[fol] Re: [Q]rm でファイルを消したいのですが・・・

[masakazu _at_ xxxxxxxxxxxx (Masakazu Yamada)]

>>>>> In <85d5ui$k1r$1 _at_ news01bf.so-net.ne.jp> 
>>>>>	くまきら〜＠電脳組 <aki _at_ kira.to.NO-SPAM> wrote:

> ハッカーにシステムをハッキングされてしまい、
> loginコマンドが不正に変更されたので消そうとしましたが
> 何故か消せません。

まず、問題のマシンをネットワークから遮断します。次に、新しいディスクを
用意して、新規にシステムを再構築しましょう。クラックされたものは、その
ままいじらずに証拠保全した方が良いでしょう。

Linux Rootkitというのをインストールされているかも知れません。こんな内
容です。
This packages includes the following:
bindshell       port/shell type daemon!
chfn            Trojaned! User->r00t
chsh            Trojaned! User->r00t
crontab         Trojaned! Hidden Crontab Entries
du              Trojaned! Hide files
find            Trojaned! Hide files
fix             File fixer!
ifconfig        Trojaned! Hide sniffing
inetd           Trojaned! Remote access
killall         Trojaned! Wont kill hidden processes
linsniffer      Packet sniffer!
login           Trojaned! Remote access
ls              Trojaned! Hide files
netstat         Trojaned! Hide connections
passwd          Trojaned! User->r00t
pidof           Trojaned! Hide processes
ps              Trojaned! Hide processes
rshd            Trojaned! Remote access
sniffchk        Program to check if sniffer is up and running
syslogd         Trojaned! Hide logs
tcpd            Trojaned! Hide connections, avoid denies
top             Trojaned! Hide processes
wted            wtmp/utmp editor!
z2              Zap2 utmp/wtmp/lastlog eraser!

こんなものをインストールされたら再構築するしか無いでしょう。
とりあえず、JPCERT http://www.jpcert.or.jp/ に報告しましょう。

-- 
masakazu _at_ yamada.gr.jp (Masakazu Yamada) 山田 雅一