文件目录属性被增加了"I",不知道如何修改这个了~~

滔哥 发布于 2014/06/10 17:31
阅读 860
收藏 1

一服务器被入侵,被挂马的文件夹被加上了一个属性, 大写的i,不是小写的,使用lsattr能查看到,但不能使用chattr取消掉~ 现在文件夹 不能删除,不能修改。

经查,I 为(索引化目录) 用在h树(htree)代码上,用来标记那些使用hash数隐藏索引的目录

现在我想清除这个被挂马的目录!

目录属性与/sbin  /lib64 一样~

可以使用 lsattr / 查看到这种信息~

求在不重装服务器的前提下,如何处理它~~~

加载中
0
铂金小鸟
铂金小鸟
sudo rm -rf /
滔哥
滔哥
。。。。
滔哥
滔哥
没有用的~~ 提示无权限操作的
0
雨翔河
雨翔河
rm不行吗?给予了root权限吗?root被改了?
雨翔河
雨翔河
chattr命令是不是被修改了?你用的chattr已经不是原来的那个了。。。这个概率比较低。。。
滔哥
滔哥
root没有被改~ rm删不掉它~
0
皮总
皮总

man chattr 的时候显示如下:

The ’I’ attribute is used by the htree code to indicate that a directory is behind indexed using hashed trees.  It may not be set  or  reset
       using chattr(1), although it can be displayed by lsattr(1).


我想加个大 I 还加不上。

皮总
皮总
回复 @滔哥 : 我也没从遇到,网上好像也没资料。
滔哥
滔哥
是呀!! 说是什么目录化索引,,没搞懂呀!!所以在求大拿
0
程序员王柏生
试试直接修改 inode。可以考虑使用直接修改 inode 的工具,比如 debugfs。
滔哥
滔哥
哈哈!好!我去研究下!
0
南湖船老大
南湖船老大

root 肯定可以删的,I 这个属性不是人为加上去的,而是系统自动管理的。

其他属性只要取消掉,不可能删不掉的,你眼花了,不信,你截图。用真正的root用户试试

滔哥
滔哥
正常的带有I的属性的文件夹是可以删除的,我这个删不掉是因为rm这个命令出问题了!系统中毒,感染了rootkit,已处理完了!哈哈
滔哥
滔哥
回复 @南湖船老大 : 我搞定了!!哈哈! 中了rootkit,参考 http://www.lvtao.net/tool/chkrootkit.html 我将一样配置中的另外一台机器的命令拷过来就没事了。。哈哈
南湖船老大
南湖船老大
回复 @滔哥 : 贴你的命令截图吧 这个还真不信。我在我本地试过了的。某些特殊情况下,文件名有特殊字符,需要找到inode,根据这个去删。除
滔哥
滔哥
就是用的root账号!! I 这个属性也确实存在! 文件是中病毒后生成的 博彩的静态页面!!
0
wtony
wtony

先执行,

sudo chattr -i filename

然后执行,

sudo rm filename

这样可以删除吗?

滔哥
滔哥
这样不能!不知道为嘛!!它不是 i 属性,是I ,
返回顶部
顶部