求助,一个很牛逼的 Linux 文件无法做任何修改操作

2019-01-08 11:54:04 +08:00
 phpchen
一个 dedecms 的网站,被黑之后,index.html 变成只读,而且无法修改,目前想删掉这个文件
已经尝试过 chmod rm mv 等命令,都无法修改他
命令操作的时候,文件的修改时间会更新,但文件没有发生改变
一些命令之后辅助信息
ll
-r--r--r-- 1 www www 70214 Jan 8 11:52 index.html

lsattr index.html
-------------e-- index.html


ls -lZ index.html
-r--r--r-- www www ? index.html
4134 次点击
所在节点    程序员
23 条回复
aikuzhenyan
2019-01-08 12:07:29 +08:00
chattr 命令试下

http://www.ha97.com/5172.html
0myun
2019-01-08 12:09:26 +08:00
“命令操作的时候,文件的修改时间会更新,但文件没有发生改变”

说不定是🐴的守护进程?
发现🐴改变了就复活🐴?

ps 看看
Reficul
2019-01-08 12:17:08 +08:00
是不是 rm 被魔改了?
Reficul
2019-01-08 12:17:52 +08:00
BTW:建议重装
phpchen
2019-01-08 12:32:15 +08:00
@aikuzhenyan 试过了
phpchen
2019-01-08 12:34:05 +08:00
@Reficul 目前很想知道怎么弄的
hanxiaomeng
2019-01-08 12:34:43 +08:00
SBIT ?
phpchen
2019-01-08 12:36:00 +08:00
@0myun 我目前也怀疑这个,但没找到,下面的 ps -aux 的结果
phpchen
2019-01-08 12:36:21 +08:00
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.2 125052 3044 ? Ss 2018 0:50 /usr/lib/systemd/systemd --switched-root --system --deserialize 21
root 2 0.0 0.0 0 0 ? S 2018 0:00 [kthreadd]
root 3 0.0 0.0 0 0 ? S 2018 0:06 [ksoftirqd/0]
root 5 0.0 0.0 0 0 ? S< 2018 0:00 [kworker/0:0H]
root 7 0.0 0.0 0 0 ? S 2018 0:00 [migration/0]
root 8 0.0 0.0 0 0 ? S 2018 0:00 [rcu_bh]
root 9 0.0 0.0 0 0 ? S 2018 7:55 [rcu_sched]
root 10 0.0 0.0 0 0 ? S 2018 0:16 [watchdog/0]
root 11 0.0 0.0 0 0 ? S 2018 0:07 [watchdog/1]
root 12 0.0 0.0 0 0 ? S 2018 0:00 [migration/1]
root 13 0.0 0.0 0 0 ? S 2018 0:00 [ksoftirqd/1]
root 15 0.0 0.0 0 0 ? S< 2018 0:00 [kworker/1:0H]
root 17 0.0 0.0 0 0 ? S 2018 0:00 [kdevtmpfs]
root 18 0.0 0.0 0 0 ? S< 2018 0:00 [netns]
root 19 0.0 0.0 0 0 ? S 2018 0:04 [khungtaskd]
root 20 0.0 0.0 0 0 ? S< 2018 0:00 [writeback]
root 21 0.0 0.0 0 0 ? S< 2018 0:00 [kintegrityd]
root 22 0.0 0.0 0 0 ? S< 2018 0:00 [bioset]
root 23 0.0 0.0 0 0 ? S< 2018 0:00 [kblockd]
root 24 0.0 0.0 0 0 ? S< 2018 0:00 [md]
root 30 0.0 0.0 0 0 ? S 2018 0:17 [kswapd0]
root 31 0.0 0.0 0 0 ? SN 2018 0:00 [ksmd]
root 32 0.0 0.0 0 0 ? SN 2018 0:39 [khugepaged]
root 33 0.0 0.0 0 0 ? S< 2018 0:00 [crypto]
root 41 0.0 0.0 0 0 ? S< 2018 0:00 [kthrotld]
root 43 0.0 0.0 0 0 ? S< 2018 0:00 [kmpath_rdacd]
root 44 0.0 0.0 0 0 ? S< 2018 0:00 [kpsmoused]
root 45 0.0 0.0 0 0 ? S< 2018 0:00 [ipv6_addrconf]
root 64 0.0 0.0 0 0 ? S< 2018 0:00 [deferwq]
root 98 0.0 0.0 0 0 ? S 2018 0:00 [kauditd]
