[debian-users:57161] Re: sudo ができない！

[kmatsui@xxxxxxxxxxxxxxxxxx]

松井です。
遅くなりましたが事後報告です。

アクセス権がなぜ変更されたかは
ログの内容を見ても原因を探り出すのは私には至難の技です。

クラックされていた可能性も確かにあると思い、
chkrootkit,rkhunterでスキャンをかけました。

rkhunterでは次の三つのwarningが出て

[22:30:06]   /usr/bin/unhide.rb                              [ Warning ]
[22:30:06] Warning: The command '/usr/bin/unhide.rb' has been replaced  
by a script: /usr/bin/unhide.rb: Ruby script, ASCII text

[22:30:06]   /sbin/chkconfig                                 [ Warning ]
[22:30:06] Warning: The command '/sbin/chkconfig' has been replaced by  
a script: /sbin/chkconfig: Perl script, ASCII text executable

[22:35:11]   Checking for hidden files and directories       [ Warning ]
[22:35:11] Warning: Hidden directory found: '/etc/.java'

最後の方で
[22:35:15] File properties checks...
[22:35:15] Files checked: 137
[22:35:15] Suspect files: 2
と出ましたが、
全体の中で他に該当しそうなものがないので
これは最初の二つのことのようです。

chkrootkitでは
Searching for suspicious files and dirs, it may take a while... The  
following suspicious files and directories were found:
/usr/lib/jvm/.java-1.6.0-openjdk-amd64.jinfo /usr/lib/icedove/.autoreg  
/usr/lib/pymodules/python2.7/.path /usr/lib/pymodules/python2.6/.path
などと表示されました。

ここにコピペしたものはいずれも問題ないはずなので、
全体的に特に問題はないようでした。
ClamAVも早くインストール＆設定を行ったほうがいいのですが、
設定のしかたがよくわからないので
これはまだ入れておりません。

それで結局、外付けHDDの中に
ddによるバックアップイメージがあったので、
今回はそれを使ってリストアし、
アクセス権が正常な状態を無事に取り戻すことができました。
(/usr/lib/sudo/, / , /etc の直下しか調べておりませんが。)

また何かありました時には
どうぞよろしくお願いいたします。
どうもありがとうございました。

---
Kenji Matsui