ハッカーが問題を引き起こしている私のtmpディレクトリにファイルをドロップしました。スクリプトが失敗しているため、GBのerror_logエントリを作成する以外、悪意はありません。ただし、実行に使用しているファイルには権限がなく、ROOTであってもこのファイルを削除または名前変更することはできません。
---------- 1 wwwusr wwwusr 1561 Jan 19 02:31 zzzzx.php
root@servername [/home/wwwusr/public_html/tmp]# rm zzzzx.php
rm: remove write-protected regular file './zzzzx.php'? y
rm: cannot remove './zzzzx.php': Operation not permitted
私もiノードで削除しようとしました
root@servername [/home/wwwusr/public_html/tmp]# ls -il
...
1969900 ---------- 1 wwwusr wwwusr 1561 Jan 19 02:31 zzzzx.php
root@servername [/home/wwwusr/public_html/tmp]# find . -inum 1969900 -exec rm -i {} \;
rm: remove write-protected regular file './zzzzx.php'? y
rm: cannot remove './zzzzx.php': Operation not permitted
このファイルを削除するにはどうすればよいですか?
15
もし私があなただったら、私はその箱を壊して舗装しようと思っていたでしょう。少なくとも1つのセキュリティホールがあることは明らかです。これは、誰かがドキュメントルートの外部でカスタムアクセス許可を持つ新しいファイルを作成し、さらにその上でPHP / Apacheがそれを試行してロードできるようにするのに十分です。友よ、君は王室にいる。そのボックスを元に戻したい場合は、軌道からそれを破棄する必要があります。確認する唯一の方法です。
—
ウォーレンヤング
ありがとう、ウォーレン。これは実際には、これまで侵害されたことのないアカウント上を移動するまったく新しいボックスです。私は設定が異なるものを理解しようとしています(両方のCPanelボックス)。
—
ブラッドリー
OSが最新で、インストールが新しくても、妥協できないわけではありません。6か月前に出荷されたOSで今日検出されたバグは、年を重ねるCDから古いOSをインストールし続けるため、何年も続くことがあります。欠陥に対するパッチがあったとしても、インストールと更新の間のウィンドウは妥協を許します。それはさておき、悪意のあるアクターがそのファイルをシステムに配置したのが間違っている場合、良心的なシステム管理者は少なくとも別の方法でその存在を説明する必要があります。
—
ウォーレンヤング