Только владелец файла или суперпользователь, могут изменить полномочия на файле. Это верно, даже если пользователь является членом группы, которая владеет файлом и полномочиями файла, и родительский каталог предложил бы установить полномочия, должно быть возможным.
Можно управлять полномочиями файлов и каталогами во время создания, при помощи umask
средство Вашей оболочки:
$ umask 002
$ mkdir -p targetdir
$ ls -ld targetdir
...
drwxrwxr-x 2 dan wheel 2 19 Mar 15:13 targetdir
При выполнении этого в сценарии это - вероятно, хорошая идея сохранить исходное значение umask, таким образом, можно восстановить его после успешного создания каталогов.
Все, что нужно сделать пользователю, это сгенерировать скрипт, который загружает файл в [119855]/tmp/sh64[119856], а затем запускает его. Веб-скрипты обычно должны иметь возможность выполнять внешние программы, поэтому такую активность трудно предотвратить.
[root@mysvr ~]# ps -ef | grep sleep
root 1362 1338 0 17:23 pts/0 00:00:00 sleep 12h
root 1393 1367 0 17:24 pts/1 00:00:00 grep sleep
Если учетная запись [119857]mick[119858] является той же самой учетной записью, которая используется для выполнения веб-скриптов пользователя, то я бы сказал, что нет, вы не взломаны. Просто пользователь злоупотребляет своей учетной записью.
Если вы хотите предотвратить такое поведение, есть несколько способов предотвратить его. Вы можете либо запретить вызов внешних программ. Или Вы можете сделать что-нибудь вроде kill long running программ (например, что-нибудь, что осталось запущенным более 60 секунд).[119859]. Не зная больше подробностей о вашей настройке, трудно определить наилучший путь.[119455].
Это сценарий, который использовался для установки и настройки Bitcoin miner:
Этот сценарий полностью выполнялся как пользователь Nagios, так что ему не требовался root доступ.[119461].
System Hacked, Bitcoin miner installed
Did my Linux lab box was hacked?
BitCoin Mining Malware search results through google
I would take the position that your system has been compromised and get anything critical off of it to start, so that you have backed it if it's not is already doing it's not been done this.
Analysis
Если вам интересно, как они попали внутрь, вам нужно получить полный список установленных служб (web, mysql и т.д.) и посмотреть, есть ли активные эксплойты, которые позволили бы кому-нибудь получить повышенные привилегии. Именно в таком случае эти типы компрометаций могут быть изолированными инцидентами, поэтому просто удалите вредоносное ПО, а вредоносного ПО может быть достаточно, чтобы искоренить его без необходимости тратить время на полное восстановление/настройку системы.Если бы эта система была построена с помощью образа на основе VPS, я бы поработал с провайдером, так как исправление, кажется, отвечает их интересам.
Помимо простого взлома веб стека
Серебряная подкладка?
Поскольку система используется для добычи, вероятно, они использовали автоматизированный набор инструментов для написания сценариев, так как атака на достаточное количество систем, чтобы настроить зомби-добытчиков, кажется, займет много времени. Когда такие инструменты используются, они обычно халтурят в своей конструкции, просто стремясь сделать минимум, чтобы закрепиться, а затем доставить свою полезную нагрузку (программное обеспечение для добычи), так что вам может повезти и вы получите некоторое дополнительное представление о том, как они смогли попасть внутрь.[119441].