Linux 挖矿程序把病毒文件锁住了，删不了，怎么破？（chattr）

😄 有幸，遇到过几次挖矿病毒，Linux 主机的关键命令都被删除替换，病毒文件被加了 i 只读权限，变成只读文件，root 无法修改删除！😦

本文就讲讲，怎么把这些加了锁的只读文件去 i 取消只读！

chattr 就是这个命令，设置只读加 i，万恶的挖矿程序必然会删除这个命令，因此需要去同版本的其他正常主机拷贝，否则，无法使用该命令！

1、+i：设置文件只读

chattr +i 文件

一旦使用 chattr 成为只读文件，就不会有其他操作在文件上取得成功，root 也不行，老天爷来了都没用！

2、-i：取消文件只读

chattr -i 文件

3、-R +i：设置文件目录只读

chattr -R +i 文件目录

4、-R -i：取消文件目录只读

chattr -i 文件目录

5、+a：追加文件内容，无法删除编辑

chattr +i 文件

现在可以附加内容到文件中，但是不能编辑文件中的现有信息，也不能删除文件。

6、-a：取消文件追加和只读

chattr -a 文件

-ai 和 +ai 也可以同时使用！

到目前为止，为了检查是否成功执行了 chattr 目录，我们尝试执行一些操作，如编辑文件或删除它。但是有一个单独的命令，可以让您轻松地查看文件是否有某个属性。这个命令是 lsattr 。

lsattr 文件

既然，都已经通过上面的命令将这些病毒文件给取消只读了，接下来，直接用 rm -rf 删掉他们，记住，不要删错咯！

本次分享到此结束啦~

如果觉得文章对你有帮助，点赞、收藏、关注、评论，一键四连支持，你的支持就是我创作最大的动力。

❤️ 技术交流可以 关注公众号：Lucifer三思而后行 ❤️