今天服务器被入侵了,无限往未知的IP地址上传包,可以用iftop做流量监控。
此时在tmp文件夹发现.sh文件
[root@localhost tmp]# ls
bash clamav cron.d
root用户删除的时候不允许删除
[root@localhost tmp]# rm -rf bash
rm: 无法删除"bash": 不允许的操作
此时此文件已经被隐藏了,并且设置了权限,root用户不可删除和mv
lsattr 文件名 查看此文件属性
[root@localhost tmp]# lsattr bash
----ia-------e- bash
可以看到此文件有-i 和-a属性,此时我们只要将此属性删除掉即可
[root@localhost tmp]# lsattr bash
----ia-------e- bash
此时我们再次查看文件属性,发现-i -a 属性已经删除
----ia-------e- bash
下面是总的操作截图
下面是chatty和lsattr简介
转自:http://blog.chinaunix.net/uid-298599-id-2443100.html
通过命令 chattr,可以设置文件/文件夹的隐藏属性,来保证文件/文件夹的安全.其中比较重要的参数为i和a.这两个属性只有root用户才可以设置或清除.而通过命令 lsattr 可以查看这些属性.
i -- immutable
a -- append only
1. 文件的隐藏属性i测试
通过使用参数i,可以保证文件不被删除,重命名,硬链接,也不能被修改.就象把文件"冻"在了原地.下面是一些测试:
1.1 设置文件 test.txt 的隐藏属性
[root@localhost yuechaotian]# pwd /home/yuechaotian [root@localhost yuechaotian]# ll 总用量 8 drwx--x--x 3 root root 4096 12月 7 14:52 study dr-xr-xr-x 2 yuechaotian yuechaotian 4096 12月 9 22:33 test -rw-rw-rw- 1 yuechaotian yuechaot |