當前位置:首頁 > IT技術(shù) > 系統(tǒng)服務 > 正文

Linux 挖礦程序把病毒文件鎖住了,刪不了,怎么破?(chattr)
2021-09-13 10:35:55

???? 有幸,遇到過幾次挖礦病毒,Linux 主機的關(guān)鍵命令都被刪除替換,病毒文件被加了 i 只讀權(quán)限,變成只讀文件,root 無法修改刪除!????

本文就講講,怎么把這些加了鎖的只讀文件去 i 取消只讀!

chattr 就是這個命令,設(shè)置只讀加 i,萬惡的挖礦程序必然會刪除這個命令,因此需要去同版本的其他正常主機拷貝,否則,無法使用該命令!

1、+i:設(shè)置文件只讀

chattr +i 文件

一旦使用 chattr 成為只讀文件,就不會有其他操作在文件上取得成功,root 也不行,老天爺來了都沒用!

2、-i:取消文件只讀

chattr -i 文件

3、-R +i:設(shè)置文件目錄只讀

chattr -R +i 文件目錄

4、-R -i:取消文件目錄只讀

chattr -i 文件目錄

5、+a:追加文件內(nèi)容,無法刪除編輯

chattr +i 文件

現(xiàn)在可以附加內(nèi)容到文件中,但是不能編輯文件中的現(xiàn)有信息,也不能刪除文件。

6、-a:取消文件追加和只讀

chattr -a 文件

-ai+ai 也可以同時使用!

到目前為止,為了檢查是否成功執(zhí)行了 chattr 目錄,我們嘗試執(zhí)行一些操作,如編輯文件或刪除它。但是有一個單獨的命令,可以讓您輕松地查看文件是否有某個屬性。這個命令是 lsattr 。

lsattr 文件

既然,都已經(jīng)通過上面的命令將這些病毒文件給取消只讀了,接下來,直接用 rm -rf 刪掉他們,記住,不要刪錯咯!


本次分享到此結(jié)束啦~

如果覺得文章對你有幫助,點贊、收藏、關(guān)注、評論,一鍵四連支持,你的支持就是我創(chuàng)作最大的動力。

?? 技術(shù)交流可以 關(guān)注公眾號:Lucifer三思而后行 ??

本文摘自 :https://blog.51cto.com/l

開通會員,享受整站包年服務立即開通 >