V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
This topic created in 2571 days ago, the information mentioned may be changed or developed.
[root@localhost ~]# lsattr /etc/cron.d/root
---------------- /etc/cron.d/root
[root@localhost ~]# rm -rf /etc/cron.d/root
rm: cannot remove ‘/etc/cron.d/root ’: Permission denied
---------------- /etc/cron.d/root
[root@localhost ~]# rm -rf /etc/cron.d/root
rm: cannot remove ‘/etc/cron.d/root ’: Permission denied
 |
1
asilin Apr 23, 2019
应该是被入侵了,执行下面的命令,看看哪些系统命令被修改了:
`for i in $(rpm -qa); do rpm -V $i |& grep bin;done` |
 |
4
xabc Apr 23, 2019 via iPhone
你需要 busybox
|
 |
6
strry Apr 23, 2019
ll 看一下
|
 |
7
jackmod Apr 23, 2019
关掉 selinux,用 busybox 改 mode 为 700 再删
实在不行就回滚快照吧…… |
 |
8
elvodn Apr 23, 2019
被入侵就别想着删删改改能恢复,把确认没被修改的有用数据移到新服务器后,这一台就重做系统吧
|
 |
9
zbinlin Apr 23, 2019
先试下:
chattr -i o 再删除试试 |
 |
11
lI7RfFpJ007NWnY1 Apr 23, 2019
这么神奇?同等目录 其他文件也不行吗?
|
 |
12
rootww21 OP |
|
13
rootww21 OP @jackmod
[root@localhost ~]# ./busybox chmod 700 /etc/cron.d/root [root@localhost ~]# ./busybox rm -rf /etc/cron.d/root rm: can't remove '/etc/cron.d/root': Permission denied |
 |
14
tesion99 Apr 23, 2019
看截图,是运行了 chattr -i 导致的吧,要弄清楚这个命令有什么作用再用啊
man chattr 看到的解释如下: A file with the 'i' attribute cannot be modified: it cannot be deleted or renamed |
|
16
rootww21 OP @zbinlin
之前不能创建文件 现在可以了 [root@localhost cron.d]# lsattr /etc/cron.d/ ---------------- /etc/cron.d/root -------------e-- /etc/cron.d/0hourly -------------e-- /etc/cron.d/1 -------------e-- /etc/cron.d/sysstat 删除提示变了 [root@localhost cron.d]# rm -rf root rm: cannot remove ‘ root ’: Operation not permitted |
 |
18
jadeity Apr 23, 2019
同意八楼,把可信的有用的数据备份到新系统吧。
|
 |
19
Acoffice Apr 23, 2019 via Android
定时任务有啥异常吗?把异常点都贴出来啊
|
|
20
rootww21 OP 对比后发现
----------I--e-- /etc 这个目录多了 I 属性 怎么去掉 |
 |
21
artandlol Apr 23, 2019 via iPhone
第一件事不是用 fuser 吗
|
 |
22
ievjai Apr 23, 2019
这个我知道, 最近才操作过。
chattr -i /etc/cron.d/root rm -rfv /etc/cron.d/root |
|
23
rootww21 OP 好了 解决了 这件事 因为 redis 被入侵 阿里云安全组出问题导致所有端口暴露
万幸的是定时任务并没有执行,数据库 svn 都在 生产环境 redis 端口改了也加了密码 无法删除是因为 cron.d 文件夹 ai 特殊权限的问题 一开始光想着 cron.d 文件夹下的特殊权限了 感谢大家帮助 |
|
24
rootww21 OP 本次服务器是测试服务器 还好
|
 |
25
liangzi Apr 23, 2019 via Android
心惊肉跳的结束了。。。
|
|
26
xabc Apr 23, 2019
@rootww21 老哥我还是给你安利 xabcloud.com 这种低级问题就不该出现
|
 |
28
fuxiuyin Apr 24, 2019
第一反应居然是,会不会是 rm 程序被人换掉了。。。
|
 |
30
Strayer May 13, 2019
可能你的删除命令被锁定了
|
Select Language