나는 시스템 통합자(분명 멍청한 놈)이고 오늘 루트킷의 존재를 확인하기 위해 시스템을 조사하는 도구인 rkhunter를 사용하여 첫 번째 스캔을 수행했습니다. 그 스캔 후에 나는 어리석게도 /tmp/ 디렉토리 안의 파일을 제거하기로 결정했습니다. 왜냐하면 rkhunter가 그 안의 파일과 관련된 몇 가지 경고를 만들었기 때문입니다.
내가 내린 명령의 순서는 다음과 같습니다.
cd /tmp/
ls
cd tracker-lese/
ls
ls -la
cd ..
rm * .
ls -la
rm -fr * /tmp/
설명: 저는 루트였고, /tmp/ 디렉토리 안으로 이동하여 내용을 나열하고, tracker-lese/ 디렉토리의 내용이 무엇인지 이해하려고 노력했으며, /tmp/ 디렉토리로 돌아갔습니다. /!\ rm * .나는 그것이 아무것도 하지 않았다고 믿었고(아마 내가 이해하지 못한 부분이 있을 수도 있습니다) 그런 다음 강제로 재귀적인 RM을 수행했습니다.
충동적인 작업 이후 시스템에 문제가 발생하기 시작했고 재부팅 후에는 더 이상 시스템에 로그인할 수 없었습니다.
편집: 명령 출력ls -ld /tmp/
drwxr-xr-x 6 root root 4096 Apr 8 19:19 /tmp/
답변1
숨김 파일( )과 모든 내용이 포함된 /tmp 디렉터리( ) rm를 제외하고 현재 디렉터리의 모든 항목을 제거하도록 지정한 인수입니다 .*/tmp/
그 명령의 결과가 어떠했는지 알려면 우리는 두 가지를 알아야 합니다. 어떤 사용자로 명령을 실행했으며 현재 디렉터리는 무엇입니까?
홈 디렉터리에서 명령을 실행하고 루트로 로그인하지 않은 경우 피해는 홈 디렉터리의 내용 손실로 제한됩니다. 이 경우 새 사용자를 만들거나 에서 새 홈 디렉터리의 표준 콘텐츠를 복사할 수 있습니다 /etc/skel.
루트로 명령을 실행했다면 /tmp의 모든 내용뿐만 아니라 /tmp 디렉터리도 제거되었을 것입니다. 이로 인해 많은 응용 프로그램이 실패할 수 있습니다. mkdir -m 1777 /tmp루트로 실행하여 새 /tmp 디렉터리를 만들 수 있습니다 . 해당 rm 명령을 루트로 실행하면 어떤 다른 피해를 입힐 수 있는지는 현재 디렉터리가 무엇인지에 따라 다릅니다.
답변2
1777 모드로 /tmp 디렉토리를 다시 만든 후, 다음으로 살펴볼 것은 .Xauthority 파일에 대한 권한입니다. 루트가 아닌 귀하의 소유인지 확인하십시오.
chown you:you ~/.Xauthority
그래도 작동하지 않으면 다음을 사용하여 lightdm을 재구성해 보십시오.
dpkg-reconfigure lightdm
재부팅하고 (희망적으로) 다시 로그인하십시오.
편집: 편집 중이라면 다음을 수행해야 합니다.chmod 1777 /tmp