當(dāng)前位置:首頁(yè) > IT技術(shù) > 系統(tǒng)服務(wù) > 正文

Linux 挖礦程序把病毒文件鎖住了,刪不了,怎么破?(chattr)
2021-09-13 10:35:55

???? 有幸,遇到過(guò)幾次挖礦病毒,Linux 主機(jī)的關(guān)鍵命令都被刪除替換,病毒文件被加了 i 只讀權(quán)限,變成只讀文件,root 無(wú)法修改刪除!????

本文就講講,怎么把這些加了鎖的只讀文件去 i 取消只讀!

chattr 就是這個(gè)命令,設(shè)置只讀加 i,萬(wàn)惡的挖礦程序必然會(huì)刪除這個(gè)命令,因此需要去同版本的其他正常主機(jī)拷貝,否則,無(wú)法使用該命令!

1、+i:設(shè)置文件只讀

chattr +i 文件

一旦使用 chattr 成為只讀文件,就不會(huì)有其他操作在文件上取得成功,root 也不行,老天爺來(lái)了都沒(méi)用!

2、-i:取消文件只讀

chattr -i 文件

3、-R +i:設(shè)置文件目錄只讀

chattr -R +i 文件目錄

4、-R -i:取消文件目錄只讀

chattr -i 文件目錄

5、+a:追加文件內(nèi)容,無(wú)法刪除編輯

chattr +i 文件

現(xiàn)在可以附加內(nèi)容到文件中,但是不能編輯文件中的現(xiàn)有信息,也不能刪除文件。

6、-a:取消文件追加和只讀

chattr -a 文件

-ai+ai 也可以同時(shí)使用!

到目前為止,為了檢查是否成功執(zhí)行了 chattr 目錄,我們嘗試執(zhí)行一些操作,如編輯文件或刪除它。但是有一個(gè)單獨(dú)的命令,可以讓您輕松地查看文件是否有某個(gè)屬性。這個(gè)命令是 lsattr

lsattr 文件

既然,都已經(jīng)通過(guò)上面的命令將這些病毒文件給取消只讀了,接下來(lái),直接用 rm -rf 刪掉他們,記住,不要?jiǎng)h錯(cuò)咯!


本次分享到此結(jié)束啦~

如果覺(jué)得文章對(duì)你有幫助,點(diǎn)贊、收藏、關(guān)注、評(píng)論,一鍵四連支持,你的支持就是我創(chuàng)作最大的動(dòng)力。

?? 技術(shù)交流可以 關(guān)注公眾號(hào):Lucifer三思而后行 ??

本文摘自 :https://blog.51cto.com/l

開(kāi)通會(huì)員,享受整站包年服務(wù)立即開(kāi)通 >