root 230 0.0 0.0 0 0 ? S< 2018 0:00 [ata_sff]
root 239 0.0 0.0 0 0 ? S 2018 0:00 [scsi_eh_0]
root 240 0.0 0.0 0 0 ? S< 2018 0:00 [scsi_tmf_0]
root 241 0.0 0.0 0 0 ? S 2018 0:00 [scsi_eh_1]
root 242 0.0 0.0 0 0 ? S< 2018 0:00 [scsi_tmf_1]
root 244 0.0 0.0 0 0 ? S< 2018 0:00 [ttm_swap]
root 261 0.0 0.0 0 0 ? S< 2018 0:07 [kworker/1:1H]
root 262 0.0 0.0 0 0 ? S< 2018 0:13 [kworker/0:1H]
root 267 0.0 0.0 0 0 ? S 2018 0:51 [jbd2/vda1-8]
root 268 0.0 0.0 0 0 ? S< 2018 0:00 [ext4-rsv-conver]
phpchen
2019-01-08 12:36:34 +08:00
root 336 0.0 0.2 34716 2804 ? Ss 2018 2:43 /usr/lib/systemd/systemd-journald
root 359 0.0 0.1 43564 1192 ? Ss 2018 0:00 /usr/lib/systemd/systemd-udevd
root 429 0.0 0.0 0 0 ? S< 2018 0:00 [edac-poller]
root 430 0.0 0.0 0 0 ? S 2018 0:23 [jbd2/vdb1-8]
root 431 0.0 0.0 0 0 ? S< 2018 0:00 [ext4-rsv-conver]
root 448 0.0 0.0 55176 760 ? S<sl 2018 0:03 /sbin/auditd
root 471 0.0 0.0 21300 840 ? Ss 2018 2:43 /usr/sbin/irqbalance --foreground
root 472 0.0 0.4 260820 4412 ? Ssl 2018 5:10 /usr/sbin/rsyslogd -n
root 473 0.0 0.1 23928 1336 ? Ss 2018 0:07 /usr/lib/systemd/systemd-logind
polkitd 474 0.0 0.8 533984 8196 ? Ssl 2018 0:01 /usr/lib/polkit-1/polkitd --no-debug
dbus 475 0.0 0.1 24276 1200 ? Ss 2018 0:02 /bin/dbus-daemon --system --address=systemd: --nofork --nopidfile --systemd-activation
root 479 0.0 0.3 471548 3652 ? Ssl 2018 1:40 /usr/sbin/NetworkManager --no-daemon
root 482 0.0 0.1 123796 1224 ? Ss 2018 0:09 /usr/sbin/crond -n
root 832 0.0 1.1 562112 11896 ? Ssl 2018 10:22 /usr/bin/python -Es /usr/sbin/tuned -l -P
root 837 0.0 0.1 105720 1912 ? Ss 2018 0:00 /usr/sbin/sshd -D
root 848 0.0 0.0 4188 184 ? S 2018 0:00 /root/centos
root 851 0.1 0.6 136924 7052 ? Ssl 2018 39:58 /usr/local/bin/redis-server 127.0.0.1:6379
root 855 0.0 0.1 115392 1044 ? S 2018 0:00 /bin/sh /www/wdlinux/mysql-5.5.58/bin/mysqld_safe --datadir=/www/wdlinux/mysql-5.5.58/data --pid-file=/www/wdlinux/mysql-5.5.58/data/localhost.localdomain.pid
root 943 0.0 1.3 578068 13360 ? Sl 2018 2:38 /www/wdlinux/wdcp/wdcp
www 965 0.0 0.0 323656 700 ? Ssl 2018 13:48 /www/wdlinux/memcached/bin/memcached -d -m 512 -u www -l 127.0.0.1 -p 11211 -c 5120
root 1271 0.0 0.0 123856 476 ? Ss 2018 0:41 pure-ftpd (SERVER)
mysql 1475 0.0 10.6 1453528 108588 ? Sl 2018 19:40 /www/wdlinux/mysql-5.5.58/bin/mysqld --basedir=/www/wdlinux/mysql-5.5.58 --datadir=/www/wdlinux/mysql-5.5.58/data --plugin-dir=/www/wdlinux/mysql-5.5.58/lib/plugin --user=mysql --log-error=localhost.localdomain.err --pid-file=/www/wdlinux/mysql-5.5.58/data/localhost.localdomain.pid --socket=/tmp/mysql.sock --port=3306
