Linux 挖矿程序把病毒文件锁住了,删不了,怎么破?(chattr)

2,236 阅读2分钟

小知识,大挑战!本文正在参与“程序员必备小知识”创作活动。

😄 有幸,遇到过几次挖矿病毒,Linux 主机的关键命令都被删除替换,病毒文件被加了 i 只读权限,变成只读文件,root 无法修改删除!😦

本文就讲讲,怎么把这些加了锁的只读文件去 i 取消只读!

chattr 就是这个命令,设置只读加 i,万恶的挖矿程序必然会删除这个命令,因此需要去同版本的其他正常主机拷贝,否则,无法使用该命令!

1、+i:设置文件只读

chattr +i 文件

一旦使用 chattr 成为只读文件,就不会有其他操作在文件上取得成功,root 也不行,老天爷来了都没用!

2、-i:取消文件只读

chattr -i 文件

3、-R +i:设置文件目录只读

chattr -R +i 文件目录

4、-R -i:取消文件目录只读

chattr -i 文件目录

5、+a:追加文件内容,无法删除编辑

chattr +i 文件

现在可以附加内容到文件中,但是不能编辑文件中的现有信息,也不能删除文件。

6、-a:取消文件追加和只读

chattr -a 文件

-ai+ai 也可以同时使用!

到目前为止,为了检查是否成功执行了 chattr 目录,我们尝试执行一些操作,如编辑文件或删除它。但是有一个单独的命令,可以让您轻松地查看文件是否有某个属性。这个命令是 lsattr

lsattr 文件

既然,都已经通过上面的命令将这些病毒文件给取消只读了,接下来,直接用 rm -rf 删掉他们,记住,不要删错咯!


本次分享到此结束啦~

如果觉得文章对你有帮助,点赞、收藏、关注、评论,一键四连支持,你的支持就是我创作最大的动力。

❤️ 技术交流可以 关注公众号:Lucifer三思而后行 ❤️