V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
phpchen
V2EX  ›  程序员

求助,一个很牛逼的 Linux 文件无法做任何修改操作

  •  
  •   phpchen · 2019-01-08 11:54:04 +08:00 · 4162 次点击
    这是一个创建于 2179 天前的主题,其中的信息可能已经有所发展或是发生改变。
    一个 dedecms 的网站,被黑之后,index.html 变成只读,而且无法修改,目前想删掉这个文件
    已经尝试过 chmod rm mv 等命令,都无法修改他
    命令操作的时候,文件的修改时间会更新,但文件没有发生改变
    一些命令之后辅助信息
    ll
    -r--r--r-- 1 www www 70214 Jan 8 11:52 index.html

    lsattr index.html
    -------------e-- index.html


    ls -lZ index.html
    -r--r--r-- www www ? index.html
    23 条回复    2019-01-09 17:45:16 +08:00
    aikuzhenyan
        1
    aikuzhenyan  
       2019-01-08 12:07:29 +08:00   ❤️ 1
    0myun
        2
    0myun  
       2019-01-08 12:09:26 +08:00
    “命令操作的时候,文件的修改时间会更新,但文件没有发生改变”

    说不定是🐴的守护进程?
    发现🐴改变了就复活🐴?

    ps 看看
    Reficul
        3
    Reficul  
       2019-01-08 12:17:08 +08:00 via Android
    是不是 rm 被魔改了?
    Reficul
        4
    Reficul  
       2019-01-08 12:17:52 +08:00 via Android
    BTW:建议重装
    phpchen
        5
    phpchen  
    OP
       2019-01-08 12:32:15 +08:00
    @aikuzhenyan 试过了
    phpchen
        6
    phpchen  
    OP
       2019-01-08 12:34:05 +08:00
    @Reficul 目前很想知道怎么弄的
    hanxiaomeng
        7
    hanxiaomeng  
       2019-01-08 12:34:43 +08:00
    SBIT ?
    phpchen
        8
    phpchen  
    OP
       2019-01-08 12:36:00 +08:00
    @0myun 我目前也怀疑这个,但没找到,下面的 ps -aux 的结果
    phpchen
        9
    phpchen  
    OP
       2019-01-08 12:36:21 +08:00
    USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
    root 1 0.0 0.2 125052 3044 ? Ss 2018 0:50 /usr/lib/systemd/systemd --switched-root --system --deserialize 21
    root 2 0.0 0.0 0 0 ? S 2018 0:00 [kthreadd]
    root 3 0.0 0.0 0 0 ? S 2018 0:06 [ksoftirqd/0]
    root 5 0.0 0.0 0 0 ? S< 2018 0:00 [kworker/0:0H]
    root 7 0.0 0.0 0 0 ? S 2018 0:00 [migration/0]
    root 8 0.0 0.0 0 0 ? S 2018 0:00 [rcu_bh]
    root 9 0.0 0.0 0 0 ? S 2018 7:55 [rcu_sched]
    root 10 0.0 0.0 0 0 ? S 2018 0:16 [watchdog/0]
    root 11 0.0 0.0 0 0 ? S 2018 0:07 [watchdog/1]
    root 12 0.0 0.0 0 0 ? S 2018 0:00 [migration/1]
    root 13 0.0 0.0 0 0 ? S 2018 0:00 [ksoftirqd/1]
    root 15 0.0 0.0 0 0 ? S< 2018 0:00 [kworker/1:0H]
    root 17 0.0 0.0 0 0 ? S 2018 0:00 [kdevtmpfs]
    root 18 0.0 0.0 0 0 ? S< 2018 0:00 [netns]
    root 19 0.0 0.0 0 0 ? S 2018 0:04 [khungtaskd]
    root 20 0.0 0.0 0 0 ? S< 2018 0:00 [writeback]
    root 21 0.0 0.0 0 0 ? S< 2018 0:00 [kintegrityd]
    root 22 0.0 0.0 0 0 ? S< 2018 0:00 [bioset]
    root 23 0.0 0.0 0 0 ? S< 2018 0:00 [kblockd]
    root 24 0.0 0.0 0 0 ? S< 2018 0:00 [md]
    root 30 0.0 0.0 0 0 ? S 2018 0:17 [kswapd0]
    root 31 0.0 0.0 0 0 ? SN 2018 0:00 [ksmd]
    root 32 0.0 0.0 0 0 ? SN 2018 0:39 [khugepaged]
    root 33 0.0 0.0 0 0 ? S< 2018 0:00 [crypto]
    root 41 0.0 0.0 0 0 ? S< 2018 0:00 [kthrotld]
    root 43 0.0 0.0 0 0 ? S< 2018 0:00 [kmpath_rdacd]
    root 44 0.0 0.0 0 0 ? S< 2018 0:00 [kpsmoused]
