安全な作業用コマンドを用意．

作業ディレクトリを用意して，必要そうな rpm を片っ端から展開

$ rpm2cpio  coreutils.rpm  | cpio -id

PATHとかLD_LIBARY_PATHを作業用コマンドに合わせて，汚染されていないコマンドで調査を開始した

被害状況

• 明らかに root 権限が取られてる
• sshd を改竄されていた．
• ftpd を新規インストールしてくれてた．
• eth0 が promisc モード，つまりパケットの盗聴モードになっていた．
• ls とか rm とか ps など，大抵のコマンドは，改竄されていた．
• pam.d 以下の認証回りのプラグインも改竄．
• /bin/ps など改善されたファイルは，削除できなくなっていた．

$ strace -o logfile  rm  /bin/ps

などとすると， unlink システムコールが失敗していた． 芸が細かいというか何と言うか． chattr で IMMUTABLE属性を付加していた．

どうも，仕組みとしては，/etc/init.d/atd とか /etc/init.d/sshd から 各種パケット盗聴用デーモンを起動するみたい．/usr/local/games/ 以下に sendmail とか ident が置いてあり，さらに パケットの盗聴結果のログファイルまであった．

と言うわけで，再インストール決定．