当前位置:首页 > IT技术 > 系统服务 > 正文

Linux 挖矿程序把病毒文件锁住了,删不了,怎么破?(chattr)
2021-09-13 10:35:55

???? 有幸,遇到过几次挖矿病毒,Linux 主机的关键命令都被删除替换,病毒文件被加了 i 只读权限,变成只读文件,root 无法修改删除!????

本文就讲讲,怎么把这些加了锁的只读文件去 i 取消只读!

chattr 就是这个命令,设置只读加 i,万恶的挖矿程序必然会删除这个命令,因此需要去同版本的其他正常主机拷贝,否则,无法使用该命令!

1、+i:设置文件只读

chattr +i 文件

一旦使用 chattr 成为只读文件,就不会有其他操作在文件上取得成功,root 也不行,老天爷来了都没用!

2、-i:取消文件只读

chattr -i 文件

3、-R +i:设置文件目录只读

chattr -R +i 文件目录

4、-R -i:取消文件目录只读

chattr -i 文件目录

5、+a:追加文件内容,无法删除编辑

chattr +i 文件

现在可以附加内容到文件中,但是不能编辑文件中的现有信息,也不能删除文件。

6、-a:取消文件追加和只读

chattr -a 文件

-ai+ai 也可以同时使用!

到目前为止,为了检查是否成功执行了 chattr 目录,我们尝试执行一些操作,如编辑文件或删除它。但是有一个单独的命令,可以让您轻松地查看文件是否有某个属性。这个命令是 lsattr

lsattr 文件

既然,都已经通过上面的命令将这些病毒文件给取消只读了,接下来,直接用 rm -rf 删掉他们,记住,不要删错咯!


本次分享到此结束啦~

如果觉得文章对你有帮助,点赞、收藏、关注、评论,一键四连支持,你的支持就是我创作最大的动力。

❤️ 技术交流可以 关注公众号:Lucifer三思而后行 ❤️

本文摘自 :https://blog.51cto.com/l

开通会员,享受整站包年服务立即开通 >