Linux CentOS 7.2 排查系统木马

从未在Linuxxito系统上排查过木马，今天遇到了，记录一下。

首先发现redis里的数据被篡改了，并且 crontab -l 查看计划任务，发现root用户多了像wget，curl这样访问外部链接的东西，然后/var/spool/cron下多了很多tempxxxx.rdb这样的文件，还有.swm,swo文件???

打开其中的一个rdb文件，又发现了是在远程下载一个sh文件，怀疑这可能是利用了redis的某个漏洞，创建计划任务，远程下载恶意脚本执行，

好，那先删除这个计划任务吧。

首先 crontab -r 提示“不允许的操作”，我是root用户都没有权限么？又试了试rm /var/spool/cron/tempxxxx.rdb还是提示，没有权限。。。。明明所有者是root用户，root还不能删除root的文件？？什么道理？百度了许久，终于找到了答案，这个家伙肯定是修改了文件的属性，lsattr看一下，果然每个rdb文件都是--------i-------这样类型的，这种文件不能被删除，也不能被重命名

A：即Atime，告诉系统不要修改对这个文件的最后访问时间。

S：即Sync，一旦应用程序对这个文件执行了写操作，使系统立刻把修改的结果写到磁盘。

a：即Append Only，系统只允许在这个文件之后追加数据，不允许任何进程覆盖或截断这个文件。如果目录具有这个属性，系统将只允许在这个目录下建立和修改文件，而不允许删除任何文件。

b：不更新文件或目录的最后存取时间。

c：将文件或目录压缩后存放。

d：当dump程序执行时，该文件或目录不会被dump备份。

D:检查压缩文件中的错误。

i：即Immutable，系统不允许对这个文件进行任何的修改。如果目录具有这个属性，那么任何的进程只能修改目录之下的文件，不允许建立和删除文件。

s：彻底删除文件，不可恢复，因为是从磁盘上删除，然后用0填充文件所在区域。

u：当一个应用程序请求删除这个文件，系统会保留其数据块以便以后能够恢复删除这个文件，用来防止意外删除文件或目录。

t:文件系统支持尾部合并（tail-merging）。

X：可以直接访问压缩文件的内容。

chattr -i 果断删除i属性！-是删除某个对应属性，+就是添加属性，然后再删除还是提示无权限。。。后来想到，可能是父文件夹属性也被修改了，删除父文件夹的i属性后，就可以rm了！让我删个痛快！把这些乱七八糟的rdb文件全部删掉！哈哈哈~~

然后，crontab -r 删除计划任务！重启redis，观察一下没有生成乱七八糟的rdb文件，也没有新生成计划任务了，OK，世界安静了~~