Der ursprüngliche oberste ausführbare Befehl kann nicht über einen böswilligen Befehl kopiert werden

0

Jemand hat mein System gehackt und einige der Systembefehle wie top, ps, find usw. durch böswillige ersetzt.

Jetzt versuche ich, die ursprünglichen zu kopieren, aber die Kopier- oder Verschiebebefehle schlagen fehl, obwohl ich als Root angemeldet bin.

Ich erhalte folgenden Fehler:

cp /root/top /usr/bin/
cp: overwrite `/usr/bin/top', overriding mode 0755? y
cp: cannot create regular file `/usr/bin/top': Permission denied

Kann mir bitte jemand sagen, wie ich meine Originaldateien kopieren kann?

permissions malware user42238
quelle
Tatsächlich kann ich das Betriebssystem nicht in kurzer Zeit neu installieren, da es sich um einen Server handelt, der von verschiedenen Gruppen verwendet wird. Daher wird es mindestens eine Woche dauern, bis alle Jungs aktualisiert und ein Backup erstellt wurden
Schlagen Sie

Antworten:

4

Das Verzeichnis wurde möglicherweise schreibgeschützt oder eine Datei wurde durch erweiterte Attribute unveränderlich gemacht. Aber ich werde Ihnen absichtlich nicht sagen, wie Sie das beheben können, da dies nicht der richtige Weg ist, um fortzufahren. Wenn ein Computer mit Malware infiziert wurde, können Sie nicht wissen, was falsch ist. Es besteht eine gute Chance, dass auch der Kernel infiziert ist und dass jede Korrektur, die Sie versuchen, nur erfolgreich zu sein scheint.

Nuke es aus dem Orbit. Mit anderen Worten, werfen Sie die vorhandene Installation weg und installieren Sie das System von Grund auf neu. Sie möchten die Daten kopieren. Stellen Sie es im Idealfall aus einer als funktionierend bekannten Sicherung wieder her. Wenn Sie keine vollständige Sicherung haben, stellen Sie sie von der neuesten Sicherung wieder her und kopieren Sie neuere Dateien sorgfältig. Aber Sie müssen das Betriebssystem neu installieren . Löschen Sie unbedingt die vorhandene Kernel- und Systeminstallation, um zu vermeiden, dass infizierte Dateien versehentlich in der Nähe bleiben. Besser, installieren Sie es auf einer neuen Festplatte und behalten Sie die alte bei (ohne jemalsetwas davon laufen zu lassen), um herauszufinden, was passiert ist, damit es nicht noch einmal passiert.

Gilles
quelle
Tatsächlich kann ich das Betriebssystem nicht in kurzer Zeit neu installieren, da es sich um einen Server handelt, der von verschiedenen Gruppen verwendet wird. Daher wird es mindestens eine Woche dauern, bis alle Jungs aktualisiert und ein Backup erstellt sind. Also, es wird sehr hilfreich sein, wenn Sie können Schlagen Sie eine vorübergehende Korrektur vor, bis ein neues Betriebssystem installiert ist. Thx
user42238
1
@ user42238 Dann könntest du genauso gut nichts machen. Wenn die Malware für Sie kein kritisches Problem darstellt, entfernen Sie sie nicht. Wenn es ein Problem ist, entfernen Sie es. Es gibt keine halben Sachen.
Gilles
Vielen Dank, ich stimme Ihnen voll und ganz zu, dass die Installation des Betriebssystems der beste Schritt ist. Das Problem ist, dass wir Dienstprogramme top, ps und netstat ausführen müssen, um diesen Server zu überwachen. Alle diese Dienstprogramme sind von dieser Malware betroffen, da die von den Befehlen gemeldeten Ergebnisse ungenau sind Da 5% verwendet werden, möchte ich zuerst die Ausgabe dieser Befehle korrigieren, bis wir sie erneut installieren können. Als eine der temporären Korrekturen habe ich die Befehlspfade auf die ursprüngliche ausführbare Datei verschoben. Aber es wird gut sein, wenn ich sie auf Standardpfaden kopieren kann.
user42238