首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  程序员

求助,一个很牛逼的 Linux 文件无法做任何修改操作

  •  
  •   phpchen · 42 天前 · 2286 次点击
    这是一个创建于 42 天前的主题,其中的信息可能已经有所发展或是发生改变。
    一个 dedecms 的网站,被黑之后,index.html 变成只读,而且无法修改,目前想删掉这个文件
    已经尝试过 chmod rm mv 等命令,都无法修改他
    命令操作的时候,文件的修改时间会更新,但文件没有发生改变
    一些命令之后辅助信息
    ll
    -r--r--r-- 1 www www 70214 Jan 8 11:52 index.html

    lsattr index.html
    -------------e-- index.html


    ls -lZ index.html
    -r--r--r-- www www ? index.html
    23 回复  |  直到 2019-01-09 17:45:16 +08:00
        1
    aikuzhenyan   42 天前   ♥ 1
        2
    0myun   42 天前
    “命令操作的时候,文件的修改时间会更新,但文件没有发生改变”

    说不定是🐴的守护进程?
    发现🐴改变了就复活🐴?

    ps 看看
        3
    Reficul   42 天前 via Android
    是不是 rm 被魔改了?
        4
    Reficul   42 天前 via Android
    BTW:建议重装
        5
    phpchen   42 天前
    @aikuzhenyan 试过了
        6
    phpchen   42 天前
    @Reficul 目前很想知道怎么弄的
        7
    hanxiaomeng   42 天前
    SBIT ?
        8
    phpchen   42 天前
    @0myun 我目前也怀疑这个,但没找到,下面的 ps -aux 的结果
        9
    phpchen   42 天前
    USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
    root 1 0.0 0.2 125052 3044 ? Ss 2018 0:50 /usr/lib/systemd/systemd --switched-root --system --deserialize 21
    root 2 0.0 0.0 0 0 ? S 2018 0:00 [kthreadd]
    root 3 0.0 0.0 0 0 ? S 2018 0:06 [ksoftirqd/0]
    root 5 0.0 0.0 0 0 ? S< 2018 0:00 [kworker/0:0H]
    root 7 0.0 0.0 0 0 ? S 2018 0:00 [migration/0]
    root 8 0.0 0.0 0 0 ? S 2018 0:00 [rcu_bh]
    root 9 0.0 0.0 0 0 ? S 2018 7:55 [rcu_sched]
    root 10 0.0 0.0 0 0 ? S 2018 0:16 [watchdog/0]
    root 11 0.0 0.0 0 0 ? S 2018 0:07 [watchdog/1]
    root 12 0.0 0.0 0 0 ? S 2018 0:00 [migration/1]
    root 13 0.0 0.0 0 0 ? S 2018 0:00 [ksoftirqd/1]
    root 15 0.0 0.0 0 0 ? S< 2018 0:00 [kworker/1:0H]
    root 17 0.0 0.0 0 0 ? S 2018 0:00 [kdevtmpfs]
    root 18 0.0 0.0 0 0 ? S< 2018 0:00 [netns]
    root 19 0.0 0.0 0 0 ? S 2018 0:04 [khungtaskd]
    root 20 0.0 0.0 0 0 ? S< 2018 0:00 [writeback]
    root 21 0.0 0.0 0 0 ? S< 2018 0:00 [kintegrityd]
    root 22 0.0 0.0 0 0 ? S< 2018 0:00 [bioset]
    root 23 0.0 0.0 0 0 ? S< 2018 0:00 [kblockd]
    root 24 0.0 0.0 0 0 ? S< 2018 0:00 [md]
    root 30 0.0 0.0 0 0 ? S 2018 0:17 [kswapd0]
    root 31 0.0 0.0 0 0 ? SN 2018 0:00 [ksmd]
    root 32 0.0 0.0 0 0 ? SN 2018 0:39 [khugepaged]
    root 33 0.0 0.0 0 0 ? S< 2018 0:00 [crypto]
    root 41 0.0 0.0 0 0 ? S< 2018 0:00 [kthrotld]
    root 43 0.0 0.0 0 0 ? S< 2018 0:00 [kmpath_rdacd]
    root 44 0.0 0.0 0 0 ? S< 2018 0:00 [kpsmoused]
    root 45 0.0 0.0 0 0 ? S< 2018 0:00 [ipv6_addrconf]
    root 64 0.0 0.0 0 0 ? S< 2018 0:00 [deferwq]
    root 98 0.0 0.0 0 0 ? S 2018 0:00 [kauditd]