    root 45 0.0 0.0 0 0 ? S< 2018 0:00 [ipv6_addrconf]
    root 64 0.0 0.0 0 0 ? S< 2018 0:00 [deferwq]
    root 98 0.0 0.0 0 0 ? S 2018 0:00 [kauditd]
    root 230 0.0 0.0 0 0 ? S< 2018 0:00 [ata_sff]
    root 239 0.0 0.0 0 0 ? S 2018 0:00 [scsi_eh_0]
    root 240 0.0 0.0 0 0 ? S< 2018 0:00 [scsi_tmf_0]
    root 241 0.0 0.0 0 0 ? S 2018 0:00 [scsi_eh_1]
    root 242 0.0 0.0 0 0 ? S< 2018 0:00 [scsi_tmf_1]
    root 244 0.0 0.0 0 0 ? S< 2018 0:00 [ttm_swap]
    root 261 0.0 0.0 0 0 ? S< 2018 0:07 [kworker/1:1H]
    root 262 0.0 0.0 0 0 ? S< 2018 0:13 [kworker/0:1H]
    root 267 0.0 0.0 0 0 ? S 2018 0:51 [jbd2/vda1-8]
    root 268 0.0 0.0 0 0 ? S< 2018 0:00 [ext4-rsv-conver]
    phpchen
        10
    phpchen  
    OP
       2019-01-08 12:36:34 +08:00
    root 336 0.0 0.2 34716 2804 ? Ss 2018 2:43 /usr/lib/systemd/systemd-journald
    root 359 0.0 0.1 43564 1192 ? Ss 2018 0:00 /usr/lib/systemd/systemd-udevd
    root 429 0.0 0.0 0 0 ? S< 2018 0:00 [edac-poller]
    root 430 0.0 0.0 0 0 ? S 2018 0:23 [jbd2/vdb1-8]
    root 431 0.0 0.0 0 0 ? S< 2018 0:00 [ext4-rsv-conver]
    root 448 0.0 0.0 55176 760 ? S<sl 2018 0:03 /sbin/auditd
    root 471 0.0 0.0 21300 840 ? Ss 2018 2:43 /usr/sbin/irqbalance --foreground
    root 472 0.0 0.4 260820 4412 ? Ssl 2018 5:10 /usr/sbin/rsyslogd -n
    root 473 0.0 0.1 23928 1336 ? Ss 2018 0:07 /usr/lib/systemd/systemd-logind
    polkitd 474 0.0 0.8 533984 8196 ? Ssl 2018 0:01 /usr/lib/polkit-1/polkitd --no-debug
    dbus 475 0.0 0.1 24276 1200 ? Ss 2018 0:02 /bin/dbus-daemon --system --address=systemd: --nofork --nopidfile --systemd-activation
    root 479 0.0 0.3 471548 3652 ? Ssl 2018 1:40 /usr/sbin/NetworkManager --no-daemon
    root 482 0.0 0.1 123796 1224 ? Ss 2018 0:09 /usr/sbin/crond -n
    root 832 0.0 1.1 562112 11896 ? Ssl 2018 10:22 /usr/bin/python -Es /usr/sbin/tuned -l -P
    root 837 0.0 0.1 105720 1912 ? Ss 2018 0:00 /usr/sbin/sshd -D
    root 848 0.0 0.0 4188 184 ? S 2018 0:00 /root/centos
    root 851 0.1 0.6 136924 7052 ? Ssl 2018 39:58 /usr/local/bin/redis-server 127.0.0.1:6379
    root 855 0.0 0.1 115392 1044 ? S 2018 0:00 /bin/sh /www/wdlinux/mysql-5.5.58/bin/mysqld_safe --datadir=/www/wdlinux/mysql-5.5.58/data --pid-file=/www/wdlinux/mysql-5.5.58/data/localhost.localdomain.pid
    root 943 0.0 1.3 578068 13360 ? Sl 2018 2:38 /www/wdlinux/wdcp/wdcp
    www 965 0.0 0.0 323656 700 ? Ssl 2018 13:48 /www/wdlinux/memcached/bin/memcached -d -m 512 -u www -l 127.0.0.1 -p 11211 -c 5120
    root 1271 0.0 0.0 123856 476 ? Ss 2018 0:41 pure-ftpd (SERVER)
    mysql 1475 0.0 10.6 1453528 108588 ? Sl 2018 19:40 /www/wdlinux/mysql-5.5.58/bin/mysqld --basedir=/www/wdlinux/mysql-5.5.58 --datadir=/www/wdlinux/mysql-5.5.58/data --plugin-dir=/www/wdlinux/mysql-5.5.58/lib/plugin --user=mysql --log-error=localhost.localdomain.err --pid-file=/www/wdlinux/mysql-5.5.58/data/localhost.localdomain.pid --socket=/tmp/mysql.sock --port=3306
