消せないディレクトリ

ホームページを運営していますが、最近サーバをハックされて、消えないディレクトリを作られてしまいました。 ssh コマンドで$ rm -rf dir/を叩いても削除できません。chmod で権限を変えようとすると文字化けしたエラーが出て変えることができません。ディレクトリの中のファイルも同様で削除も権限もファイル名も変えられません。もちろんＦＴＰでも削除できません。何方かご存知でしたらご教授お願い致します。

No.5 回答者： guriaa 回答日時： 2008/05/14 10:03

>$ \/rm -ir '--' ./*

>ということでしょうか？

いえ、

$ \rm -ir -- ./*

です。
./*はカレントディレクトリのすべてという意味です。
rmの前のバックスラッシュは、alias等が効いている場合、無効にする、という意味で、
--（ハイフンハイフン）は、ファイル名が-(ハイフン)で始まっていても
良いように、です。

ちなみに、既にご存知かとは思いますが、
-ir
のiは削除するかどうか逐一ユーザに問い合わせよ、という意味で、
rはリカーシブ（ディレクトリも消せるように）です。

>$ \rm -r '***'
>
>となるのでしょうか？

***というファイル名なら、それでよいかと思います。
お使いのshがbashであれば、
コマンドラインから、「'<ファイル名の最初の文字>tab」（シングルクォート+ファイル名の最初の文字+tabキー)でファイル名の候補が表示されますので、怪しいファイル名が表示されたら、もう一度シングルクォートを入力する。

$ rm -ir '*<tabキー>
で仮に
$ rm -ir '***
というファイル名が表示されたら、
$ rm -ir '***'
とシングルクォーテーションを追加する。

で、これは何をやっているかというと、
ダブルクォート(")であればbash側で文字列を展開してしまうので、
展開しないようにシングルクォート(')で囲んでみてはどうか
と思った次第です。

>もちろんその件はサーバ管理会社へ調査してくれるようお願いしましたが、返信無しです。

質問を拝見してまず思ったのは、
どうしてご自分の領域、ユーザでクラックされたと特定されたのか、
somocoさんのミスでクラックされたと特定できたのか、
ということでした。

つまり、同一サーバの他ユーザや、サーバのルートが既に奪取された
状態で被害に会われている可能性も無くはないのではないかと。

仮にsomocoさんのミスでクラックされていたとしても、
正しい手順としては、まず該当サーバをインターネットから完全に
隔離することだと思っています。
なんらかの手を打ってこないとすれば、良くわかりませんが、
その管理会社はちょっと信用できない気がしました。

この回答へのお礼

ご回答ありがとうございます。
返信遅れて申し訳ございません。
今回の件でLinux サーバの勉強もしなければならないと痛感しました。
一応管理会社へ連絡を入れ、ディレクトリを削除してもらいました。
他に被害はなかったようで、安心しています。
マカフィーのサイトアドバイザーでも異常があったのですが、今は無く安心して運営できます。
http://www.siteadvisor.com/
これからコマンドも勉強して行きたいと思います。
親切なアドバイス大変感謝しています。
ありがとうございました。

お礼日時：2008/05/21 02:32

No.4 回答者： guriaa 回答日時： 2008/05/12 22:13

よくわからないのですが、

管理会社にはクラックされたことが伝わっている、

にもかかわらずフィッシングサイト扱いされた状態であるということでしょうか？
そうだとするなら、管理会社を変更するのが良いような気がします。

あと、rootkit検出・削除ツールが世に出回っているので
使用してみてはいかがでしょうか？


root権限がないとだめかもしれませんが。

すみません。参考になりませんね・・・。

この回答へのお礼

ご回答感謝します。
連絡をしてディレクトリを削除してもらったのですが、相変わらずフィッシング扱いです。もちろんその件はサーバ管理会社へ調査してくれるようお願いしましたが、返信無しです。
ご指摘の通り、サーバを変えようと思っています。
それから、前頁で下記コマンドの*はディレクトリ名でしょうか？

$ \rm -ir -- ./*
>念のため'--'(ハイフンハイフン）もつけておく。あと、rmの前にバックスラッシュも。
$ \/rm -ir '--' ./*
ということでしょうか？

