ワームに進入され、rootユーザーでもどうしても削除できないファイルがあります。
chattr コマンドで全ての属性を外しても駄目。
ファイル名の変更(mv)は出来ません。
パーミッションやオーナー・所属グループの変更は出来ます。
echo XX > fikename で上書きは可能。
このファイルを lsof で確認しましたが開いているプロセスはありません。
何が考えられるでしょうか?
「危険だから再インストールしなさい」という回答は不要です。
(検索するとこういう答えばかりでした)
既にネットワーク上から切り離してスタンドアロン状態です。
また、感染したコマンドなども復旧させMD5チェックサムも確認済みです。
ワームの一部のファイルだけがどうしても削除できないのです。
どのような可能性が考えられるでしょうか?
A 回答 (8件)
- 最新から表示
- 回答順に表示
No.8
- 回答日時:
># lsof /usr/lib/libsh/shsb
># rm -f shsb
>rm: cannot remove `shsb': 許可がありません
まず、root で作業するなら、コマンドはフルパスで入力すべきです。
/usr/sbin/lsof
/bin/rm
でもそうなりますか ?
しかし、大抵の rootkit は、rm や ls 自体を置き換えてしまうので、/bin/rm や /bin/unlink 自体がが、特定ファイルの削除ができないように仕組まれたバイナリに置き換えられている可能性が大です。つまり、特定ファイルを置かれただけではなく、全面的に感染している訳で、そうなったら、再インストールするしかないですね。
No.7
- 回答日時:
>ワームが自分の残したファイルだけ削除できなくしている原因(方法?)を知りたいのです。
本来のrmコマンドが、悪意のあるrmコマンド(特定のファイルを削除できない)に
置き換えられているのかもしれません。
または、カーネルの一部が書き換えられて、特定のファイルが削除できないように
されている可能性もあります。
それらの場合でしたら、CDROMからレスキュー起動した環境から削除できる可能性はあります。
いずれにせよ、明らかにワームに感染したのであれば、バックドアなど仕込まれている
可能性もありますので、再インストールしたほうがいいでしょう。
No.6
- 回答日時:
原因はちょっと判りませんが、ファイルシステムについて誤解があるようです。
ファイルの削除はそのファイルの属性は関係なく、ディレクトリの書き込み許可属性が関係します。
ディレクトリファイルのエントリからi-nodeへのリンクを消すのがrmコマンドです。新たな名前のエントリを作ってそこからi-nodeへのリンクを張り、古い名前のエントリを消すのがmvコマンドです。
これらはファイルがオープン中でも出来ます。
上書きが可能ということからもそのファイルの属性は問題ないと思います。
ディレクトリの構造が破壊されているのかもしれません。unixだとディレクトリの内容もodコマンドなどで見られますけど、linuxは駄目ですね。
とりあえずfsckで修正はせずにチェックだけしてみては?何らかの情報が得られると思います。
No.5
- 回答日時:
>今回はワームが自分の残したファイルだけ削除できなくしている原因(方法?)を知りたいのです。
ワームが原因である、と判断した理由を教えてください。
そして、ワームの種類・名前がわかっている筈ですから、それを書いてください。
ネット検索すれば、ワームの名前毎に対処方法がわかる事が多いです。
ありがとうございます。
前記の /usr/lib/libsh が存在することより判断できます。
これらは 複数の rootkit でも検出されています。
対処方法はわかりますが、実際にファイルを削除できないので質問した次第です。
ちなみに該当するプロセスは全てつぶしてあります。
No.3
- 回答日時:
fsckなど、ファイルシステム整合性チェックはしましたか?
どうしてもダメなら、clriとかfsdbで強制的に消して、fsckでつじつま合わせをするのが定番です。ただ、linuxにはclriやfsdbコマンドがあるのでしょうか?
No.2
- 回答日時:
削除に失敗した時のエラーとか、削除できないファイルの具体的な名称が不明だと適切なアドバイスは期待できないですよ。
下記のようにクォーティングしても削除できませんか?