    root 230 0.0 0.0 0 0 ? S< 2018 0:00 [ata_sff]
    root 239 0.0 0.0 0 0 ? S 2018 0:00 [scsi_eh_0]
    root 240 0.0 0.0 0 0 ? S< 2018 0:00 [scsi_tmf_0]
    root 241 0.0 0.0 0 0 ? S 2018 0:00 [scsi_eh_1]
    root 242 0.0 0.0 0 0 ? S< 2018 0:00 [scsi_tmf_1]
    root 244 0.0 0.0 0 0 ? S< 2018 0:00 [ttm_swap]
    root 261 0.0 0.0 0 0 ? S< 2018 0:07 [kworker/1:1H]
    root 262 0.0 0.0 0 0 ? S< 2018 0:13 [kworker/0:1H]
    root 267 0.0 0.0 0 0 ? S 2018 0:51 [jbd2/vda1-8]
    root 268 0.0 0.0 0 0 ? S< 2018 0:00 [ext4-rsv-conver]
        10
    phpchen   42 天前
    root 336 0.0 0.2 34716 2804 ? Ss 2018 2:43 /usr/lib/systemd/systemd-journald
    root 359 0.0 0.1 43564 1192 ? Ss 2018 0:00 /usr/lib/systemd/systemd-udevd
    root 429 0.0 0.0 0 0 ? S< 2018 0:00 [edac-poller]
    root 430 0.0 0.0 0 0 ? S 2018 0:23 [jbd2/vdb1-8]
    root 431 0.0 0.0 0 0 ? S< 2018 0:00 [ext4-rsv-conver]
    root 448 0.0 0.0 55176 760 ? S<sl 2018 0:03 /sbin/auditd
    root 471 0.0 0.0 21300 840 ? Ss 2018 2:43 /usr/sbin/irqbalance --foreground
    root 472 0.0 0.4 260820 4412 ? Ssl 2018 5:10 /usr/sbin/rsyslogd -n
    root 473 0.0 0.1 23928 1336 ? Ss 2018 0:07 /usr/lib/systemd/systemd-logind
    polkitd 474 0.0 0.8 533984 8196 ? Ssl 2018 0:01 /usr/lib/polkit-1/polkitd --no-debug
    dbus 475 0.0 0.1 24276 1200 ? Ss 2018 0:02 /bin/dbus-daemon --system --address=systemd: --nofork --nopidfile --systemd-activation
    root 479 0.0 0.3 471548 3652 ? Ssl 2018 1:40 /usr/sbin/NetworkManager --no-daemon
    root 482 0.0 0.1 123796 1224 ? Ss 2018 0:09 /usr/sbin/crond -n
    root 832 0.0 1.1 562112 11896 ? Ssl 2018 10:22 /usr/bin/python -Es /usr/sbin/tuned -l -P
    root 837 0.0 0.1 105720 1912 ? Ss 2018 0:00 /usr/sbin/sshd -D
    root 848 0.0 0.0 4188 184 ? S 2018 0:00 /root/centos
    root 851 0.1 0.6 136924 7052 ? Ssl 2018 39:58 /usr/local/bin/redis-server 127.0.0.1:6379
    root 855 0.0 0.1 115392 1044 ? S 2018 0:00 /bin/sh /www/wdlinux/mysql-5.5.58/bin/mysqld_safe --datadir=/www/wdlinux/mysql-5.5.58/data --pid-file=/www/wdlinux/mysql-5.5.58/data/localhost.localdomain.pid
    root 943 0.0 1.3 578068 13360 ? Sl 2018 2:38 /www/wdlinux/wdcp/wdcp
    www 965 0.0 0.0 323656 700 ? Ssl 2018 13:48 /www/wdlinux/memcached/bin/memcached -d -m 512 -u www -l 127.0.0.1 -p 11211 -c 5120
    root 1271 0.0 0.0 123856 476 ? Ss 2018 0:41 pure-ftpd (SERVER)
    mysql 1475 0.0 10.6 1453528 108588 ? Sl 2018 19:40 /www/wdlinux/mysql-5.5.58/bin/mysqld --basedir=/www/wdlinux/mysql-5.5.58 --datadir=/www/wdlinux/mysql-5.5.58/data --plugin-dir=/www/wdlinux/mysql-5.5.58/lib/plugin --user=mysql --log-error=localhost.localdomain.err --pid-file=/www/wdlinux/mysql-5.5.58/data/localhost.localdomain.pid --socket=/tmp/mysql.sock --port=3306
