ワームに進入され、rootユーザーでもどうしても削除できないファイルがあります。
chattr コマンドで全ての属性を外しても駄目。
ファイル名の変更(mv)は出来ません。
パーミッションやオーナー・所属グループの変更は出来ます。
echo XX > fikename で上書きは可能。
このファイルを lsof で確認しましたが開いているプロセスはありません。
何が考えられるでしょうか?
「危険だから再インストールしなさい」という回答は不要です。
(検索するとこういう答えばかりでした)
既にネットワーク上から切り離してスタンドアロン状態です。
また、感染したコマンドなども復旧させMD5チェックサムも確認済みです。
ワームの一部のファイルだけがどうしても削除できないのです。
どのような可能性が考えられるでしょうか?
A 回答 (8件)
- 最新から表示
- 回答順に表示
No.8
- 回答日時:
># lsof /usr/lib/libsh/shsb
># rm -f shsb
>rm: cannot remove `shsb': 許可がありません
まず、root で作業するなら、コマンドはフルパスで入力すべきです。
/usr/sbin/lsof
/bin/rm
でもそうなりますか ?
しかし、大抵の rootkit は、rm や ls 自体を置き換えてしまうので、/bin/rm や /bin/unlink 自体がが、特定ファイルの削除ができないように仕組まれたバイナリに置き換えられている可能性が大です。つまり、特定ファイルを置かれただけではなく、全面的に感染している訳で、そうなったら、再インストールするしかないですね。
No.7
- 回答日時:
>ワームが自分の残したファイルだけ削除できなくしている原因(方法?)を知りたいのです。
本来のrmコマンドが、悪意のあるrmコマンド(特定のファイルを削除できない)に
置き換えられているのかもしれません。
または、カーネルの一部が書き換えられて、特定のファイルが削除できないように
されている可能性もあります。
それらの場合でしたら、CDROMからレスキュー起動した環境から削除できる可能性はあります。
いずれにせよ、明らかにワームに感染したのであれば、バックドアなど仕込まれている
可能性もありますので、再インストールしたほうがいいでしょう。
No.6
- 回答日時:
原因はちょっと判りませんが、ファイルシステムについて誤解があるようです。
ファイルの削除はそのファイルの属性は関係なく、ディレクトリの書き込み許可属性が関係します。
ディレクトリファイルのエントリからi-nodeへのリンクを消すのがrmコマンドです。新たな名前のエントリを作ってそこからi-nodeへのリンクを張り、古い名前のエントリを消すのがmvコマンドです。
これらはファイルがオープン中でも出来ます。
上書きが可能ということからもそのファイルの属性は問題ないと思います。
ディレクトリの構造が破壊されているのかもしれません。unixだとディレクトリの内容もodコマンドなどで見られますけど、linuxは駄目ですね。
とりあえずfsckで修正はせずにチェックだけしてみては?何らかの情報が得られると思います。
No.5
- 回答日時:
>今回はワームが自分の残したファイルだけ削除できなくしている原因(方法?)を知りたいのです。
ワームが原因である、と判断した理由を教えてください。
そして、ワームの種類・名前がわかっている筈ですから、それを書いてください。
ネット検索すれば、ワームの名前毎に対処方法がわかる事が多いです。
ありがとうございます。
前記の /usr/lib/libsh が存在することより判断できます。
これらは 複数の rootkit でも検出されています。
対処方法はわかりますが、実際にファイルを削除できないので質問した次第です。
ちなみに該当するプロセスは全てつぶしてあります。
No.3
- 回答日時:
fsckなど、ファイルシステム整合性チェックはしましたか?
どうしてもダメなら、clriとかfsdbで強制的に消して、fsckでつじつま合わせをするのが定番です。ただ、linuxにはclriやfsdbコマンドがあるのでしょうか?
No.2
- 回答日時:
削除に失敗した時のエラーとか、削除できないファイルの具体的な名称が不明だと適切なアドバイスは期待できないですよ。
下記のようにクォーティングしても削除できませんか?