>それでだめなら、
$ \rm -r '最初の文字 + tab
で、対象が表示されたら、'（シングルクォート）で閉じてみる。

$ \rm -r '***'

となるのでしょうか？
まだ消せないファイルが残っていますので、試してみたいと思います。
他にもサービスの良いホスティング社がありますので、乗り換え検討してみます。

お礼日時：2008/05/14 03:55

No.3 回答者： guriaa 回答日時： 2008/05/10 01:39

$ \rm -ir -- ./*

とやってみてはどうでしょうか？

念のため'--'(ハイフンハイフン）もつけておく。あと、rmの前にバックスラッシュも。

それでだめなら、

$ \rm -r '最初の文字 + tab

で、対象が表示されたら、'（シングルクォート）で閉じてみる。

っていうのはどうでしょう？

この回答へのお礼

ご親切のアドバイス感謝します。
サーバ管理会社に頼んで削除してもらいました。
ＦＴＰで見てもそれらしきファイルは見当たらないですが、下記マカフィーのサイトアドバイザーで分析してもらうと
http://www.siteadvisor.com/sites/

"マカフィーの分析によると、このサイトは、ユーザの個人情報または財務情報を不正に取得してオンライン詐欺を行うために作成された可能性があります。"

と表示され、まるでフィッシングサイト扱いされてトホホ状態です。
サイトに何か仕掛けられていると思いますが、見えないファイルを相手にお手上げ状態です。
何か調べる方法はあるのでしょうか？

お礼日時：2008/05/11 01:34

No.2 回答者： justraver 回答日時： 2008/05/05 00:04

早いのは、たまたまです(笑)

え～、レンタルサーバーなのですか？
ハックされたって個人分をですか？(レンタルしている範囲)
管理人に連絡して停めてもらって下さい。

今まで、コマンドを使ってメッセージが化けたりしてなかったのですか？
export LANG=C
として、同じコマンドを叩いてみて何のメッセージか確認した方がいいですね。
日本語ではなく英語で表示される筈です。

被害が拡大する前に管理人に連絡を。自分だけの問題のうちに。

この回答へのお礼

ご回答ありがとうございます。
個人アカウントからルートを取られる恐れもあるのでしょうか？
もしそうでしたら考えるだけでも、、、、^^;

数ヶ月前からフィッシングページが作られているようで、根元のフォルダ名は変更できるので変えて対応していますが、、。
サーバ会社へ対応を頼むつもりですが、起こりうる事態としてどのようなことが想定されるでしょうか？
宜しくお願い致します。

お礼日時：2008/05/05 23:27

No.1 回答者： justraver 回答日時： 2008/05/04 22:37

文字化け起こしているだけじゃないですか？

rm -f "最初の文字 + tab

で、ディレクトリの表示はされます？
出来るようならそのまま「"」で閉じて削除してみて下さい。
オーナーがルートで削除が出来ないって事じゃないですよね？

怪しげな名称ならtabキーで補完できるならそれをそのまま使うと上手くいく事があります。
あと、攻撃を受けているなら忍ばせたデーモンによってファイルがロックされているって事はないですか？
プロセスも確認した方がいいですよ。

この回答へのお礼

早速のご教授ありがとうございます。
初めての利用ですが、こんなに早く回答が帰って来ることに驚いています。
ご回答の
rm -f "最初の文字 + tab　でディレトリは表示できます。
rm -rf "******" で削除すると
cannot remove '*****' DE?????DE??? と文字化けを起こして終了して削除できません。
パスワードを変えても別ディレクトリに変えられしまいますので、仰る通り何か仕掛けられているかも知れません。
恥ずかしながらlinux は初心者で必要最小限の　command しか知りません。
レンタルサーバですので、ルートが取られることは無いと思います。
検索で調べた方がいいかとも思いますが、急ぎの作業でそれもままならず教えを乞うている次第です。
お手を煩わして大変恐縮ですが、忍ばせたデーモンによってファイルがロックされていることはどうやって調べるのでしょうか？
宜しくお願い致します。

お礼日時：2008/05/04 23:24