不明原因的可执行属性

[lilydjwg]

好了，多谢各位。

补救的办法，就这个样子了——不然就得再复杂一点，利用file检测文件的mime属性，然后决定是否添加可执行属性。

这问题不讨论了。

现在能否提供一个方法给我，让我能检测出，到底是哪个程序在干坏事？利用日志？安装杀软？还是……

你的文件系统格式是？

[sarrow]

雪狐，有何指教？

我除了swap分区，都是ext4格式。

[lilydjwg]

雪狐，有何指教？

我除了swap分区，都是ext4格式。

我符号链接到家目录下的其他两个分区中的文件，也没有逃脱上述厄运。非家目录的，root所有者的文件夹/分区，则没有出现问题

你是说，你的家目录下有两个符号链接，它指向其它分区的普通文件？

你试试以下操作：
* 在家目录下符号链接其它分区的目录
* 在非家目录下建立属于自己的目录，里边放些正常文件
* 检查被改变文件的 ctime

[sarrow]

然后呢？雪狐，多说点吧。因为，我也不知道下一次出问题是什么时候。等到下一次，我都不知道自己还记得住不？

这玩意儿是不定时的——反正没发现规律。

[aerofox]

可以时不时地把所有进程都列出来，看看能不能发现可疑的程序。
改文件的权限很快的，估计想抓个现行的话，不太容易。但我估计如果有个捣蛋的进程，它应该不止是改改权限，所以运气好的话，也许能猜出来。

[lilydjwg]

然后呢？雪狐，多说点吧。因为，我也不知道下一次出问题是什么时候。等到下一次，我都不知道自己还记得住不？

这玩意儿是不定时的——反正没发现规律。

静观其变，找规律，获取更多的信息。

可以时不时地把所有进程都列出来，看看能不能发现可疑的程序。
改文件的权限很快的，估计想抓个现行的话，不太容易。但我估计如果有个捣蛋的进程，它应该不止是改改权限，所以运气好的话，也许能猜出来。

这样可能等太久。另外，可以用 inotify 试试，这个应该更可靠（不过需要编程）。

[aerofox]

时不时地把所有进程都列出来，这个过程也可以自动进行，这样就不太累了。

代码： 全选

#!/bin/bash
while true; do
    LSTFILE=~/all_processes.lst
    TMPFILE=/tmp/TMP$$
    touch $LSTFILE
    (cat $LSTFILE; ps ax -ouser=,cmd=) | sort -u > $TMPFILE
    mv $TMPFILE $LSTFILE
    sleep 30
done

[sulow]

呃。。。看一下你的 ~/.bashrc
# umask 022 <---找到这个。。
看看是怎么写的。。

[自由建客]

用 inotify，监视一个文件就够了！

[lilydjwg]

用 inotify，监视一个文件就够了！

这个只能看到属性更改事件，不能找到是谁干的。

[自由建客]

audit 呢？