    root 1497 0.0 0.4 256424 4788 ? Ss 2018 2:42 php-fpm: master process (/www/wdlinux/phps/55/etc/php-fpm.conf)
    www 1498 0.0 0.4 256424 4416 ? S 2018 0:00 php-fpm: pool www
    www 1499 0.0 0.4 256424 4416 ? S 2018 0:00 php-fpm: pool www
    root 1508 0.0 0.5 256656 5896 ? Ss 2018 2:36 php-fpm: master process (/www/wdlinux/phps/70/etc/php-fpm.conf)
    www 1509 0.0 0.5 256656 5752 ? S 2018 0:00 php-fpm: pool www
    www 1511 0.0 0.5 256656 5752 ? S 2018 0:00 php-fpm: pool www
    root 1523 0.0 0.5 256868 5956 ? Ss 2018 2:43 php-fpm: master process (/www/wdlinux/phps/71/etc/php-fpm.conf)
    www 1524 0.0 0.5 256868 5820 ? S 2018 0:00 php-fpm: pool www
    www 1525 0.0 0.5 256868 5820 ? S 2018 0:00 php-fpm: pool www
    root 1529 0.0 0.0 110044 564 tty1 Ss+ 2018 0:00 /sbin/agetty --noclear tty1 linux
    root 3349 0.0 0.0 0 0 ? S Jan06 0:03 [kworker/u4:2]
    root 6780 0.0 0.0 0 0 ? S Jan07 0:00 [kworker/u4:0]
    root 8105 0.0 0.0 0 0 ? S 05:01 0:00 [kworker/1:2]
    root 8188 0.0 0.0 0 0 ? S 10:01 0:00 [kworker/0:0]
    root 8191 0.0 0.0 0 0 ? S 10:01 0:00 [kworker/1:1]
    root 8208 0.0 0.0 0 0 ? S 11:01 0:00 [kworker/0:1]
    root 8209 0.0 0.5 148192 5588 ? Ss 11:14 0:00 sshd: root@pts/0,pts/1
    root 8211 0.0 0.2 115392 2040 pts/0 Ss+ 11:14 0:00 -bash
    root 8242 0.0 0.2 51112 2068 ? Ss 11:18 0:00 /usr/libexec/openssh/sftp-server
    root 8284 0.0 0.1 115388 1988 pts/1 Ss+ 11:44 0:00 -bash
    root 8352 0.0 0.5 148040 5380 ? Ss 12:25 0:00 sshd: root@pts/2
    root 8354 0.0 0.2 115388 2040 pts/2 Ss 12:25 0:00 -bash
    root 8427 0.0 0.1 150788 1820 pts/2 R+ 12:34 0:00 ps -aux
    root 9012 0.0 0.1 45740 1300 ? Ss Jan01 0:00 nginx: master process /www/wdlinux/nginx/sbin/nginx -c /www/wdlinux/nginx/conf/nginx.conf
    www 9013 0.0 0.4 48492 4676 ? S Jan01 3:00 nginx: worker process
    www 9014 0.0 0.4 48564 4932 ? S Jan01 3:00 nginx: worker process
    www 9015 0.0 0.4 48568 4860 ? S Jan01 2:55 nginx: worker process
    root 9028 0.0 2.0 359288 20804 ? Ss Jan01 1:25 /www/wdlinux/apache/bin/httpd
    www 9030 0.0 4.3 564948 44168 ? S Jan01 0:48 /www/wdlinux/apache/bin/httpd
    www 9031 0.0 4.4 570112 45280 ? S Jan01 0:45 /www/wdlinux/apache/bin/httpd
    www 9032 0.0 4.7 569964 48168 ? S Jan01 0:50 /www/wdlinux/apache/bin/httpd
    www 9033 0.0 4.2 564940 43172 ? S Jan01 0:47 /www/wdlinux/apache/bin/httpd
    www 9034 0.0 4.3 564944 43824 ? S Jan01 0:46 /www/wdlinux/apache/bin/httpd
    www 9457 0.0 5.2 578924 53544 ? S Jan02 0:38 /www/wdlinux/apache/bin/httpd
    www 9470 0.0 3.7 462940 37780 ? S Jan02 0:40 /www/wdlinux/apache/bin/httpd
    www 13849 0.0 3.1 462344 31660 ? S Jan02 0:28 /www/wdlinux/apache/bin/httpd
