V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
rootww21
V2EX  ›  Linux

Linux 无法删除文件。。。。求助

  •  
  •   rootww21 · 2019-04-23 17:19:22 +08:00 · 6463 次点击
    这是一个创建于 2076 天前的主题,其中的信息可能已经有所发展或是发生改变。
    [root@localhost ~]# lsattr /etc/cron.d/root
    ---------------- /etc/cron.d/root
    [root@localhost ~]# rm -rf /etc/cron.d/root
    rm: cannot remove ‘/etc/cron.d/root ’: Permission denied
    30 条回复    2019-05-13 11:25:48 +08:00
    asilin
        1
    asilin  
       2019-04-23 18:08:37 +08:00
    应该是被入侵了,执行下面的命令,看看哪些系统命令被修改了:
    `for i in $(rpm -qa); do rpm -V $i |& grep bin;done`
    rootww21
        2
    rootww21  
    OP
       2019-04-23 18:19:24 +08:00
    @asilin 执行结果是这样 -bash: S.5....T.: command not found
    有什么异常啊
    rootww21
        3
    rootww21  
    OP
       2019-04-23 18:20:12 +08:00
    @asilin 确实是入侵了 但是 /etc/cron.d 目录下的文件删除不了
    xabc
        4
    xabc  
       2019-04-23 18:24:46 +08:00 via iPhone
    你需要 busybox
    rootww21
        5
    rootww21  
    OP
       2019-04-23 18:48:52 +08:00
    @xabc 试过了 也是提示没有权限啊
    strry
        6
    strry  
       2019-04-23 18:52:05 +08:00
    ll 看一下
    jackmod
        7
    jackmod  
       2019-04-23 18:56:33 +08:00
    关掉 selinux,用 busybox 改 mode 为 700 再删

    实在不行就回滚快照吧……
    elvodn
        8
    elvodn  
       2019-04-23 18:58:08 +08:00
    被入侵就别想着删删改改能恢复,把确认没被修改的有用数据移到新服务器后,这一台就重做系统吧
    zbinlin
        9
    zbinlin  
       2019-04-23 19:12:48 +08:00
    先试下:
    chattr -i o
    再删除试试
    zbinlin
        10
    zbinlin  
       2019-04-23 19:14:36 +08:00
    @zbinlin 搞错了 :)
    lI7RfFpJ007NWnY1
        11
    lI7RfFpJ007NWnY1  
       2019-04-23 19:20:34 +08:00
    这么神奇?同等目录 其他文件也不行吗?
    rootww21
        12
    rootww21  
    OP
       2019-04-23 19:26:52 +08:00
    rootww21
        13
    rootww21  
    OP
       2019-04-23 19:33:10 +08:00
    @jackmod
    [root@localhost ~]# ./busybox chmod 700 /etc/cron.d/root
    [root@localhost ~]# ./busybox rm -rf /etc/cron.d/root
    rm: can't remove '/etc/cron.d/root': Permission denied
    tesion99
        14
    tesion99  
       2019-04-23 19:43:26 +08:00
    看截图,是运行了 chattr -i 导致的吧,要弄清楚这个命令有什么作用再用啊
    man chattr 看到的解释如下:
    A file with the 'i' attribute cannot be modified: it cannot be deleted or renamed
    zbinlin
        15
    zbinlin  
       2019-04-23 19:44:51 +08:00
    @rootww21 你看下是不是 /etc/cron.d 目录设置了 immutable 了
    rootww21
        16
    rootww21  
    OP
       2019-04-23 19:55:07 +08:00
    @zbinlin
    之前不能创建文件 现在可以了
    [root@localhost cron.d]# lsattr /etc/cron.d/
    ---------------- /etc/cron.d/root
    -------------e-- /etc/cron.d/0hourly
    -------------e-- /etc/cron.d/1
    -------------e-- /etc/cron.d/sysstat
    删除提示变了
    [root@localhost cron.d]# rm -rf root
    rm: cannot remove ‘ root ’: Operation not permitted
    rootww21
        17
    rootww21  
    OP
       2019-04-23 19:55:42 +08:00
    @tesion99 我那个不是去除 i 的属性吗??
    jadeity
        18
    jadeity  
       2019-04-23 19:58:05 +08:00
    同意八楼,把可信的有用的数据备份到新系统吧。
    Acoffice
        19
    Acoffice  
       2019-04-23 20:00:07 +08:00 via Android
    定时任务有啥异常吗?把异常点都贴出来啊
    rootww21
        20
    rootww21  
    OP
       2019-04-23 20:04:05 +08:00
    对比后发现
    ----------I--e-- /etc
    这个目录多了 I 属性 怎么去掉
    artandlol
        21
    artandlol  
       2019-04-23 20:08:12 +08:00 via iPhone
    第一件事不是用 fuser 吗
    ievjai
        22
    ievjai  
       2019-04-23 20:11:12 +08:00
    这个我知道, 最近才操作过。
    chattr -i /etc/cron.d/root
    rm -rfv /etc/cron.d/root
    rootww21
        23
    rootww21  
    OP
       2019-04-23 20:16:27 +08:00
    好了 解决了 这件事 因为 redis 被入侵 阿里云安全组出问题导致所有端口暴露
    万幸的是定时任务并没有执行,数据库 svn 都在
    生产环境 redis 端口改了也加了密码
    无法删除是因为 cron.d 文件夹 ai 特殊权限的问题
    一开始光想着 cron.d 文件夹下的特殊权限了
    感谢大家帮助
    rootww21
        24
    rootww21  
    OP
       2019-04-23 20:17:42 +08:00
    本次服务器是测试服务器 还好
    liangzi
        25
    liangzi  
       2019-04-23 20:20:53 +08:00 via Android
    心惊肉跳的结束了。。。
    xabc
        26
    xabc  
       2019-04-23 20:30:20 +08:00
    @rootww21 老哥我还是给你安利 xabcloud.com 这种低级问题就不该出现
    rootww21
        27
    rootww21  
    OP
       2019-04-23 21:14:55 +08:00 via Android
    @xabc 好的 完了研究研究
    fuxiuyin
        28
    fuxiuyin  
       2019-04-24 10:36:19 +08:00
    第一反应居然是,会不会是 rm 程序被人换掉了。。。
    rootww21
        29
    rootww21  
    OP
       2019-04-24 10:40:19 +08:00
    @fuxiuyin 最开始我就发现了 命令都排查了 rm 确实换了 不过我都换回来了
    Strayer
        30
    Strayer  
       2019-05-13 11:25:48 +08:00
    可能你的删除命令被锁定了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2771 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 10:03 · PVG 18:03 · LAX 02:03 · JFK 05:03
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.