php

nên xóa tập tin của bạn.

— ire_and_curses
nguồn

Tôi sẽ tránh gọi chúng là các thuộc tính tệp mở rộng , vì nó có thể gây nhầm lẫn với các thuộc tính tệp mở rộng như được đặt setfxattrvà được sử dụng để lưu trữ các thuộc tính ACL hoặc SELinux ....

— Stéphane Chazelas

@Stephane Chazelas - ok. Liệu 'thuộc tính tệp' đơn giản có làm việc cho bạn không?

— ire_and_curses

Tôi không thể nghĩ gì tốt hơn. Chúng từng là thuộc tính tệp ext2 nhưng giờ đây chúng được hỗ trợ bởi các FS khác trên Linux như xfs của btrfs, vì vậy người ta không còn có thể gọi chúng như vậy nữa.

— Stéphane Chazelas

Thật không may, Warren đã không đăng bài như một câu trả lời mà như một bình luận; Tôi không thể nhấn mạnh đủ rằng anh ấy hoàn toàn chính xác.

Xóa / thay đổi một tệp sẽ không khắc phục được sự cố THỰC SỰ của bạn; nó sẽ làm cho MỘT triệu chứng biến mất. Lấy hộp ngoại tuyến, chụp ảnh cho các pháp y sau này và cài đặt lại, với phiên bản mới hơn (hy vọng sẽ có bản sửa lỗi bảo mật mới) cho bất cứ điều gì bạn đang chạy.

Tôi nhắc lại: xóa tập tin KHÔNG PHẢI LÀ CỐ ĐỊNH .

— tink
nguồn

Tôi đã không đăng câu trả lời vì nhận xét của tôi không trả lời câu hỏi được hỏi.

— Warren Young

Heh ... tôi đoán tôi vẫn còn quá mới mẻ với cách làm việc stackexchange. Tôi thà bỏ phiếu vì "không trả lời" còn hơn không nói những gì cần nói; D

— tink

Câu hỏi không phải là về việc khắc phục vấn đề đó, mà là về việc xóa một tệp không có quyền. Và đó là một câu hỏi thú vị!

— wim

@tink: Đó là những gì bình luận dành cho : để nói những điều cần nói, không phải là câu trả lời cho câu hỏi.

— Warren Young

Rõ ràng điều này không trả lời câu hỏi đã được hỏi. Xóa đĩa sẽ xóa tệp! Thông thường nó không phải là một phương pháp hợp lý loại bỏ một tập tin, nhưng trong trường hợp này, đó là hầu hết các cách hợp lý, bởi vì nó giải quyết vấn đề cơ bản cùng một lúc. (Hơn nữa, ngay cả khi điều này không thực sự trả lời câu hỏi như đã được hỏi một cách rõ ràng - điều đó đúng! - không sai khi đăng một giải pháp cho vấn đề thực tế của OP .)

— Eliah Kagan