让root也没办法rm的文件

真是太惊奇了, 公司同事发现一个Linux下的病毒!第一次见到. 我从出生到现在第一次见到, Windows下的哪些东西就见多了.

是这样的, 在一个目录下面有很多文件, 至少可以判断不是自己新建的文件, 全为root权限! 奇怪的是我用root用户进去既然没办法用rm删除, 可以使用chmod修改文件的属性, 可以读写该文件(我用vi打开测试过, 可以读写的), 但就是没办法rm. 我想了好久还是没办法, 今天太忙没顾上哪个问题. 这星期6, 7好好想想. 下星期一去Test一下.太吃惊了.....

由于自己曾经升级过一次公司的文件系统, 感觉对Linux底层文件系统部分还是懂些. 今晚写了个小的测试.

以下操纵全部在root用户下:

我测试的环境:
gcc version 3.4.5 20051201 (Red Hat 3.4.5-2)
2.6.9-34.EL i686 i686 i386 GNU/Linux

我将一个普通文件的i_mode修改为 S_IFDIR后, 这个文件就没办法用rm了, 用cd也没办法看这个文件了.

修改i_mode后可以看到很多奇怪的东西, 这些在普通的root下是没办法用命令修改得到的. 留博记念一下!

struct inode {
struct hlist_node i_hash;
struct list_head i_list;
struct list_head i_dentry;
unsigned long i_ino;
atomic_t i_count;
umode_t i_mode;
....
}

i_mode的具体属性在 include/linux/stat.h文件中可以看到.回家还看电脑好累啊!

问题描叙（可能记的不是太清楚）：

系统应该是RH AS4的，　也许是5 or 3，　但一定是RH的。

在目录"/webhome/"下本应该存放的是公司自己的相关文件，但出现了一个目录"..."， 对就是三个点的目录， 你用“mkdir ...”是没办法新键该目录的， 但可以使用“mkdir ./...”就可以新键了。 你要查看该目录， 由于以“.”开头的文件是隐藏文件， 所以要用“ls -la”来查看，你就可以看到该目录了。

在该"./..."目录下面的目录又有一个目录“.www.xxx.com”,其中xxx我是记不清的部分，应该是哪个破网站的URL。进入在目录后下面就一堆文件，这些文件你是没办法删除的，你可以读写它们，但就是没办法删除， 我用vi打开过该文件，当把vi关闭后目录下又多出来.filename.swp文件， 这个文件我想应该是vi产生的，由于可以新键文件，但没办法删除，所以该文件在vi关闭后就留下了。