阿里雲的伺服器上被植入了挖礦程式,有幾個檔案無法刪除,查詢了之後,了解到chattr命令可以修改檔案的隱藏屬性,達到無法刪除檔案的目的。
可以通過lsattr filename
來檢視檔案的隱藏屬性,類似於以下這種。
i就是不可修改的隱藏屬性,可以通過chattr -i filename
來修改,以此就可以對檔案進行刪除了。
但是,在伺服器被入侵時,chattr檔案被替換了,chattr命令也就失效了。並且這個檔案還被設定了隱藏屬性i,導致無法修改,無法刪除。也就無法通過e2fsprogs來重新安裝chattr命令。
最後,通過查詢chattr源**,將其編譯執行,修改掉要刪除檔案的隱藏屬性,就可以刪除了。最後,把編譯好的檔案複製到/usr/bin目錄下,就可以恢復使用了。
EXE被惡意篡改
exe被惡意篡改 對於exe開啟方式被木馬或病毒修改,無法開啟任何可執行檔案的解決辦法。方案一 先將regedit.exe改名為regedit.com或regedit.scr。執行regedit.com,找到hkey classes root exefile shell open command鍵值...
被篡改的daemon
ecs伺服器的cpu總是被init用掉30 左右,而且可以看到整個系統的sy佔比相當之高。首先,init程序作為linux系統所有程序的父程序,負責系統的啟動過程。這個程序使用cpu資源,我們第乙個需要問自己的問題是,這個程序到底在做什麼。使用strace可以掛到正在執行的程序上,追蹤程序的系統呼叫...
chattr 命令用法
限制檔案唯讀 chattr i c2.jsp a 追加 s sync,一旦應用程式對這個檔案執行了寫操作,使系統立刻把修改的結果寫到磁碟 i immutable,系統不允許對這個檔案進行任何的修改。如果目錄具有這個屬性,那麼任何的程序只能修改目錄之下的檔案,不允許建立和刪除檔案。d 檢查壓縮檔案中的...