Impossibile scrivere nella directory nonostante l'autorizzazione e il gruppo corretti

3

Ho lottato con un virus wordpress attaccando e scrivendo file in uno dei miei siti. Una cosa strana che ho notato è che anche con l'utente root non sono in grado di scrivere nella directory. La directory è 755. Il tentativo di scrivere in un'altra directory con le stesse autorizzazioni funziona.

root@console:/var/www/clients/client3/web22# whoami
root

root@console:/var/www/clients/client3/web22# groups root
root : root

root@console:/var/www/clients/client3/web22# ls -alh
total 29M
drwxr-xr-x 8 root  root    4.0K Sep 13 11:09 .
drwxr-xr-x 6 root  root    4.0K Oct  5 15:04 ..
drwxr-xr-x 2 web22 client3 4.0K Feb 18  2016 cgi-bin
drwxr-xr-x 2 root  root    4.0K Nov  2  2016 log
drwxr-x--x 7 web22 client3 4.0K Oct  5 14:54 web

root@console:/var/www/clients/client3/web22# touch test
touch: cannot touch ‘test’: Permission denied

root@console:/var/www/clients/client3/web22# mkdir test
mkdir: cannot create directory ‘test’: Permission denied

Ecco un'altra cartella con le stesse autorizzazioni, stesso utente e stesso computer:

root@console:/var/www/clients/client5/web24# ls -lah
total 32K
drwxr-xr-x 8 root  root    4.0K Oct  5 15:12 .
drwxr-xr-x 4 root  root    4.0K Mar 24  2016 ..
drwxr-xr-x 2 web24 client5 4.0K Feb 19  2016 cgi-bin
drwxr-xr-x 2 root  root    4.0K Nov  2  2016 log
drwxr-x--x 9 web24 client5 4.0K Mar 19  2016 web

root@console:/var/www/clients/client5/web24# touch test
root@console:/var/www/clients/client5/web24# rm test

Perché non riesco a scrivere nulla nella cartella / var / www / clients / client3 / web22 e c'è qualcos'altro oltre a gruppi e utenti che possono negare di scrivere in una directory?

Modifica - Aggiunta delle informazioni necessarie:

root@console:/var/www/clients/client3/web22# cat /proc/version
Linux version 3.16.0-4-amd64 (debian-kernel@lists.debian.org) (gcc version 4.8.4 (Debian 4.8.4-1) ) #1 SMP Debian 3.16.36-1+deb8u1 (2016-09-03)

root@console:/var/www/clients/client3# lsattr
----i--------e-- ./web22
-------------e-- ./web13

root@console:/var/www/clients/client3# lsattr web22
-------------e-- web22/cgi-bin
-------------e-- web22/web
-------------e-- web22/log


root@console:/var/www/clients/client3# getfacl web22
# file: web22
# owner: root
# group: root
user::rwx
group::r-x
other::r-x

root@console:/var/www/clients/client3# getfacl .
# file: .
# owner: root
# group: root
user::rwx
group::r-x
other::r-x
linux  permissions  file-permissions  root 
Hrdy
fonte
Stai usando aclso selinuxo qualcosa del genere? Questi potrebbero anche influire sulle autorizzazioni
Eric Renouf,
Devo verificare per essere sicuro, ma non credo. Questa è un'installazione pulita di Ubuntu 16. AFAIK Ubuntu non viene fornito con nessuno dei due.
hrdy,
Puoi modificare la tua domanda per includere l'output di lsattrnella web22directory?
Eric Renouf,
Ubuntu abilita AppArmor per impostazione predefinita dal 7.10. Esegui aa-statusper interrogare il suo stato.
Larssend,
Sono stato male informato. Questa non è una configurazione di Ubuntu. Invece è un Debian. Controllato per acls ed è installato, ho incluso un po 'di output da getfacl nella mia modifica sopra.
hrdy,

Risposte:

2

L' inella lista attr significa che il file è stato contrassegnato come "immutabile" è per questo che non si può cambiare. Puoi rimuoverlo se vuoi conchattr -i .

Dalla pagina man perchattr :

Un file con l'attributo 'i' non può essere modificato: non può essere eliminato o rinominato, non è possibile creare alcun collegamento a questo file e nessun dato può essere scritto nel file. Solo il superutente o un processo che possiede la capacità CAP_LINUX_IMMUTABLE può impostare o cancellare questo attributo.

Eric Renouf
fonte
Perfetto! Ciò influirà su qualcos'altro? E come mai è stata impostata solo questa directory? C'è qualcosa che di solito imposta questo flag ed è un comportamento normale?
hrdy,
Non conosco nulla che lo imposti automaticamente, e ovviamente è una buona idea sapere perché è stato fatto qualcosa prima di annullarlo. Forse qualcuno che in precedenza stava lavorando con quel sito aveva un motivo per abilitare quella bandiera?
Eric Renouf,
Questa è la cosa. Sono l'unico amministratore di questa macchina. E solo una settimana fa sono stato in grado di scrivere un file tar nella directory a scopo di backup. Rimossi alcuni file ieri e volevo fare un altro backup ma sono stati negati. Iniziare a preoccuparsi che l'installazione sia stata in qualche modo compromessa. Nient'altro che accesso fisico o SSH può farlo? È un server web con mail e dns. Ultimamente proprio questo sito "web22" ha avuto un comportamento strano - nuovi file che appaiono nella directory ecc. Sembra che qualcuno abbia ottenuto un tty nella macchina tramite www o script all'interno della directory.
hrdy,
I nuovi file che appaiono sicuramente sembrano un grosso avvertimento. A seconda del tipo di script CGI o simili disponibili sulla macchina, quelli potrebbero finire per fornire una shell inversa per eseguire comandi o se qualcuno ha compromesso qualcos'altro sul sito potrebbero essere stati in grado di ottenere una shell diversa da ssh o accesso fisico.
Eric Renouf,
Tutto a posto. Grazie mille. Questo sito specifico è un'installazione di Wordpress. E penso che il proprietario abbia installato alcuni temi cattivi o simili. Fortunatamente tutto è separato da utenti e gruppi, quindi qualsiasi cosa venga eseguita all'interno / da quel sito dovrebbe essere contenuta lì. Trovata una stringa molto sospetta contenente un codice urld di 1.225 caratteri all'interno del file "Functions.php". ha commentato quella linea e spero che mantenga chiunque o qualunque cosa fosse fuori. È per un altro post, ma è così che appare la stringa: $ O00OO0 = urldecode ("% 6E1% 7A% 62% 2F% 6D% 615% 5C% 76% 740% 69 e continua. Ancora, TY molto!
hrdy,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.