# rm -f "xxx yyy"
あとは・・・
# rm -i *
間違って他のファイルを消さないように注意する必要ありますが・・・
この回答への補足
すみません。言葉足らずで。
以下がコマンドラインからの操作です。
削除できないファイルは該当のディレクトリ内に複数存在します。
# pwd
/usr/lib/libsh
# id
uid=0(root) gid=0(root) 所属グループ=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)
# ls -al shsb
-rwxrwxrwx 1 nobody nobody 1345 8月 11 23:06 shsb
# lsatt shsb
------------- shsb
# lsof /usr/lib/libsh/shsb
# rm -f shsb
rm: cannot remove `shsb': 許可がありません
# rm -f "shsb"
rm: cannot remove `shsb': 許可がありません
# rm -f *
rm: cannot remove `hide': 許可がありません
rm: cannot remove `shsb': 許可がありません
rm: cannot remove `utilz': 許可がありません
#
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- 画像編集・動画編集・音楽編集 動画のトリミング 結合 削除が可能なフリーソフト 2 2022/05/02 22:08
- UNIX・Linux ファイル・フォルダーの削除方法 2 2022/05/19 14:04
- その他(プログラミング・Web制作) DOSコマンドに詳しい方、お知恵をお貸しください 5 2022/11/04 20:55
- Windows 10 win10 立ち上げ時のエラー 1 2023/04/17 11:55
- Excel(エクセル) Excelを開くとエラーが出る 2 2022/10/03 16:13
- Visual Basic(VBA) エクセルのマクロについて教えてください。 4 2023/07/03 09:11
- デスクトップパソコン 大量のファイルの中から壊れた動画ファイルを検出して削除したい 2 2023/08/11 22:16
- C言語・C++・C# exeファイルが作れない(windows10) 6 2022/08/13 08:47
- Windows 10 Mcfeeの「抹消」を実行すれば、そのファイルが完全に消去された分 PCの空き容量は増えますか? 5 2023/05/06 14:40
- マルウェア・コンピュータウイルス FlashPlayerの削除とマルウェア感染について 5 2023/02/23 20:52
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
Dirコマンドでフォルダ内ファイ...
-
ファイル名についている「-」と...
-
ラズパイで『’test.service’をs...
-
xcopyのエラー情報のはき...
-
テキストファイルから最終行の抽出
-
DOSコマンドのFOR文で空白を含...
-
scpコマンドで、「追記」のオプ...
-
DOS コマンドの~zfの意味を教え...
-
DUとLSの表示の差
-
~以外を削除する場合(rmコマ...
-
"ls -l"でのタイムスタンプ表示...
-
ファイル編集について
-
ファイルが消せない、移動でき...
-
Linuxで標準出力したファイルの...
-
FTP接続時の文字化け(CentOS6.5)
-
処理結果(標準出力と標準エラー...
-
どうしても削除できないファイ...
-
ごみ箱に入れるWindows コマン...
-
tar圧縮ファイルが作成できず困...
-
lsでは一画面ずつ表示できませ...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
Dirコマンドでフォルダ内ファイ...
-
ファイル名についている「-」と...
-
テキストファイルから最終行の抽出
-
ラズパイで『’test.service’をs...
-
xcopyのエラー情報のはき...
-
DOSコマンドのFOR文で空白を含...
-
Linuxで標準出力したファイルの...
-
oracleの文字コードとlinuxサー...
-
DOS コマンドの~zfの意味を教え...
-
batファイルの強制終了を回避し...
-
ファイル名一覧の印刷
-
win11のエクスプローラーの右ク...
-
特定の更新日付のファイルのみ...
-
数字を複数回繰り返す正規表現...
-
コマンドプロンプト dir でのソ...
-
ファイル名の -(ハイフン)を _(...
-
TeXでの見出しの変更は可能でし...
-
Windowsバッチファイルで、隠し...
-
「Vmmem」のメモリ使用量が高い...
-
cpコマンドで強制的に上書きし...
おすすめ情報