Linux 无法删除文件。。。。求助

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

Distributions

› Ubuntu

› Fedora

› CentOS

中文资源站

› 网易开源镜像站

这是一个创建于 2044 天前的主题，其中的信息可能已经有所发展或是发生改变。

[root@localhost ~]# lsattr /etc/cron.d/root
---------------- /etc/cron.d/root
[root@localhost ~]# rm -rf /etc/cron.d/root
rm: cannot remove ‘/etc/cron.d/root ’: Permission denied

30 条回复 • 2019-05-13 11:25:48 +08:00

asilin

2019-04-23 18:08:37 +08:00

应该是被入侵了，执行下面的命令，看看哪些系统命令被修改了：
`for i in $(rpm -qa); do rpm -V $i |& grep bin;done`

rootww21

2019-04-23 18:19:24 +08:00

@asilin 执行结果是这样 -bash: S.5....T.: command not found
有什么异常啊

rootww21

2019-04-23 18:20:12 +08:00

@asilin 确实是入侵了但是 /etc/cron.d 目录下的文件删除不了

xabc

2019-04-23 18:24:46 +08:00 via iPhone

你需要 busybox

rootww21

2019-04-23 18:48:52 +08:00

@xabc 试过了也是提示没有权限啊

strry

2019-04-23 18:52:05 +08:00

ll 看一下

jackmod

2019-04-23 18:56:33 +08:00

关掉 selinux，用 busybox 改 mode 为 700 再删

实在不行就回滚快照吧……

elvodn

2019-04-23 18:58:08 +08:00

被入侵就别想着删删改改能恢复，把确认没被修改的有用数据移到新服务器后，这一台就重做系统吧

zbinlin

2019-04-23 19:12:48 +08:00

先试下：
chattr -i o
再删除试试

zbinlin

2019-04-23 19:14:36 +08:00

@zbinlin 搞错了 :)

Rworld

2019-04-23 19:20:34 +08:00

这么神奇？同等目录其他文件也不行吗？

rootww21

2019-04-23 19:26:52 +08:00

https://i.loli.net/2019/04/23/5cbef667525a3.png
就是这么神奇

rootww21

2019-04-23 19:33:10 +08:00

@jackmod
[root@localhost ~]# ./busybox chmod 700 /etc/cron.d/root
[root@localhost ~]# ./busybox rm -rf /etc/cron.d/root
rm: can't remove '/etc/cron.d/root': Permission denied

tesion99

2019-04-23 19:43:26 +08:00

看截图，是运行了 chattr -i 导致的吧，要弄清楚这个命令有什么作用再用啊
man chattr 看到的解释如下：
A file with the 'i' attribute cannot be modified: it cannot be deleted or renamed

zbinlin

2019-04-23 19:44:51 +08:00

@rootww21 你看下是不是 /etc/cron.d 目录设置了 immutable 了

rootww21

2019-04-23 19:55:07 +08:00

@zbinlin
之前不能创建文件现在可以了
[root@localhost cron.d]# lsattr /etc/cron.d/
---------------- /etc/cron.d/root
-------------e-- /etc/cron.d/0hourly
-------------e-- /etc/cron.d/1
-------------e-- /etc/cron.d/sysstat
删除提示变了
[root@localhost cron.d]# rm -rf root
rm: cannot remove ‘ root ’: Operation not permitted

rootww21

2019-04-23 19:55:42 +08:00

@tesion99 我那个不是去除 i 的属性吗？？

jadeity

2019-04-23 19:58:05 +08:00

同意八楼，把可信的有用的数据备份到新系统吧。

Acoffice

2019-04-23 20:00:07 +08:00 via Android

定时任务有啥异常吗？把异常点都贴出来啊

rootww21

2019-04-23 20:04:05 +08:00

对比后发现
----------I--e-- /etc
这个目录多了 I 属性怎么去掉

artandlol

2019-04-23 20:08:12 +08:00 via iPhone

第一件事不是用 fuser 吗

ievjai

2019-04-23 20:11:12 +08:00

这个我知道，最近才操作过。
chattr -i /etc/cron.d/root
rm -rfv /etc/cron.d/root

rootww21

2019-04-23 20:16:27 +08:00

好了解决了这件事因为 redis 被入侵阿里云安全组出问题导致所有端口暴露
万幸的是定时任务并没有执行，数据库 svn 都在
生产环境 redis 端口改了也加了密码
无法删除是因为 cron.d 文件夹 ai 特殊权限的问题
一开始光想着 cron.d 文件夹下的特殊权限了
感谢大家帮助

rootww21

2019-04-23 20:17:42 +08:00

本次服务器是测试服务器还好

liangzi

2019-04-23 20:20:53 +08:00 via Android

心惊肉跳的结束了。。。

xabc

2019-04-23 20:30:20 +08:00

@rootww21 老哥我还是给你安利 xabcloud.com 这种低级问题就不该出现

rootww21

2019-04-23 21:14:55 +08:00 via Android

@xabc 好的完了研究研究

fuxiuyin

2019-04-24 10:36:19 +08:00

第一反应居然是，会不会是 rm 程序被人换掉了。。。

rootww21

2019-04-24 10:40:19 +08:00

@fuxiuyin 最开始我就发现了命令都排查了 rm 确实换了不过我都换回来了

Strayer

2019-05-13 11:25:48 +08:00

可能你的删除命令被锁定了