root 1497 0.0 0.4 256424 4788 ? Ss 2018 2:42 php-fpm: master process (/www/wdlinux/phps/55/etc/php-fpm.conf)
www 1498 0.0 0.4 256424 4416 ? S 2018 0:00 php-fpm: pool www
www 1499 0.0 0.4 256424 4416 ? S 2018 0:00 php-fpm: pool www
root 1508 0.0 0.5 256656 5896 ? Ss 2018 2:36 php-fpm: master process (/www/wdlinux/phps/70/etc/php-fpm.conf)
www 1509 0.0 0.5 256656 5752 ? S 2018 0:00 php-fpm: pool www
www 1511 0.0 0.5 256656 5752 ? S 2018 0:00 php-fpm: pool www
root 1523 0.0 0.5 256868 5956 ? Ss 2018 2:43 php-fpm: master process (/www/wdlinux/phps/71/etc/php-fpm.conf)
www 1524 0.0 0.5 256868 5820 ? S 2018 0:00 php-fpm: pool www
www 1525 0.0 0.5 256868 5820 ? S 2018 0:00 php-fpm: pool www
root 1529 0.0 0.0 110044 564 tty1 Ss+ 2018 0:00 /sbin/agetty --noclear tty1 linux
root 3349 0.0 0.0 0 0 ? S Jan06 0:03 [kworker/u4:2]
root 6780 0.0 0.0 0 0 ? S Jan07 0:00 [kworker/u4:0]
root 8105 0.0 0.0 0 0 ? S 05:01 0:00 [kworker/1:2]
root 8188 0.0 0.0 0 0 ? S 10:01 0:00 [kworker/0:0]
root 8191 0.0 0.0 0 0 ? S 10:01 0:00 [kworker/1:1]
root 8208 0.0 0.0 0 0 ? S 11:01 0:00 [kworker/0:1]
root 8209 0.0 0.5 148192 5588 ? Ss 11:14 0:00 sshd: root@pts/0,pts/1
root 8211 0.0 0.2 115392 2040 pts/0 Ss+ 11:14 0:00 -bash
root 8242 0.0 0.2 51112 2068 ? Ss 11:18 0:00 /usr/libexec/openssh/sftp-server
root 8284 0.0 0.1 115388 1988 pts/1 Ss+ 11:44 0:00 -bash
root 8352 0.0 0.5 148040 5380 ? Ss 12:25 0:00 sshd: root@pts/2
root 8354 0.0 0.2 115388 2040 pts/2 Ss 12:25 0:00 -bash
root 8427 0.0 0.1 150788 1820 pts/2 R+ 12:34 0:00 ps -aux
root 9012 0.0 0.1 45740 1300 ? Ss Jan01 0:00 nginx: master process /www/wdlinux/nginx/sbin/nginx -c /www/wdlinux/nginx/conf/nginx.conf
www 9013 0.0 0.4 48492 4676 ? S Jan01 3:00 nginx: worker process
www 9014 0.0 0.4 48564 4932 ? S Jan01 3:00 nginx: worker process
www 9015 0.0 0.4 48568 4860 ? S Jan01 2:55 nginx: worker process
root 9028 0.0 2.0 359288 20804 ? Ss Jan01 1:25 /www/wdlinux/apache/bin/httpd
www 9030 0.0 4.3 564948 44168 ? S Jan01 0:48 /www/wdlinux/apache/bin/httpd
www 9031 0.0 4.4 570112 45280 ? S Jan01 0:45 /www/wdlinux/apache/bin/httpd
www 9032 0.0 4.7 569964 48168 ? S Jan01 0:50 /www/wdlinux/apache/bin/httpd
www 9033 0.0 4.2 564940 43172 ? S Jan01 0:47 /www/wdlinux/apache/bin/httpd
