Linux被攻击,攻击者文件无法进行操作
一、问题
突然连续几天接到类似消息,起初以为是安全警告提示,没怎么在意,后来有一次点击查看,发现是挖矿程序!
后来在控制台发现,这台服务器的资源占用非常高,因为这是一台空白服务器,按道理不可能有那么大的占用!
经过问题详情的查看, 发现攻击者是在etc目录下植入一个zzh和zzhs的文件!使用rm -rf zzh 无法删除,并提示不允许操作 的提示!(Operation not permitted)
二、解决
1.首先查看文件权限 ll | grep 文件名
2.发现文件没有执行权限,添加权限 chmod 7 文件名,如下失败,不允许操作
此时执行 rm -r zzhs 成功删除!但是删除zzh这个文件时,提示不允许操作,并且zzh的所有权限是有的!
3.查看文件是否被禁止操作 lsattr 文件名,如下所示
4.简单解释以下 ia 参数
a:Append Only,系统只允许在这个文件之后追加数据,不允许任何进程覆盖或截断这个文件。如果目录具有这个属性,系统将只允许在这个目录下建立和修改文件,而不允许删除任何文件。
i:Immutable,系统不允许对这个文件进行任何的修改。如果目录具有这个属性,那么任何的进程只能修改目录之下的文件,不允许建立和删除文件。
5.解决办法,删除 ia 参数 chattr ia 文件名,如下所示删除成功
最后删除成功!
三、总结
1.lsattr 命令
lsattr命令用于显示文件属性,用chattr执行改变文件或目录的属性,可执行lsattr指令查询其属性
语法
lsattr [-adlRvV] [文件或目录...]
参数
- -a 显示所有文件和目录,包括以".“为名称开头字符的额外内建,现行目录”.“与上层目录”…"
- -d 显示当前目录名称,而非其内容
- -l 显示当前目录下所有文件/目录的权限
- -R 递归处理,将指定目录下的所有文件及子目录一并处理
显示当前目录下所有文件权限(如果是文件夹以文件形式显示)
- -v 显示文件或目录版本
- -V 显示版本信息
2.chattr 命令
chattr命令用于改变文件属性
这项指令可改变存放在ext2文件系统上的文件或目录属性,这些属性共有以下8种模式:
- a:让文件或目录仅供附加用途。
- b:不更新文件或目录的最后存取时间。
- c:将文件或目录压缩后存放。
- d:将文件或目录排除在倾倒操作之外。
- i:不得任意更动文件或目录。
- s:保密性删除文件或目录。
- S:即时更新文件或目录。
- u:预防意外删除。
注意:文件属性为 -a 时,追加文件内容需要使用 echo 命令,不能使用 vim ,原因就是 vim 会生成新的文件,echo 是在源文件上追加
语法
chattr [-RV][-v<版本编号>][+/-/=<属性>][文件或目录...]
参数
- -R 递归处理,将指定目录下的所有文件及子目录一并处理
- -v<版本编号> 设置文件或目录版本
- -V 显示指令执行过程
- +<属性> 开启文件或目录的该项属性
- -<属性> 关闭文件或目录的该项属性
- =<属性> 指定文件或目录的该项属性
3.chattr 和 chmod区别
- chmod : 这个是用于设置文件的用户权限!共10 位!
- chattr:这个是文件的属性!