    root 1497 0.0 0.4 256424 4788 ? Ss 2018 2:42 php-fpm: master process (/www/wdlinux/phps/55/etc/php-fpm.conf)
    www 1498 0.0 0.4 256424 4416 ? S 2018 0:00 php-fpm: pool www
    www 1499 0.0 0.4 256424 4416 ? S 2018 0:00 php-fpm: pool www
    root 1508 0.0 0.5 256656 5896 ? Ss 2018 2:36 php-fpm: master process (/www/wdlinux/phps/70/etc/php-fpm.conf)
    www 1509 0.0 0.5 256656 5752 ? S 2018 0:00 php-fpm: pool www
    www 1511 0.0 0.5 256656 5752 ? S 2018 0:00 php-fpm: pool www
    root 1523 0.0 0.5 256868 5956 ? Ss 2018 2:43 php-fpm: master process (/www/wdlinux/phps/71/etc/php-fpm.conf)
    www 1524 0.0 0.5 256868 5820 ? S 2018 0:00 php-fpm: pool www
    www 1525 0.0 0.5 256868 5820 ? S 2018 0:00 php-fpm: pool www
    root 1529 0.0 0.0 110044 564 tty1 Ss+ 2018 0:00 /sbin/agetty --noclear tty1 linux
    root 3349 0.0 0.0 0 0 ? S Jan06 0:03 [kworker/u4:2]
    root 6780 0.0 0.0 0 0 ? S Jan07 0:00 [kworker/u4:0]
    root 8105 0.0 0.0 0 0 ? S 05:01 0:00 [kworker/1:2]
    root 8188 0.0 0.0 0 0 ? S 10:01 0:00 [kworker/0:0]
    root 8191 0.0 0.0 0 0 ? S 10:01 0:00 [kworker/1:1]
    root 8208 0.0 0.0 0 0 ? S 11:01 0:00 [kworker/0:1]
    root 8209 0.0 0.5 148192 5588 ? Ss 11:14 0:00 sshd: root@pts/0,pts/1
    root 8211 0.0 0.2 115392 2040 pts/0 Ss+ 11:14 0:00 -bash
    root 8242 0.0 0.2 51112 2068 ? Ss 11:18 0:00 /usr/libexec/openssh/sftp-server
    root 8284 0.0 0.1 115388 1988 pts/1 Ss+ 11:44 0:00 -bash
    root 8352 0.0 0.5 148040 5380 ? Ss 12:25 0:00 sshd: root@pts/2
    root 8354 0.0 0.2 115388 2040 pts/2 Ss 12:25 0:00 -bash
    root 8427 0.0 0.1 150788 1820 pts/2 R+ 12:34 0:00 ps -aux
    root 9012 0.0 0.1 45740 1300 ? Ss Jan01 0:00 nginx: master process /www/wdlinux/nginx/sbin/nginx -c /www/wdlinux/nginx/conf/nginx.conf
    www 9013 0.0 0.4 48492 4676 ? S Jan01 3:00 nginx: worker process
    www 9014 0.0 0.4 48564 4932 ? S Jan01 3:00 nginx: worker process
    www 9015 0.0 0.4 48568 4860 ? S Jan01 2:55 nginx: worker process
    root 9028 0.0 2.0 359288 20804 ? Ss Jan01 1:25 /www/wdlinux/apache/bin/httpd
    www 9030 0.0 4.3 564948 44168 ? S Jan01 0:48 /www/wdlinux/apache/bin/httpd
    www 9031 0.0 4.4 570112 45280 ? S Jan01 0:45 /www/wdlinux/apache/bin/httpd
    www 9032 0.0 4.7 569964 48168 ? S Jan01 0:50 /www/wdlinux/apache/bin/httpd
    www 9033 0.0 4.2 564940 43172 ? S Jan01 0:47 /www/wdlinux/apache/bin/httpd
    www 9034 0.0 4.3 564944 43824 ? S Jan01 0:46 /www/wdlinux/apache/bin/httpd
    www 9457 0.0 5.2 578924 53544 ? S Jan02 0:38 /www/wdlinux/apache/bin/httpd
    www 9470 0.0 3.7 462940 37780 ? S Jan02 0:40 /www/wdlinux/apache/bin/httpd
    www 13849 0.0 3.1 462344 31660 ? S Jan02 0:28 /www/wdlinux/apache/bin/httpd
    www 13854 0.0 3.3 552548 34300 ? S Jan02 0:28 /www/wdlinux/apache/bin/httpd
    www 13855 0.0 3.9 565172 40192 ? S Jan02 0:27 /www/wdlinux/apache/bin/httpd
    www 13856 0.0 2.7 447680 28188 ? S Jan02 0:27 /www/wdlinux/apache/bin/httpd
