[[email protected] ~]# lsattr /etc/cron.d/root
---------------- /etc/cron.d/root
[[email protected] ~]# rm -rf /etc/cron.d/root
rm: cannot remove ‘/etc/cron.d/root ’: Permission denied
应该是被入侵了，执行下面的命令，看看哪些系统命令被修改了：
`for i in $(rpm -qa); do rpm -V $i |& grep bin;done`

执行结果是这样 -bash: S.5....T.: command not found
有什么异常啊

确实是入侵了 但是 /etc/cron.d 目录下的文件删除不了

你需要 busybox

试过了 也是提示没有权限啊

ll 看一下

关掉 selinux，用 busybox 改 mode 为 700 再删
实在不行就回滚快照吧……

被入侵就别想着删删改改能恢复，把确认没被修改的有用数据移到新服务器后，这一台就重做系统吧

先试下：
chattr -i o
再删除试试

搞错了 :)

这么神奇？同等目录 其他文件也不行吗？

https://i.loli.net/2019/04/23/5cbef667525a3.png
就是这么神奇


[[email&~]./busybox chmod 700 /etc/cron.d/root
[[email&~]./busybox rm -rf /etc/cron.d/root
rm: can't remove '/etc/cron.d/root': Permission denied

看截图，是运行了 chattr -i 导致的吧，要弄清楚这个命令有什么作用再用啊
man chattr 看到的解释如下：
A file with the 'i' attribute cannot be modified: it cannot be deleted or renamed

你看下是不是 /etc/cron.d 目录设置了 immutable 了


之前不能创建文件 现在可以了
[[email&cron.d]lsattr /etc/cron.d/
---------------- /etc/cron.d/root
-------------e-- /etc/cron.d/0hourly
-------------e-- /etc/cron.d/1
-------------e-- /etc/cron.d/sysstat
删除提示变了
[[email&cron.d]rm -rf root
rm: cannot remove ‘ root ’: Operation not permitted

我那个不是去除 i 的属性吗？？

同意八楼，把可信的有用的数据备份到新系统吧。

定时任务有啥异常吗？把异常点都贴出来啊

对比后发现
----------I--e-- /etc
这个目录多了 I 属性 怎么去掉

第一件事不是用 fuser 吗

这个我知道， 最近才操作过。
chattr -i /etc/cron.d/root
rm -rfv /etc/cron.d/root

好了 解决了 这件事 因为 redis 被入侵 阿里云安全组出问题导致所有端口暴露
万幸的是定时任务并没有执行，数据库 svn 都在
生产环境 redis 端口改了也加了密码
无法删除是因为 cron.d 文件夹 ai 特殊权限的问题
一开始光想着 cron.d 文件夹下的特殊权限了
感谢大家帮助

本次服务器是测试服务器 还好

心惊肉跳的结束了。。。

老哥我还是给你安利 xabcloud.com 这种低级问题就不该出现

好的 完了研究研究

第一反应居然是，会不会是 rm 程序被人换掉了。。。

最开始我就发现了 命令都排查了 rm 确实换了 不过我都换回来了

可能你的删除命令被锁定了