    www 13854 0.0 3.3 552548 34300 ? S Jan02 0:28 /www/wdlinux/apache/bin/httpd
    www 13855 0.0 3.9 565172 40192 ? S Jan02 0:27 /www/wdlinux/apache/bin/httpd
    www 13856 0.0 2.7 447680 28188 ? S Jan02 0:27 /www/wdlinux/apache/bin/httpd
    www 13860 0.0 3.0 461812 31080 ? S Jan02 0:23 /www/wdlinux/apache/bin/httpd
    www 13861 0.0 2.9 541240 30372 ? S Jan02 0:26 /www/wdlinux/apache/bin/httpd
    www 13862 0.0 4.9 568368 50516 ? S Jan02 0:26 /www/wdlinux/apache/bin/httpd
    www 13863 0.0 3.6 565936 36632 ? S Jan02 0:28 /www/wdlinux/apache/bin/httpd
    www 13878 0.0 2.8 551012 29440 ? S Jan02 0:27 /www/wdlinux/apache/bin/httpd
    www 13886 0.0 3.4 554364 35144 ? S Jan02 0:27 /www/wdlinux/apache/bin/httpd
    www 13891 0.0 3.0 551256 31084 ? S Jan02 0:27 /www/wdlinux/apache/bin/httpd
    www 13893 0.0 3.1 551268 32088 ? S Jan02 0:26 /www/wdlinux/apache/bin/httpd
    www 13894 0.0 3.5 566216 35992 ? S Jan02 0:27 /www/wdlinux/apache/bin/httpd
    www 14737 0.0 3.1 564756 32028 ? S Jan02 0:25 /www/wdlinux/apache/bin/httpd
    www 14738 0.0 3.4 555400 35284 ? S Jan02 0:22 /www/wdlinux/apache/bin/httpd
    www 14739 0.0 2.4 461228 25096 ? S Jan02 1:37 /www/wdlinux/apache/bin/httpd
        11
    hanxiaomeng   42 天前
    fuser 看一下哪个进程在使用这个文件,然后 ps 看一下
        12
    hanxiaomeng   42 天前
    刚才说的 SBIT 指的是那个特殊权限。。。突然意识到好像骂人的,解释一下。不过 SBIT root 是可以删除的,多半是有进程在监控
        13
    congeec   42 天前 via iPhone
    楼主你知道 rootkit 么?人家有内核级权限监控这个文件,你的系统调用都能被过滤拦截。strace 看一下咯
        14
    phpchen   42 天前
    @0myun top 找到了,是一个 writeback 导致的
        15
    ijustdo   42 天前
    lsattr chattr 查下这两个干嘛的 你就知道
    以前我服务器的重要配置 和有的只读代码 都会 chattr +i
        16
    phpchen   42 天前
    @ijustdo 这个试过了
        17
    phpchen   42 天前
    是文件可修改,不过有个什么进程在一直重新建立,目前还没找到哪个进程
        18
    akmonde   42 天前
    LZ 可以试试,如果进程没有被挂载之类的隐藏的话。
    ```
    netstat -antpl
    lsof -p PID 号
    cd /proc/pidnumber
    ls -ail
    rm – rf /proc/pidnumber/恶意程序
    ```
        19
    anjing01   42 天前
    是不是系统命令被替换了?拷贝几个系统命令,再进去看看。
        20
    anjing01   42 天前
    另外,还有一些网站安装的防篡改软件,看看是不是这些玩意儿。
        21
    Zy143L   41 天前
    你说日期会变 你可以试试先锁定自己的的 Index.html 记得用 chattr i 位 然后再慢慢查 估计是服务器溜了驻留服务
    没啥重要东西就把服务器重装吧
        22
    hefish   41 天前
    dedecms 这破东西,就得把所有 INPUT 都 DROP,只开 80,22 等端口。还要把 /a/ 目录下, /uploads/目录下等等的所有*.php 禁止访问,还要…… 最好不用。哈哈。
        23
    AntonChen   41 天前
    查看文件 inode
    ll -i
    根据 inode 删除文件
    find . -inum 1442581 -delete
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2367 人在线   最高记录 4385   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 22ms · UTC 12:31 · PVG 20:31 · LAX 04:31 · JFK 07:31
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1