    www 13860 0.0 3.0 461812 31080 ? S Jan02 0:23 /www/wdlinux/apache/bin/httpd
    www 13861 0.0 2.9 541240 30372 ? S Jan02 0:26 /www/wdlinux/apache/bin/httpd
    www 13862 0.0 4.9 568368 50516 ? S Jan02 0:26 /www/wdlinux/apache/bin/httpd
    www 13863 0.0 3.6 565936 36632 ? S Jan02 0:28 /www/wdlinux/apache/bin/httpd
    www 13878 0.0 2.8 551012 29440 ? S Jan02 0:27 /www/wdlinux/apache/bin/httpd
    www 13886 0.0 3.4 554364 35144 ? S Jan02 0:27 /www/wdlinux/apache/bin/httpd
    www 13891 0.0 3.0 551256 31084 ? S Jan02 0:27 /www/wdlinux/apache/bin/httpd
    www 13893 0.0 3.1 551268 32088 ? S Jan02 0:26 /www/wdlinux/apache/bin/httpd
    www 13894 0.0 3.5 566216 35992 ? S Jan02 0:27 /www/wdlinux/apache/bin/httpd
    www 14737 0.0 3.1 564756 32028 ? S Jan02 0:25 /www/wdlinux/apache/bin/httpd
    www 14738 0.0 3.4 555400 35284 ? S Jan02 0:22 /www/wdlinux/apache/bin/httpd
    www 14739 0.0 2.4 461228 25096 ? S Jan02 1:37 /www/wdlinux/apache/bin/httpd
    hanxiaomeng
        11
    hanxiaomeng  
       2019-01-08 12:37:42 +08:00
    fuser 看一下哪个进程在使用这个文件,然后 ps 看一下
    hanxiaomeng
        12
    hanxiaomeng  
       2019-01-08 12:42:53 +08:00
    刚才说的 SBIT 指的是那个特殊权限。。。突然意识到好像骂人的,解释一下。不过 SBIT root 是可以删除的,多半是有进程在监控
    congeec
        13
    congeec  
       2019-01-08 12:46:40 +08:00 via iPhone
    楼主你知道 rootkit 么?人家有内核级权限监控这个文件,你的系统调用都能被过滤拦截。strace 看一下咯
    phpchen
        14
    phpchen  
    OP
       2019-01-08 12:47:55 +08:00
    @0myun top 找到了,是一个 writeback 导致的
    ijustdo
        15
    ijustdo  
       2019-01-08 12:58:57 +08:00
    lsattr chattr 查下这两个干嘛的 你就知道
    以前我服务器的重要配置 和有的只读代码 都会 chattr +i
    phpchen
        16
    phpchen  
    OP
       2019-01-08 13:54:57 +08:00
    @ijustdo 这个试过了
    phpchen
        17
    phpchen  
    OP
       2019-01-08 13:55:58 +08:00
    是文件可修改,不过有个什么进程在一直重新建立,目前还没找到哪个进程
    akmonde
        18
    akmonde  
       2019-01-08 15:53:37 +08:00
    LZ 可以试试,如果进程没有被挂载之类的隐藏的话。
    ```
    netstat -antpl
    lsof -p PID 号
    cd /proc/pidnumber
    ls -ail
    rm – rf /proc/pidnumber/恶意程序
    ```
    anjing01
        19
    anjing01  
       2019-01-08 16:41:22 +08:00
    是不是系统命令被替换了?拷贝几个系统命令,再进去看看。
    anjing01
        20
    anjing01  
       2019-01-08 16:42:15 +08:00
    另外,还有一些网站安装的防篡改软件,看看是不是这些玩意儿。
    Zy143L
        21
    Zy143L  
       2019-01-08 22:28:05 +08:00
    你说日期会变 你可以试试先锁定自己的的 Index.html 记得用 chattr i 位 然后再慢慢查 估计是服务器溜了驻留服务
    没啥重要东西就把服务器重装吧
    hefish
        22
    hefish  
       2019-01-08 23:34:48 +08:00
    dedecms 这破东西,就得把所有 INPUT 都 DROP,只开 80,22 等端口。还要把 /a/ 目录下, /uploads/目录下等等的所有*.php 禁止访问,还要…… 最好不用。哈哈。
    AntonChen
        23
    AntonChen  
       2019-01-09 17:45:16 +08:00
    查看文件 inode
    ll -i
    根据 inode 删除文件
    find . -inum 1442581 -delete
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3109 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 13:35 · PVG 21:35 · LAX 05:35 · JFK 08:35
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.