AntiVir暴走

朝起きたら自宅サーバにIMAP接続できなくなっていることに気が付く。

いろいろ試してみたところHTTPDやiptables-natは生きている（そのせいで発見が遅れた）が、SSHDはだめなどかなり使えない状態。
yumのnightly updateでアップデートミスでもあったのかなぁと思いながらとりあえずリブート。
すると、initがないとかいってkernel panicに陥る始末。
ソフトウェアRAIDシステムが飛んだ可能性もあるかと思いつつも時間が無いのでとりあえず研究室へ。

研究室にいくとバイト先の事務室からサーバの調子が悪い旨の電話があったと伝えられる。
そこのサーバは自宅サーバとほぼ同じソフトウェア構成なので、とりあえずハードウェア的な故障でないことを確信。
研究室のFedora Core 1ワークステーションは特に問題が無いのでFedora自体やyumは白。
自宅サーバとバイト先サーバに共通して導入したソフトはCourier-IMAPとかHbedv AntiVir MailGate Linuxとかかなぁとおもいつつ、失われたシステムファイルを特定して復旧するのは面倒なのでこの機会にFedora Core 2にupgradeすることを決意。 Fedora Core 2のインストールCDx4を持って事務室に行く。

事務室サーバも自宅とまったく同じ症状。
早速Core 2へのupgrade開始。
ネットワークインストールがうまく行かなかった(単にftp.kddilabs.jpのディレクトリ構造のうち間違い？)ので、CDインストール。古いPCなのでCD-ROMドライブが遅くて参る。
インストール開始したと思って研究室に雑用で一時戻ったら「ディスク容量が足りません」とか言われて止まってるし・・・

2時間くらいかかって15時30分ごろ、ようやくupgrade完了。
ブートプロセスを見るとなんかいろんなデーモンが起動に失敗しているなぁと。
libkrb5がないとか言われているのでyum updateをかけてみることにする。
が、yum.confの設定がFedora Core 1のftpディレクトリ決め打ちになってるし。設定変えようにもvi は無いとかいわれるし、emacsはライブラリが足りないし。
これはcatで書くしかないのかと思ったが、FDにデータ書き出してWindows PCで設定書き換え。
yum updateして再起動したらほとんどのデーモンはエラー吐かなくなったので一安心。

そこで/var/log/messageを見てみると午前0時40分ごろdailyのAntiVirusスキャンでシステムファイルをウィルスと誤認して片っ端から削除したことが判明。

Jul 28 00:42:02 hogehoge antivir[27594]: AntiVir WARNING: /var/www/error/contact.html.var not completely scanned: contents exceed 6 levels of recursion
Jul 28 00:42:15 hogehoge kernel: usb_control/bulk_msg: timeout
Jul 28 00:43:09 hogehoge antivir[27594]: AntiVir ALERT: [Linux/Moexat.1 virus] /etc/X11/xkb/xkbcomp <<< Contains signature of the Linux virus Linux/Moexat.1
...

勘弁してくれよ。

Courier-IMAPの再ビルド、AntiVirの再インストール(Daily Scanは解除してメールScanのみ)等を行う。 再起動時にNICが1枚しか認識されず、しかもかつてのeth1がeth0として認識される問題が残っていたが既に18時近くになっていてこの日は時間切れ。

20時ごろ自宅に戻って同じ処理をもう一度行う。
今度はネットワークインストールにしたが、横着してCATV経由でのインターネット接続(3Mbpsくらい？)にしたためえらく時間がかかった・・・
ブロードバンドルーター引っ張り出してきてBフレッツ経由で接続したほうがよほど早かったな。

NIC問題はとりあえず起動後に主導でmodprobeとifupをすることで対処。自宅サーバではNICの認識順は変わらなかったな。