Linux 无法删除文件。。。。求助 - V2EX
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
rootww21
V2EX    Linux

Linux 无法删除文件。。。。求助

  •  
  •   rootww21 2019-04-23 17:19:22 +08:00 6874 次点击
    这是一个创建于 2371 天前的主题,其中的信息可能已经有所发展或是发生改变。
    [root@localhost ~]# lsattr /etc/cron.d/root
    ---------------- /etc/cron.d/root
    [root@localhost ~]# rm -rf /etc/cron.d/root
    rm: cannot remove ‘/etc/cron.d/root ’: Permission denied
    30 条回复    2019-05-13 11:25:48 +08:00
    asilin
        1
    asilin  
       2019-04-23 18:08:37 +08:00
    应该是被入侵了,执行下面的命令,看看哪些系统命令被修改了:
    `for i in $(rpm -qa); do rpm -V $i |& grep bin;done`
    rootww21
        2
    rootww21  
    OP
       2019-04-23 18:19:24 +08:00
    @asilin 执行结果是这样 -bash: S.5....T.: command not found
    有什么异常啊
    rootww21
        3
    rootww21  
    OP
       2019-04-23 18:20:12 +08:00
    @asilin 确实是入侵了 但是 /etc/cron.d 目录下的文件删除不了
    xabc
        4
    xabc  
       2019-04-23 18:24:46 +08:00 via iPhone
    你需要 busybox
    rootww21
        5
    rootww21  
    OP
       2019-04-23 18:48:52 +08:00
    @xabc 试过了 也是提示没有权限啊
    strry
        6
    strry  
       2019-04-23 18:52:05 +08:00
    ll 看一下
    jackmod
       
    jackmod  
       2019-04-23 18:56:33 +08:00
    关掉 selinux,用 busybox 改 mode 为 700 再删

