rmdir 删除空目录失败

我跟踪ls并获得了更多信息来挖掘（剥离了不重要的系统调用）：

open("empty_dir", O_RDONLY|O_NONBLOCK|O_DIRECTORY|O_CLOEXEC) = 3
getdents(3, /* 3 entries */, 32768)     = 80
write(1, ".\n", 2.)                     = 2
write(1, "..\n", 3..)                   = 3

嗯，我们看到系统调用getdents正常工作并返回了所有 3 个条目（'.'、'..' 和 '_---*'），但ls只写了 '.' 和 '..'。这意味着我们对getdentscoreutils 使用的包装器有一些问题。并且 coreutils 使用readdirglibc 包装器用于getdents. getdents还要证明我从 getdents手册页的示例部分测试了小程序没有问题。该编显示了所有文件。

也许我们刚刚在 glibc 中发现了一个错误？所以我将 glibc 包更新到我的发行版中的最后一个版本，但没有得到任何好的结果。我也没有在 bugzilla 中找到任何相关信息。

所以让我们更深入：

# gdb ls
(gdb) break readdir
(gdb) run
Breakpoint 1, 0x00007ffff7dfa820 in readdir () from /lib64/libncom.so.4.0.1
(gdb) info symbol readdir
readdir in section .text of /lib64/libncom.so.4.0.1

等等，什么？libncom.so.4.0.1？不是libc？是的，我们只是看到了一个带有 libc 函数的恶意共享库，用于隐藏恶意活动：

# LD_PRELOAD=/lib64/libc.so.6 find / > good_find
# find / > injected_find
# diff good_find injected_find
10310d10305
< /lib64/libncom.so.4.0.1
73306d73300
< /usr/bin/_-config
73508d73501
< /usr/bin/_-pud
73714d73706
< /usr/bin/_-minerd
86854d86845
< /etc/ld.so.preload

删除 rootkit 文件，检查所有包的文件（rpm -Va在我的例子中），自动启动脚本，预加载/预链接配置，系统文件（在我的例子中是find /+ rpm -qf），更改受影响的密码，查找和杀死 rootkit 的进程：

# for i in /proc/[1-9]*; do name=$(</proc/${i##*/}/comm); ps -p ${i##*/} > /dev/null || echo $name; done
_-minerd

最后完整系统更新，重新启动并解决问题。黑客成功的原因：ipmi 接口带有非常旧的固件，突然可以从公共网络获得。

您可以在其中debugfs删除文件。您甚至不需要文件名（如果 francois P 在评论中猜测的特殊字符存在问题，这可能是相关的）：

kill_file <26808797>

在我的例子中，这是因为文件系统被挂载为 cifs smb/samba 共享，具有以下全局选项：

[global]
   vfs objects = catia fruit streams_xattr
   fruit:aapl = yes

这提供了与 Apple 计算机的兼容性以及他们为所有媒体类型（例如 mp4）创建辅助元数据流的愿望。

但它的工作方式是创建不可见的点文件（例如.apple.mp4for apple.mp4，它不能被远程系统删除，并且如果本地系统删除apple.mp4但不删除点文件，它可能会不同步。

解决方案是返回本地系统，点文件在该系统中可见并且可以rm“d”。