Linux 挖礦程序把病毒文件鎖住了，刪不了，怎么破？（chattr）
2021-09-13 10:35:55

???? 有幸，遇到過幾次挖礦病毒，Linux 主機的關(guān)鍵命令都被刪除替換，病毒文件被加了 i 只讀權(quán)限，變成只讀文件，root 無法修改刪除！????

本文就講講，怎么把這些加了鎖的只讀文件去 i 取消只讀！

chattr 就是這個命令，設(shè)置只讀加 i，萬惡的挖礦程序必然會刪除這個命令，因此需要去同版本的其他正常主機拷貝，否則，無法使用該命令！

1、+i：設(shè)置文件只讀

chattr +i 文件

一旦使用 chattr 成為只讀文件，就不會有其他操作在文件上取得成功，root 也不行，老天爺來了都沒用！

2、-i：取消文件只讀

chattr -i 文件

3、-R +i：設(shè)置文件目錄只讀

chattr -R +i 文件目錄

4、-R -i：取消文件目錄只讀

chattr -i 文件目錄

5、+a：追加文件內(nèi)容，無法刪除編輯

chattr +i 文件

現(xiàn)在可以附加內(nèi)容到文件中，但是不能編輯文件中的現(xiàn)有信息，也不能刪除文件。

6、-a：取消文件追加和只讀

chattr -a 文件

-ai 和 +ai 也可以同時使用！

到目前為止，為了檢查是否成功執(zhí)行了 chattr 目錄，我們嘗試執(zhí)行一些操作，如編輯文件或刪除它。但是有一個單獨的命令，可以讓您輕松地查看文件是否有某個屬性。這個命令是 lsattr 。

lsattr 文件

既然，都已經(jīng)通過上面的命令將這些病毒文件給取消只讀了，接下來，直接用 rm -rf 刪掉他們，記住，不要刪錯咯！

本次分享到此結(jié)束啦~

如果覺得文章對你有幫助，點贊、收藏、關(guān)注、評論，一鍵四連支持，你的支持就是我創(chuàng)作最大的動力。

?? 技術(shù)交流可以 關(guān)注公眾號：Lucifer三思而后行 ??