# rm -f "xxx yyy"
あとは・・・
# rm -i *
間違って他のファイルを消さないように注意する必要ありますが・・・
この回答への補足
すみません。言葉足らずで。
以下がコマンドラインからの操作です。
削除できないファイルは該当のディレクトリ内に複数存在します。
# pwd
/usr/lib/libsh
# id
uid=0(root) gid=0(root) 所属グループ=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)
# ls -al shsb
-rwxrwxrwx 1 nobody nobody 1345 8月 11 23:06 shsb
# lsatt shsb
------------- shsb
# lsof /usr/lib/libsh/shsb
# rm -f shsb
rm: cannot remove `shsb': 許可がありません
# rm -f "shsb"
rm: cannot remove `shsb': 許可がありません
# rm -f *
rm: cannot remove `hide': 許可がありません
rm: cannot remove `shsb': 許可がありません
rm: cannot remove `utilz': 許可がありません
#
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
関連するカテゴリからQ&Aを探す
おすすめ情報
- ・漫画をレンタルでお得に読める!
- ・街中で見かけて「グッときた人」の思い出
- ・「一気に最後まで読んだ」本、教えて下さい!
- ・幼稚園時代「何組」でしたか?
- ・激凹みから立ち直る方法
- ・1つだけ過去を変えられるとしたら?
- ・【あるあるbot連動企画】あるあるbotに投稿したけど採用されなかったあるある募集
- ・【あるあるbot連動企画】フォロワー20万人のアカウントであなたのあるあるを披露してみませんか?
- ・映画のエンドロール観る派?観ない派?
- ・海外旅行から帰ってきたら、まず何を食べる?
- ・誕生日にもらった意外なもの
- ・天使と悪魔選手権
- ・ちょっと先の未来クイズ第2問
- ・【大喜利】【投稿~9/7】 ロボットの住む世界で流行ってる罰ゲームとは?
- ・推しミネラルウォーターはありますか?
- ・都道府県穴埋めゲーム
- ・この人頭いいなと思ったエピソード
- ・準・究極の選択
- ・ゆるやかでぃべーと タイムマシンを破壊すべきか。
- ・歩いた自慢大会
- ・許せない心理テスト
- ・字面がカッコいい英単語
- ・これ何て呼びますか Part2
- ・人生で一番思い出に残ってる靴
- ・ゆるやかでぃべーと すべての高校生はアルバイトをするべきだ。
- ・初めて自分の家と他人の家が違う、と意識した時
- ・単二電池
- ・チョコミントアイス
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
Dirコマンドでフォルダ内ファイ...
-
ラズパイで『’test.service’をs...
-
ファイル名についている「-」と...
-
テキストファイルから最終行の抽出
-
ファイル名一覧の印刷
-
cpio使ってた人はtarが流行りだ...
-
ファイル編集について
-
コマンドプロンプト dir でのソ...
-
DOS コマンドの~zfの意味を教え...
-
ファイルの属性を変更できない
-
batファイルの強制終了を回避し...
-
Linuxで標準出力したファイルの...
-
DOSコマンドのFOR文で空白を含...
-
oracleの文字コードとlinuxサー...
-
ファイルが書き込み中かどうか...
-
safari ブックマークの読み込...
-
Windows上にて、コマンドでunco...
-
linuxなどの圧縮、解凍は何故一...
-
ls * で表示可能なファイル数は...
-
CentOS7でTar/Gzip圧縮が失敗し...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
Dirコマンドでフォルダ内ファイ...
-
ファイル名についている「-」と...
-
ラズパイで『’test.service’をs...
-
テキストファイルから最終行の抽出
-
DOSコマンドのFOR文で空白を含...
-
DOS コマンドの~zfの意味を教え...
-
ファイル名一覧の印刷
-
数字を複数回繰り返す正規表現...
-
xcopyのエラー情報のはき...
-
Linuxで標準出力したファイルの...
-
oracleの文字コードとlinuxサー...
-
batファイルの強制終了を回避し...
-
コマンドプロンプト dir でのソ...
-
Windowsバッチファイルで、隠し...
-
ftpコマンドで丸ごとダウン...
-
ファイル編集について
-
作成日時でのファイル検索
-
特定の更新日付のファイルのみ...
-
ピクチャクリッピングのファイ...
-
ファイル名の -(ハイフン)を _(...
おすすめ情報