lsattr และ chattr เอาไว้ทำอะไร แก้ operation not permitted

[golfreeze]

เมื่อเวลา รัน command เช่น rm , mv ไปที่บางไฟล์แล้วว่า operation not permitted

เราสามารถทำการเชค permission ไฟล์โดย

lsattr entpdate.service
ถ้าเป็น

#cd /etc/systemd
lsattr entpdate.service
----ia-------e-- entpdate.service

จะไม่สามารถ rm , mv ได้ ต้องทำการปลดสิทธิ์ของไฟล์นี้ออกก่อน

# chattr -ia entpdate.service

แล้วทำการเชค lsattr อีกที
# lsattr entpdate.service
-------------e-- entpdate.service

จะสามารถทำการ rm , mv ไฟล์นั้นได้

ในกรณีโดน trojan ฝังใน linux

===How to Found and Fixed 
0.Check process high cpu or check download trojan packet
1.Check crontab on normal user and user: root
2.cd /etc/systemd found 3 services starting for trojan services
3.found command on /bin and /sbin then “chattr -ia file”
4.reboot server 1 times.