一、先看问题
经过问题详情的查看, 发现攻击者是在etc目录下植入一个XX和XXs的文件。
二、解决方法
1.首先查看文件权限 :ll | grep XX
2.执行 :rm -r XX 成功删除!但是删除XXs这个文件时,提示不允许操作,并且XXs的所有权限是有的。
3.查看文件是否被禁止操作:lsattr XXs
4. 删除 ia 参数 :chattr ia XXs ,提示没有权限。
5.进入/usr/bin目录,使用:ls -lh chattr;lsattr chattr,查看chattr 命令的权限。
6.执行以下操作
[root@]# cp chattr chattr.new
[root@]# chmod a+x chattr.new
[root@]# chattr.new -i chattr
[root@]# rm -f chattr.new
[root@]# chmod a+x chattr
7.再次查看 chattr 命令的权限。
8.回到zzh文件所在目录/etc,使用:chatter -ia XXs,删除 ia 参数。然后使用:rm -rf XXs删除XXs文件。
补充关于权限:i和a的说明
i:不可修改权限 例:chattr u+i filename 则filename文件就不可修改,无论任何人,如果需要修改需要先删除i权限,用chattr -i filename就可以了。查看文件是否设置了i权限用lsattr filename。
a:只追加权限, 对于日志系统很好用,这个权限让目标文件只能追加,不能删除,而且不能通过编辑器追加。可以使用chattr +a设置追加权限。
lsattr命令用于显示文件属性,用chattr执行改变文件或目录的属性,可执行lsattr指令查询其属性
chattr命令用于改变文件属性
chattr 和 chmod区别:
chmod :这个是用于设置文件的用户权限!共10 位!
chattr:这个是文件的属性