www 9034 0.0 4.3 564944 43824 ? S Jan01 0:46 /www/wdlinux/apache/bin/httpd
www 9457 0.0 5.2 578924 53544 ? S Jan02 0:38 /www/wdlinux/apache/bin/httpd
www 9470 0.0 3.7 462940 37780 ? S Jan02 0:40 /www/wdlinux/apache/bin/httpd
www 13849 0.0 3.1 462344 31660 ? S Jan02 0:28 /www/wdlinux/apache/bin/httpd
www 13854 0.0 3.3 552548 34300 ? S Jan02 0:28 /www/wdlinux/apache/bin/httpd
www 13855 0.0 3.9 565172 40192 ? S Jan02 0:27 /www/wdlinux/apache/bin/httpd
www 13856 0.0 2.7 447680 28188 ? S Jan02 0:27 /www/wdlinux/apache/bin/httpd
www 13860 0.0 3.0 461812 31080 ? S Jan02 0:23 /www/wdlinux/apache/bin/httpd
www 13861 0.0 2.9 541240 30372 ? S Jan02 0:26 /www/wdlinux/apache/bin/httpd
www 13862 0.0 4.9 568368 50516 ? S Jan02 0:26 /www/wdlinux/apache/bin/httpd
www 13863 0.0 3.6 565936 36632 ? S Jan02 0:28 /www/wdlinux/apache/bin/httpd
www 13878 0.0 2.8 551012 29440 ? S Jan02 0:27 /www/wdlinux/apache/bin/httpd
www 13886 0.0 3.4 554364 35144 ? S Jan02 0:27 /www/wdlinux/apache/bin/httpd
www 13891 0.0 3.0 551256 31084 ? S Jan02 0:27 /www/wdlinux/apache/bin/httpd
www 13893 0.0 3.1 551268 32088 ? S Jan02 0:26 /www/wdlinux/apache/bin/httpd
www 13894 0.0 3.5 566216 35992 ? S Jan02 0:27 /www/wdlinux/apache/bin/httpd
www 14737 0.0 3.1 564756 32028 ? S Jan02 0:25 /www/wdlinux/apache/bin/httpd
www 14738 0.0 3.4 555400 35284 ? S Jan02 0:22 /www/wdlinux/apache/bin/httpd
www 14739 0.0 2.4 461228 25096 ? S Jan02 1:37 /www/wdlinux/apache/bin/httpd
hanxiaomeng
2019-01-08 12:37:42 +08:00
fuser 看一下哪个进程在使用这个文件,然后 ps 看一下
hanxiaomeng
2019-01-08 12:42:53 +08:00
刚才说的 SBIT 指的是那个特殊权限。。。突然意识到好像骂人的,解释一下。不过 SBIT root 是可以删除的,多半是有进程在监控
congeec
2019-01-08 12:46:40 +08:00
楼主你知道 rootkit 么?人家有内核级权限监控这个文件,你的系统调用都能被过滤拦截。strace 看一下咯
phpchen
2019-01-08 12:47:55 +08:00
@0myun top 找到了,是一个 writeback 导致的
ijustdo
2019-01-08 12:58:57 +08:00
lsattr chattr 查下这两个干嘛的 你就知道
以前我服务器的重要配置 和有的只读代码 都会 chattr +i
phpchen
2019-01-08 13:54:57 +08:00
@ijustdo 这个试过了
phpchen
2019-01-08 13:55:58 +08:00
是文件可修改,不过有个什么进程在一直重新建立,目前还没找到哪个进程
akmonde
2019-01-08 15:53:37 +08:00
LZ 可以试试,如果进程没有被挂载之类的隐藏的话。
```
netstat -antpl
lsof -p PID 号
cd /proc/pidnumber
ls -ail
rm – rf /proc/pidnumber/恶意程序
```
anjing01
2019-01-08 16:41:22 +08:00
是不是系统命令被替换了?拷贝几个系统命令,再进去看看。
anjing01
2019-01-08 16:42:15 +08:00
另外,还有一些网站安装的防篡改软件,看看是不是这些玩意儿。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/524931

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX