[linux-users:78210] Re: root権限で、ファイルが削除できない。

[Tatsuya BIZENN <bizenn _at_ xxxxxxxxx>]

備前です。

At Thu, 4 Jan 2001 12:09:43 +0900,
桂木 <max _at_ infocargo.net> wrote:

> 先日、会社のサーバーがハッキングされました。
> その際に、/etc/inetd.conファイルを書き換えられてしまいました。

クラッキングされたってことでしょうか?

以前に何度もこのメーリングリストで話題になっていますが、そーいうホスト
は*今すぐ*ネットワークから切り離してください。そして、クリーンインストー
ルするのが唯一確実な方法です(+きちんとしたスキルを持ったコンサルタント
なりを雇ってもろもろ見直すことも大切)。

> そこでこのファイルを削除しようとしたのですが、
> rm: inetd.conf: Operation not permitted  と表示され、削除できませんでし
> た。ちなみに、パーミッションの設定は-rw-r--r--でオーナーとグループはすべ
> てrootになっています。
> このファイルにたいして、chmodやchownなどのコマンドを実行しても、上記のよ
> うなエラーメッセージが表示されます。

chattr で拡張属性に+iしてあるのかもしれません。lsattr してみてください。

  # lsattr /etc/inetd.conf
  ---i-------- /etc/inetd.conf
  #

と出るようでしたら、

  # chattr -i /etc/inetd.conf
  #

とすれば削除できるはずです。もちろん、本当にクラックされたのでしたら、
コマンドの改竄など何でもありなので、これが原因ではないかもしれません。

他にもどんな細工がされているかわかったものではありませんし、そのホスト
を踏台に他所に対して攻撃が行なわれる可能性も高いですから、必ずクリーン
インストールしてください。そして、もう一度設定を見直すことをお薦めしま
す。自信がないのでしたら、スキルを持った人の力を借りましょう。

# 本当は別のマシンを仕立てて、クラックされたホストは保存して調査しない
# といけないのです。どこの弱点を突かれたのかがわからないと、また同じ轍
# を踏みかねない。


-- 備前 達矢
   *.doc/*.xls/*.ppt/*.mdb/HTMLメールは読まずに捨てます
   メールアドレスが bizenn _at_ visha.org に変わりました