Kodama's home / tips.
使用している Linux マシンでウイルスが発見された. 最初の発見は Linux マシンから手元の windows マシンにファイルを転送したときに windows 上のウイルス検知ソフトが警告を発した事による. そこで, ディスク上のファイルを走査して, 感染ファイルを探す事にした.
strings -f *|grep snortdosまたは, ファイルが多い場合,
ls|xargs strings -f|grep snortdos
find -xdev -type f -perm +111|xargs strings -f|grep snortdos
$ find /bin -xdev -type f -perm +111|xargs strings -f|grep snortdos /bin/mktemp: snortdos /bin/chgrp: snortdos /bin/chmod: snortdos /bin/df: snortdos /bin/mkdir: snortdos /bin/mknod: snortdos /bin/sync: snortdos /bin/cat: snortdos /bin/sort: snortdos /bin/sed: snortdos /bin/ps: snortdos
それができない場合は, 書き込み可能なコマンドがあると感染してしまうので, そのような物を持たない作業用のユーザがあれば好都合です.
まず一般ユーザで(root ではなく), /bin, /usr/bin を確認します.
$ find /bin -xdev -type f -perm +111|xargs strings -f|grep snortdos $ find /usr/bin -xdev -type f -perm +111|xargs strings -f|grep snortdos特に, この作業につかう find, xargs, strings, grep 自体に異常が無い事を確認します. 幾つか, アクセス許可が無いファイルがあるので, Permission denied が出ますが, とりあえずこれは気にしないことにします.
/bin, /usr/bin に問題が無いなら, root になってそれ以外の部分も含めて調査します.
# find / -xdev -type f -perm +111|xargs strings -f|grep snortdos # find /home -xdev -type f -perm +111|xargs strings -f|grep snortdos
Kodama's home / tips.