Ik heb een klein vaag probleem.

In mijn /tmp dir staat een map die ik niet weg krijg. Het is gewoon via dat stomme phpBB forum, alleen die map staat er nog. Nu had ik sowieso al een /tmp partitie staan met noexec enzovoorts alleen ik wil die map graag wel weg hebben

als ik ls -al doe zie ik alleen een lading spaties.
en als ik dir doe zie / / / alleen als ik dan dus rm -rf / / / doe wil hij als nog niet weg.

Hoe krijg ik die stomme map weg? Kep al beetje gegoogled maar niet echt wat nuttigs gevonden...

Je kan het proberen met quotes, dus zoiets als: rm "/ / /"

als ik dat doe krijg ik net als bij mij andere pogingen dit:

[root@server1 tmp]# rm "\ \ \"
>

Zit er wat belangrijks in /tmp?
rm -rf /tmp/*

weet ik eigelijk niet. Maar mysql zet daar toch een file neer?

Origineel geplaatst door electric
Je kan het proberen met quotes, dus zoiets als: rm "/ / /"

Dat lijkt wel een actie die mij zou kunnen gebeuren :D

In jouw voorbeeld verwijder je de hele root.. net zoals ik ooit eens de hele root in 1 map deed verplaatsen. Maak er dus van:

rm "/tmp/*/*/" oid van.

'ls -alR /tmp' kan ook wonderen doen :)

Ach... Meestal zitten daar niet echt al te belangrijke files in. Op sommige distro's wordt /tmp/* zelf gewist bij reboot...

Zit er een spatie tussen de slashes? "/ / /" of "///" ?


zero ~ # ls "/tmp/ /*"
ls: /tmp/ /*: No such file or directory

Verander ls is door rm -rf, ik vermoed dat het zou moeten werken...

Rayman, je zegt zelf dat je een lading spaties krijgt he, waarom kopieer die je die lading spaties dat niet gewoon tussen quotes en ga je die map in?

Dat werkt helaas ook niet. Ik denk dat ik gewoon die tmp dir leeg gooi dan ben ik er vanaf.

Je kan ook met "mc" die map weggooien.

Werkt wel effectief, doe ik ook altijd met directory's met rare namen.

[root@localhost tmp]# mc
-bash: mc: command not found

:p

Gewoon een cd /tmp en dan rm -rf *, prob solved ;)

Let op met wat je typt zodat je niet je / delete ;)

EDIT: ff kijken of ik de situatie kan nabouwen ten voorbeeld ;)

Origineel geplaatst door RayManZ
als ik dat doe krijg ik net als bij mij andere pogingen dit:

[root@server1 tmp]# rm "\ \ \"
>

Dat is omdat die laatste \ de quote escaped. Als je een spatie wil aanduiden, doe dit dan met '\ ' (backslash, spatie). Als je een backslash wil aanduiden doe dit dan met '\\'.

Dus, als je de directory met de naam spatie-spatie-spatie bvb wil wegdoen, doe dit dan met

rmdir \ \ \
(backslash, spatie, backslash, spatie, backslash, spatie).

Tab completion is ook altijd leuk in zo een gevallen ;).

Origineel geplaatst door fusehost


Dat is omdat die laatste \ de quote escaped. Als je een spatie wil aanduiden, doe dit dan met '\ ' (backslash, spatie). Als je een backslash wil aanduiden doe dit dan met '\\'.

Dus, als je de directory met de naam spatie-spatie-spatie bvb wil wegdoen, doe dit dan met

rmdir \ \ \
(backslash, spatie, backslash, spatie, backslash, spatie).

Tab completion is ook altijd leuk in zo een gevallen ;).

Ja of kijken welke inode de file heeft en met debugfs unlinken. Beter als dat "rm -rf / / /" wat sommige mensen hier aanraden ;) En zorgen dat PHP scripts de volgende keer niet in je tempdirs kunnen.

En kijk van welke gebruiker de map is, dan zoek je ff op zijn gebruikersnaam je hele hd af naar andere bestanden van hem. Van te voren wel even een updatedb doen om de laatste nieuwe bestanden te indexeren :)

Die gebruiker zal ongetwijfeld "www", "apache", "httpd" of "nobody" zijn.

inderdaad :( maaargoed ik heb tmp leeg gegooid en alles werkte daarna nog dus het zit wel goed zo :p

Origineel geplaatst door RayManZ
inderdaad :( maaargoed ik heb tmp leeg gegooid en alles werkte daarna nog dus het zit wel goed zo :p

Heb je PhpBb geupdate naar de nieuwste versie, de beveiliging aangetrokken en gekeken of er niet verder gepenetreerd is en of er backdoors draaien ?

Natuurlijk. Ik had op internet een perl script gevonden welke de server afscant naar oude phpbb's en vervolgens chmod hij de exploit pagina naar 000 zodat je er niks meer mee kan. Verder alles gechecked, maar niks kunnen vinden. Dus hopen dat nu alles weer ok is.

Origineel geplaatst door RayManZ
Natuurlijk. Ik had op internet een perl script gevonden welke de server afscant naar oude phpbb's en vervolgens chmod hij de exploit pagina naar 000 zodat je er niks meer mee kan. Verder alles gechecked, maar niks kunnen vinden. Dus hopen dat nu alles weer ok is.

Ik kies meestal voor zo'n schema (ff vluchtig):

* owner php/html gescheiden van httpd uid

* group writable i.p.v. world writable voor schrijfbare dirs

* homedirs nosuid, tempdirs noexec,nosuid,nodev

* openbasedir restrictie op pub_html

* safe_mode + safe_mode_gid check

* safe_mode_exec dir gebruiken voor dingen als imagemagic,gm, enz

* functies afvangen en monitoren: system() exec() passthru () popen() preg_replace()

* php security mechanismen

Enfin hiermee had je die Phpbb exploit kunnen voorkomen.

* CGI standaard uit per vhost (doet bovenstaande teniet)

* MySQL niet via TCPIP maar via sockets

Nja.. dit is even vluchtig dus. :-) Zelf zou ik dit weer in een jail draaien (FBSD) en eigenlijk de httpd en sqld scheiden d.m.v. jails ofzo als het op dezelfde server moet komen.

@RayManZ: Waar heb je dat script gevonden? Ben ook op zoek naar een eenvoudige check of er oude phpbb's op onze servers staan.

Ik had het met google gevonden. Helaas ben ik hem kwijt geraakt. Maar met goed zoeken is hij zeker te vinden. Het was op een weblog pagina. ik zocht onder andere met: phpbb, exploit, checker, find dat soort dingen.

Zie http://www.webhostingtalk.nl/showthread.php?s=&threadid=62016 voor meer phpBB informatie en links naar zo'n script.

Maak ook gebruik van mod_suphp

Daar kan je zien wie het script nu eigenlijk draait :)