    实在不行就回滚快照吧……
    elvodn
        8
    elvodn  
       2019-04-23 18:58:08 +08:00
    被入侵就别想着删删改改能恢复,把确认没被修改的有用数据移到新服务器后,这一台就重做系统吧
    zbinlin
        9
    zbinlin  
       2019-04-23 19:12:48 +08:00
    先试下:
    chattr -i o
    再删除试试
    zbinlin
        10
    zbinlin  
       2019-04-23 19:14:36 +08:00
    @zbinlin 搞错了 :)
    lI7RfFpJ007NWnY1
        11
    lI7RfFpJ007NWnY1  
       2019-04-23 19:20:34 +08:00
    这么神奇?同等目录 其他文件也不行吗?
    rootww21
        12
    rootww21  
    OP
       2019-04-23 19:26:52 +08:00
    rootww21
        13
    rootww21  
    OP
       2019-04-23 19:33:10 +08:00
    @jackmod
    [root@localhost ~]# ./busybox chmod 700 /etc/cron.d/root
    [root@localhost ~]# ./busybox rm -rf /etc/cron.d/root
    rm: can't remove '/etc/cron.d/root': Permission denied
    tesion99
        14
    tesion99  
       2019-04-23 19:43:26 +08:00
    看截图,是运行了 chattr -i 导致的吧,要弄清楚这个命令有什么作用再用啊
    man chattr 看到的解释如下:
    A file with the 'i' attribute cannot be modified: it cannot be deleted or renamed
    zbinlin
        15
    zbinlin  
       2019-04-23 19:44:51 +08:00
    @rootww21 你看下是不是 /etc/cron.d 目录设置了 immutable 了
    rootww21
        16
    rootww21  
    OP
       2019-04-23 19:55:07 +08:00
    @zbinlin
    之前不能创建文件 现在可以了
    [root@localhost cron.d]# lsattr /etc/cron.d/
    ---------------- /etc/cron.d/root
    -------------e-- /etc/cron.d/0hourly
    -------------e-- /etc/cron.d/1
    -------------e-- /etc/cron.d/sysstat
    删除提示变了
    [root@localhost cron.d]# rm -rf root
    rm: cannot remove ‘ root ’: Operation not permitted
    rootww21
        17
    rootww21  
    OP
       2019-04-23 19:55:42 +08:00
    @tesion99 我那个不是去除 i 的属性吗??
    jadeity
        18
    jadeity  
       2019-04-23 19:58:05 +08:00
    同意八楼,把可信的有用的数据备份到新系统吧。
    Acoffice
        19
    Acoffice  
       2019-04-23 20:00:07 +08:00 via Android
    定时任务有啥异常吗?把异常点都贴出来啊
    rootww21
        20
    rootww21  
    OP
       2019-04-23 20:04:05 +08:00
    对比后发现
    ----------I--e-- /etc
    这个目录多了 I 属性 怎么去掉
    artandlol
        21
    artandlol  
       2019-04-23 20:08:12 +08:00 via iPhone
    第一件事不是用 fuser 吗
    ievjai
        22
    ievjai  
       2019-04-23 20:11:12 +08:00
    这个我知道, 最近才操作过。
    chattr -i /etc/cron.d/root
    rm -rfv /etc/cron.d/root
    rootww21
        23
    rootww21  
    OP
       2019-04-23 20:16:27 +08:00
    好了 解决了 这件事 因为 redis 被入侵 阿里云安全组出问题导致所有端口暴露
    万幸的是定时任务并没有执行,数据库 svn 都在
    生产环境 redis 端口改了也加了密码
    无法删除是因为 cron.d 文件夹 ai 特殊权限的问题
    一开始光想着 cron.d 文件夹下的特殊权限了
    感谢大家帮助
    rootww21
        24
    rootww21  
    OP
       2019-04-23 20:17:42 +08:00
    本次服务器是测试服务器 还好
    liangzi
        25
    liangzi  
       2019-04-23 20:20:53 +08:00 via Android
    心惊肉跳的结束了。。。
    xabc
        26
    xabc  
       2019-04-23 20:30:20 +08:00
    @rootww21 老哥我还是给你安利 xabcloud.com 这种低级问题就不该出现
    rootww21
        27
    rootww21  
    OP
       2019-04-23 21:14:55 +08:00 via Android
    @xabc 好的 完了研究研究
    fuxiuyin
        28
    fuxiuyin  
       2019-04-24 10:36:19 +08:00
    第一反应居然是,会不会是 rm 程序被人换掉了。。。
    rootww21
        29
    rootww21  
    OP
       2019-04-24 10:40:19 +08:00
    @fuxiuyin 最开始我就发现了 命令都排查了 rm 确实换了 不过我都换回来了
    Strayer
        30
    Strayer  
       2019-05-13 11:25:48 +08:00
    可能你的删除命令被锁定了
    关于     帮助文档     自助推广系统     博客     API     FAQ     Solana     2763 人在线   最高记录 6679       Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 28ms UTC 13:04 PVG 21:04 LAX 06:04 JFK 09:04
    Do have faith in what you're doing.
    ubao msn snddm index pchome yahoo rakuten mypaper meadowduck bidyahoo youbao zxmzxm asda bnvcg cvbfg dfscv mmhjk xxddc yybgb zznbn ccubao uaitu acv GXCV ET GDG YH FG BCVB FJFH CBRE CBC GDG ET54 WRWR RWER WREW WRWER RWER SDG EW SF DSFSF fbbs ubao fhd dfg ewr dg df ewwr ewwr et ruyut utut dfg fgd gdfgt etg dfgt dfgd ert4 gd fgg wr 235 wer3 we vsdf sdf gdf ert xcv sdf rwer hfd dfg cvb rwf afb dfh jgh bmn lgh rty gfds cxv xcv xcs vdas fdf fgd cv sdf tert sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf shasha9178 shasha9178 shasha9178 shasha9178 shasha9178 liflif2 liflif2 liflif2 liflif2 liflif2 liblib3 liblib3 liblib3 liblib3 liblib3 zhazha444 zhazha444 zhazha444 zhazha444 zhazha444 dende5 dende denden denden2 denden21 fenfen9 fenf619 fen619 fenfe9 fe619 sdf sdf sdf sdf sdf zhazh90 zhazh0 zhaa50 zha90 zh590 zho zhoz zhozh zhozho zhozho2 lislis lls95 lili95 lils5 liss9 sdf0ty987 sdft876 sdft9876 sdf09876 sd0t9876 sdf0ty98 sdf0976 sdf0ty986 sdf0ty96 sdf0t76 sdf0876 df0ty98 sf0t876 sd0ty76 sdy76 sdf76 sdf0t76 sdf0ty9 sdf0ty98 sdf0ty987 sdf0ty98 sdf6676 sdf876 sd876 sd876 sdf6 sdf6 sdf9876 sdf0t sdf06 sdf0ty9776 sdf0ty9776 sdf0ty76 sdf8876 sdf0t sd6 sdf06 s688876 sd688 sdf86