😄 有幸,遇到过几次挖矿病毒,Linux 主机的关键命令都被删除替换,病毒文件被加了 i 只读权限,变成只读文件,root 无法修改删除!😦
本文就讲讲,怎么把这些加了锁的只读文件去 i 取消只读!
chattr 就是这个命令,设置只读加 i,万恶的挖矿程序必然会删除这个命令,因此需要去同版本的其他正常主机拷贝,否则,无法使用该命令!
1、+i:设置文件只读
chattr+i文件
一旦使用 chattr 成为只读文件,就不会有其他操作在文件上取得成功,root 也不行,老天爷来了都没用!
2、-i:取消文件只读
chattr-i文件
3、-R +i:设置文件目录只读
chattr-R+i文件目录
4、-R -i:取消文件目录只读
chattr-i文件目录
5、+a:追加文件内容,无法删除编辑
chattr+i文件
现在可以附加内容到文件中,但是不能编辑文件中的现有信息,也不能删除文件。
6、-a:取消文件追加和只读
chattr-a文件
-ai 和 +ai 也可以同时使用!
到目前为止,为了检查是否成功执行了 chattr 目录,我们尝试执行一些操作,如编辑文件或删除它。但是有一个单独的命令,可以让您轻松地查看文件是否有某个属性。这个命令是 lsattr 。
lsattr文件
既然,都已经通过上面的命令将这些病毒文件给取消只读了,接下来,直接用 rm -rf 删掉他们,记住,不要删错咯!
