Lunix chattr命令被篡改 导致root无法编辑文件

        作为一个小白管理员，其实我们课题组的服务器早就被黑了，每次登录系统一行红字就会提示我系统被黑，请尽快处理！虽然每次这行字都刺痛了我的心，但是我还是选择了无视，毕竟我的原则就是只要不影响使用，我愿意跟黑客大佬和平共处...（卑微弱小无助.jpg）。

       然鹅！！！服务器的图形界面不能使用了！师弟紧急求助！没办法了...是时候跟可恶的挖矿大佬交手了

目录

前言

一、W10: Warning: Changing a readonly file

1、xterm Xt error: Can't open display: xterm: DISPLAY is not set

 2、W10: Warning: Changing a readonly file

二、chattr命令被篡改

1.重新下载chattr.c

2.编译生成a.out并改名为chattr

3. 运行chattr命令修改sshd.config的权限  

总结 

---

前言

        我们服务器的图形界面失效了，为了重新使用X11，需要修改sshd.config文件，但是遇到了root用户也不能修改的问题。

---

一、W10: Warning: Changing a readonly file

1、xterm Xt error: Can't open display: xterm: DISPLAY is not set

首先是遇到了xterm不能使用的问题，对于这个问题，需要修改配置文件/etc/ssh/sshd.config，然后重启sshd服务就可以了

# vi 进入 sshd.config 修改配置文件
AllowTcpForwarding yes
X11Forwarding yes
#在终端运行如下代码，重启ssh
/etc/init.d/sshd restart

 2、W10: Warning: Changing a readonly file

 在修改配置文件/etc/ssh/sshd.config时，底部提示了无法修改（尽管我是至高无上的root用户），用wq!仍然没有权限修改并保存。

二、chattr命令被篡改

1.重新下载chattr.c

        经过一番了解，可能是我们服务器上被植入了挖矿程序，万恶的矿工一般会采用chattr命令可以修改文件的隐藏属性，达到无法删除文件的目的，这样他们就可以随心所欲的按照他们的想法配置你的服务器。

        我尝试输入了chattr，并没有什么反应。也就是说我们服务器的sshd.config文件别人用 chattr 锁定了，禁止写入。然后他还把chattr命令用了某种方法让我不可用了，导致我没法把权限改回来。因此我需要重新编译chattr，夺回chattr对文件的权限控制权！

在 github 下载源码：

2.编译生成a.out并改名为chattr

cc chattr.c

3. 运行chattr命令修改sshd.config的权限  

sudo ./chattr -ia /etc/ssh/sshd.config

解除权限之后，就可以用vi对sshd.config进行编辑了，只需要将X11Forwarding 改为yes就可以啦！

 

 至此，图形界面的问题应该是解决了。但为了以后可以继续使用正常的chattr，需要对原来的chattr解除限制，然后将重新编译的chattr替换掉。

sudo ./chattr -ia /usr/bin/chattr 

rm /usr/bin/chattr 
cp chattr /usr/bin/

三、重启ssh

我是centos系统，在终端输入：

service sshd restart

可能是服务器被黑的原因吧，这句平平无奇的代码果然也是没什么用，含泪手动重启服务器，重启之后ssh也就重启了。

图形界面恢复正常！ 

---

总结

有些事情终要面对，小小的问题还是花了一天时间才搞定！