Невозможно удалить папку или файлы внутри
У меня довольно странная проблема. Я обнаружил папку с файлом в нем, который я не могу ни увидеть, ни удалить. Я считаю, что это руткит, и я отчаянно пытаюсь получить его с моей машины. Я вошел в систему как root на сервере. Папка называется серебро и его внутри var каталог. Я ничего не делаю в списке папок. ls -la не показывает папку, но я могу получить доступ к каталогу через cd silver, Внутри папки есть файл с именем ~.b - снова я не могу видеть это или получить к нему доступ, но я знаю, что это существует, потому что мой dmesg В журнале полно ошибок сегментации, вызванных этим файлом.
тривиальное переписывание [24096]: ошибка по умолчанию в 2 ip 00007f65c5457e65 sp 00007fff596e5360 ошибка 4 в ~.b[7f65c5455000+6000] очистка [24097]: segfault at 2 ip 00007fd614f29e65 sp 00007ffffe7ad2c0 ошибка 4 в ~.b[7fd614f27000+6000]
Попытка изменить атрибуты файла или папки, кажется, не имеет никакого эффекта
chattr -sia ~.b
chattr: нет такого файла или каталога при попытке получить статистику ~.b
Как мне избавиться от этого файла и каталога?
2 ответа
Удалось наконец его удалить.
LD_PRELOAD = "/ var / silver / ~.a" chattr -sia "/etc/ld.so.preload";LD_PRELOAD="/var/silver/~.a" rm "/etc/ld.so.preload"
А затем сделал chattr-sia для папки и удалил ее.
Для попытки исправления потребуется перезагрузка и локальный доступ к серверу. Поскольку вы не указали информацию о файловой системе или соответствующих дисках /raid/lvm, это общие инструкции.
Скорее всего, проблема в плохом диске с незаписываемым блоком, но возможны и другие ситуации. Во-первых, у вас повреждена файловая система, и эта ссылка неизменна. Во-вторых, у вас есть руткит, и руткит блокирует доступ к файлу, как вы предлагаете.
Самый простой способ решить все эти проблемы - перезагрузить сервер с помощью отдельного аварийного диска. Я бы порекомендовал применить систему с именем systemrescueCD, но на исходном установочном диске ОС также должен быть режим восстановления. Вы должны получить образ и записать его на диск в другой системе. Перезагрузка с чистого носителя потенциально удалит любые руткиты или блокировки файловой системы.
После загрузки запустите соответствующую проверку fsck для типа файловой системы, чтобы попытаться устранить любые ошибки. Если вы используете raid или lvm, вам нужно будет воссоздать это вручную перед запуском fsck. Не монтируйте файловую систему на этом этапе до fsck.
Если fsck не завершит работу, это будет указывать на плохой диск.
Предполагая, что fsck завершит работу успешно (даже если ему пришлось исправить некоторые ошибки), вам нужно будет смонтировать файловую систему вручную и проверить, все ли еще есть подозрительный файл.
Если он исчез, скорее всего, у вас проблема с файловой системой.
Если он все еще там, вы сможете удалить его с помощью
rm -f ~.b
команда.
Дело в том, что если результаты этих усилий, кажется, указывают на rootikit (не плохой диск или файловую систему), вы захотите отформатировать диск и в любом случае выполнить полное восстановление ОС, поскольку вы действительно не уверены Вы вычистили все это.