一、先看问题

经过问题详情的查看， 发现攻击者是在etc目录下植入一个zzh和zzhs的文件。

二、解决方法

        1.首先查看文件权限 ：ll | grep zzh

        2.执行 ：rm -r zzhs 成功删除！但是删除zzh这个文件时，提示不允许操作，并且zzh的所有权限是有的。

         3.查看文件是否被禁止操作：lsattr zzh

         4. 删除 ia 参数 ：chattr ia zzh ，提示没有权限。

        5.进入/usr/bin目录，使用：ls -lh chattr;lsattr chattr，查看chattr 命令的权限。

         6.执行以下操作

        [root@lpw01 bin]# cp chattr chattr.new         [root@lpw01 bin]# chmod a+x chattr.new         [root@lpw01 bin]# chattr.new -i chattr         [root@lpw01 bin]# rm -f chattr.new         [root@lpw01 bin]# chmod a+x chattr

大致思路是：复制chattr的副本chattr.new，用chmod来修改chattr.new的权限（号码为755）。然后反过来使用chattr.new打开chattr的权限，再用chmod修改。最后chattr就能使用了。

        7.再次查看 chattr 命令的权限。

         8.回到zzh文件所在目录/etc,使用：chatter -ia zzh,删除 ia 参数。然后使用:rm -rf zzh删除zzh文件。

补充关于权限：i和a的说明

i：不可修改权限 例：chattr u+i filename 则filename文件就不可修改，无论任何人，如果需要修改需要先删除i权限，用chattr -i filename就可以了。查看文件是否设置了i权限用lsattr filename。

a：只追加权限， 对于日志系统很好用，这个权限让目标文件只能追加，不能删除，而且不能通过编辑器追加。可以使用chattr +a设置追加权限。

lsattr命令用于显示文件属性，用chattr执行改变文件或目录的属性，可执行lsattr指令查询其属性

chattr命令用于改变文件属性

chattr 和 chmod区别：

        chmod ：这个是用于设置文件的用户权限！共10 位！

        chattr：这个是文件的属性