阿里云的服务器上被植入了挖矿程序,有几个文件无法删除,查找了之后,了解到chattr命令可以修改文件的隐藏属性,达到无法删除文件的目的。
可以通过 lsattr filename
来查看文件的隐藏属性,类似于以下这种。
i就是不可修改的隐藏属性,可以通过chattr -i filename
来修改,以此就可以对文件进行删除了。
但是,在服务器被入侵时,chattr文件被替换了,chattr命令也就失效了。并且这个文件还被设置了隐藏属性i,导致无法修改,无法删除。也就无法通过e2fsprogs来重新安装chattr命令。
最后,通过查找chattr源代码,将其编译运行,修改掉要删除文件的隐藏属性,就可以删除了。最后,把编译好的文件复制到/usr/bin目录下,就可以恢复使用了。