どうしても削除できないファイルがあるのです

ワームに進入され、rootユーザーでもどうしても削除できないファイルがあります。

chattr コマンドで全ての属性を外しても駄目。
ファイル名の変更(mv)は出来ません。
パーミッションやオーナー・所属グループの変更は出来ます。
echo XX > fikename で上書きは可能。
このファイルを lsof で確認しましたが開いているプロセスはありません。

何が考えられるでしょうか？
「危険だから再インストールしなさい」という回答は不要です。
(検索するとこういう答えばかりでした)
既にネットワーク上から切り離してスタンドアロン状態です。
また、感染したコマンドなども復旧させMD5チェックサムも確認済みです。
ワームの一部のファイルだけがどうしても削除できないのです。
どのような可能性が考えられるでしょうか？

No.8 回答者： vsba23895 回答日時： 2006/08/14 05:31

># lsof /usr/lib/libsh/shsb

># rm -f shsb
>rm: cannot remove `shsb': 許可がありません
まず、root で作業するなら、コマンドはフルパスで入力すべきです。
/usr/sbin/lsof
/bin/rm
でもそうなりますか ?

しかし、大抵の rootkit は、rm や ls 自体を置き換えてしまうので、/bin/rm や /bin/unlink 自体がが、特定ファイルの削除ができないように仕組まれたバイナリに置き換えられている可能性が大です。つまり、特定ファイルを置かれただけではなく、全面的に感染している訳で、そうなったら、再インストールするしかないですね。

No.7 回答者： FoggyMountain 回答日時： 2006/08/13 14:33

＞ワームが自分の残したファイルだけ削除できなくしている原因(方法？)を知りたいのです。

本来のrmコマンドが、悪意のあるrmコマンド(特定のファイルを削除できない）に
置き換えられているのかもしれません。

または、カーネルの一部が書き換えられて、特定のファイルが削除できないように
されている可能性もあります。

それらの場合でしたら、CDROMからレスキュー起動した環境から削除できる可能性はあります。

いずれにせよ、明らかにワームに感染したのであれば、バックドアなど仕込まれている
可能性もありますので、再インストールしたほうがいいでしょう。

No.6 回答者： notnot 回答日時： 2006/08/13 12:50

原因はちょっと判りませんが、ファイルシステムについて誤解があるようです。

ファイルの削除はそのファイルの属性は関係なく、ディレクトリの書き込み許可属性が関係します。

ディレクトリファイルのエントリからi-nodeへのリンクを消すのがrmコマンドです。新たな名前のエントリを作ってそこからi-nodeへのリンクを張り、古い名前のエントリを消すのがmvコマンドです。
これらはファイルがオープン中でも出来ます。

上書きが可能ということからもそのファイルの属性は問題ないと思います。
ディレクトリの構造が破壊されているのかもしれません。unixだとディレクトリの内容もodコマンドなどで見られますけど、linuxは駄目ですね。
とりあえずfsckで修正はせずにチェックだけしてみては？何らかの情報が得られると思います。

No.5 回答者： FoggyMountain 回答日時： 2006/08/13 12:37

＞今回はワームが自分の残したファイルだけ削除できなくしている原因(方法？)を知りたいのです。

ワームが原因である、と判断した理由を教えてください。

そして、ワームの種類・名前がわかっている筈ですから、それを書いてください。

ネット検索すれば、ワームの名前毎に対処方法がわかる事が多いです。

この回答へのお礼

ありがとうございます。
前記の /usr/lib/libsh が存在することより判断できます。
これらは 複数の rootkit でも検出されています。

対処方法はわかりますが、実際にファイルを削除できないので質問した次第です。
ちなみに該当するプロセスは全てつぶしてあります。

お礼日時：2006/08/13 13:42

No.4 回答者： FoggyMountain 回答日時： 2006/08/13 11:19

CDROMからレスキューモードで起動して、

fsckとファイル削除を試してみてください。

この回答へのお礼

ありがとうございます。
そのような解決方法でしたら多分できると思います。
ただ、今回はワームが自分の残したファイルだけ削除できなくしている原因(方法？)を知りたいのです。
削除できないファイルが１つとかならば、離さないプロセスのせいだと考えられますが、任意のファイルだけ整合性を無くすなんて出来るのですかね？

お礼日時：2006/08/13 12:18

No.3 回答者： a-saitoh 回答日時： 2006/08/13 10:42

fsckなど、ファイルシステム整合性チェックはしましたか?

どうしてもダメなら、clriとかfsdbで強制的に消して、fsckでつじつま合わせをするのが定番です。ただ、linuxにはclriやfsdbコマンドがあるのでしょうか？

No.2 回答者： qaz_qwerty_me 回答日時： 2006/08/13 09:46

　削除に失敗した時のエラーとか、削除できないファイルの具体的な名称が不明だと適切なアドバイスは期待できないですよ。

下記のようにクォーティングしても削除できませんか？
# rm　　-f　　"xxx yyy"

あとは・・・
# rm　　-i　　*
間違って他のファイルを消さないように注意する必要ありますが・・・

この回答への補足

すみません。言葉足らずで。
以下がコマンドラインからの操作です。
削除できないファイルは該当のディレクトリ内に複数存在します。

# pwd
/usr/lib/libsh
# id
uid=0(root) gid=0(root) 所属グループ=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)
# ls -al shsb
-rwxrwxrwx 1 nobody nobody 1345 8月 11 23:06 shsb
# lsatt shsb
------------- shsb
# lsof /usr/lib/libsh/shsb
# rm -f shsb
rm: cannot remove `shsb': 許可がありません
# rm -f "shsb"
rm: cannot remove `shsb': 許可がありません
# rm -f *
rm: cannot remove `hide': 許可がありません
rm: cannot remove `shsb': 許可がありません
rm: cannot remove `utilz': 許可がありません
#

補足日時：2006/08/13 10:03

No.1 回答者： nrb 回答日時： 2006/08/13 09:24

属性を変えて・・削除が出来ない

動いてるから・・削除できないのでは・・・

WINを起動させずに・・・DOS上からコマンドで削除する

この回答へのお礼

ごめんなさい。
Linuxのジャンルへの質問だったのでOSは記述しませんでしたが、OSはRedHatLinux9.0です。
lsof コマンドでもファイルを開いていない(動いてもいない)ことも確認済みです。
また、どうしても削除したいのではなく知識として原因を知りたいのです。
もちろんシングルユーザーモードで起動して削除することは可能だと思いますが。

お礼日時：2006/08/13 09:54