正しい許可とグループにもかかわらず、ディレクトリに書き込めません

私のサイトの1つで、ワードプレスウイルスによる攻撃とファイルの書き込みに苦しんでいます。私が気づいた奇妙なことの一つは、rootユーザーでさえディレクトリに書き込めないことです。ディレクトリは755です。同じ権限で別のディレクトリに書き込もうとしてもうまくいきます。

root@console:/var/www/clients/client3/web22# whoami
root

root@console:/var/www/clients/client3/web22# groups root
root : root

root@console:/var/www/clients/client3/web22# ls -alh
total 29M
drwxr-xr-x 8 root  root    4.0K Sep 13 11:09 .
drwxr-xr-x 6 root  root    4.0K Oct  5 15:04 ..
drwxr-xr-x 2 web22 client3 4.0K Feb 18  2016 cgi-bin
drwxr-xr-x 2 root  root    4.0K Nov  2  2016 log
drwxr-x--x 7 web22 client3 4.0K Oct  5 14:54 web

root@console:/var/www/clients/client3/web22# touch test
touch: cannot touch ‘test’: Permission denied

root@console:/var/www/clients/client3/web22# mkdir test
mkdir: cannot create directory ‘test’: Permission denied

同じ権限、同じユーザー、同じマシンで別のフォルダに移動します。

root@console:/var/www/clients/client5/web24# ls -lah
total 32K
drwxr-xr-x 8 root  root    4.0K Oct  5 15:12 .
drwxr-xr-x 4 root  root    4.0K Mar 24  2016 ..
drwxr-xr-x 2 web24 client5 4.0K Feb 19  2016 cgi-bin
drwxr-xr-x 2 root  root    4.0K Nov  2  2016 log
drwxr-x--x 9 web24 client5 4.0K Mar 19  2016 web

root@console:/var/www/clients/client5/web24# touch test
root@console:/var/www/clients/client5/web24# rm test

/ var / www / clients / client3 / web22フォルダに何も書き込むことができず、ディレクトリへの書き込みを拒否できるグループやユーザー以外に何かあるのはなぜですか？

編集 - 必要な情報を追加する：

root@console:/var/www/clients/client3/web22# cat /proc/version
Linux version 3.16.0-4-amd64 (debian-kernel@lists.debian.org) (gcc version 4.8.4 (Debian 4.8.4-1) ) #1 SMP Debian 3.16.36-1+deb8u1 (2016-09-03)

root@console:/var/www/clients/client3# lsattr
----i--------e-- ./web22
-------------e-- ./web13

root@console:/var/www/clients/client3# lsattr web22
-------------e-- web22/cgi-bin
-------------e-- web22/web
-------------e-- web22/log


root@console:/var/www/clients/client3# getfacl web22
# file: web22
# owner: root
# group: root
user::rwx
group::r-x
other::r-x

root@console:/var/www/clients/client3# getfacl .
# file: .
# owner: root
# group: root
user::rwx
group::r-x
other::r-x

— hrdy
ソース

使っていますか acls または selinux それとも何か？それらはまた許可に影響を与える可能性があります

— Eric Renouf

確かめるためにチェックしなければなりませんが、私はそうは思いません。これはきれいなUbuntu 16セットアップです。 AFAIK Ubuntuはどちらにも同梱されていません。

— hrdy

できますか編集するの出力を含めるためのあなたの質問 lsattr に web22 ディレクトリ？

— Eric Renouf

Ubuntuは7.10以降、デフォルトでAppArmorを有効にします。実行する aa-status そのステータスを照会します。

— Larssend

私は誤解していました。これはUbuntuのセットアップではありません。代わりにそのDebianです。 aclsをチェックしてそれがインストールされている、私は上記の私の編集でgetfaclからのいくつかの出力を含めました。

— hrdy

の i attrリストの中では、そのファイルは「不変」としてマークされているので、それを変更することはできません。あなたが望むならあなたはそれを削除することができます chattr -i .

からのmanページ chattr：

'i'属性を持つファイルは変更できません。削除や名前の変更、このファイルへのリンクの作成、ファイルへのデータの書き込みはできません。この属性を設定または消去できるのは、スーパーユーザーまたはCAP_LINUX_IMMUTABLE機能を持つプロセスだけです。

— Eric Renouf
ソース

パーフェクト！それは他に何か影響を与えますか？そして、どうしてこのディレクトリだけが設定されたのでしょうか。このフラグを通常設定するものはありますか？それは通常の動作ですか？

— hrdy

自動的に設定されるものは何もわかりません。もちろん、元に戻す前に何かが行われた理由を知っておくのは通常良い考えです。そのサイトで以前に作業したことのある人が、そのフラグを有効にした理由があるのでしょうか。

— Eric Renouf

そのことだ。私はこのマシンの唯一の管理者です。そしてちょうど一週間前、私はバックアップ目的でディレクトリにtarファイルを書くことができました。昨日いくつかのファイルを削除し、別のバックアップを実行したいと考えましたが、拒否されました。どういうわけかセットアップが危うくされたことを心配し始めています。これを行うには、物理的なアクセスまたはSSH以外の方法がありますか。そのメールとDNSを持つWebサーバー。最近、このサイト "web22"だけが奇妙なふるまいをしています - 新しいファイルがディレクトリなどに表示されているようです。誰かがwwwを介してマシンに侵入したかディレクトリ内のスクリプトです。

— hrdy

確実に表示される新しいファイルは、大きな警告のように聞こえます。マシン上で利用可能なCGIスクリプトの種類に応じて、それらはコマンドを実行するためのリバースシェルを提供することになるかもしれません。または物理的なアクセス。

— Eric Renouf

大丈夫どうもありがとうございました。この特定のサイトはWordpressのインストールです。そして、所有者がいくつかの悪いテーマなどをインストールしたと思います。幸いなことに、すべてがユーザーとグループによって分離されているので、そのサイトの中で/から実行されるものはすべてそこに含まれるべきです。 "functions.php"ファイル内に1.225文字のurldecodeを含む非常に疑わしい文字列が見つかりました。その行をコメントアウトして、それがだれであろうとそれが何であろうと何でもそれが保たれることを望みます。それは別の投稿のための、しかしこれは文字列がどのように見えるかです：$ O00OO0 = urldecode（ "％6E1％7A％62％2F％6D％615％5C％76％740％69そして続けます。

— hrdy