ページ 1 / 2
BionicPup64-8.0のマルウェアの件
Posted: 20/02/21(金) 08:54
by タロ兵衛
clamAVの試験をかねてウイルススキャンしたところ、
/usr/local/bin/pnscan
がマルウエアであることが判明
この事で、ここで話題になったことありましたっけ?
ルーターに悪さをする様ですが、発動のきっかけは不明
とりあえずの対処は上記ファイル削除
puppyのフルーガルインストールだと見かけ上消えるだけで、ram実行するとまた現れるので注意して下さい
取り急ぎ@スマホ
Re: BionicPup64-8.0のマルウェアの件
Posted: 20/02/21(金) 11:03
by ルビー
タロ兵衛 さんが書きました: ↑20/02/21(金) 08:54
clamAVの試験をかねてウイルススキャンしたところ、
/usr/local/bin/pnscan
がマルウエアであることが判明
詳細希望。
誤検出じゃないのですよね。
Re: BionicPup64-8.0のマルウェアの件
Posted: 20/02/21(金) 12:02
by thinkpadnerd
タロ兵衛 さんが書きました: ↑20/02/21(金) 08:54
/usr/local/bin/pnscan
がマルウエアであることが判明
EasyPup (Debian Buster ベース) では /usr/bin にあります。
レポジトリにもパッケージとして存在します。
ネットで検索しても、特定のブログ記事に書かれているだけで、情報がほとんどありません。
私も詳細を知りたいです。
Re: BionicPup64-8.0のマルウェアの件
Posted: 20/02/21(金) 12:37
by タロ兵衛
thinkpadnerd さんが書きました: ↑20/02/21(金) 12:02
EasyPup (Debian Buster ベース) では /usr/bin にあります。
レポジトリにもパッケージとして存在します。
そこにあるのが本物のようです
ubuntuのパッケージをバラすとインストール先は/usr/binになっています
bionicpup8.0も /usr/binに存在します。つまりpnscanが2つ存在します
/usr/local/bin のもの(マルウエア?)はタイムスタンプが非常に古く、
puppy_bionicpup64_8.0.sfsを作るときに、紛れ込んだのだと思われます
ちなみに、7.5には入っていませんでした。7.98は入ってます(8.0のβですからね)
知り合いに聞いたところ、「これ自体がマルウエアではなく、
他のマルウエアに利用される踏み台になっている可能性もあるかも」
とのこと。
が、usr/local/bin に紛れ込んでいる辺り挙動不審なので、対処はしたいところです
削除済みのpuppy_bionicpup64_8.0.sfsは作ってあるのですが、
バージョン表記が同じなので混乱の元になりそうなので、upはしてません
Re: BionicPup64-8.0のマルウェアの件
Posted: 20/02/21(金) 13:06
by ルビー
タロ兵衛 さんが書きました: ↑20/02/21(金) 12:37
bionicpup8.0も /usr/binに存在します。つまりpnscanが2つ存在します
findでファイル検索したら、
/var/packages/builtin_files/pnscan
があって、ファイルを見てみると、
/usr/bin/ipsort
/usr/bin/pnscan
の記述があります。
/usr/bin/ipsortはスクリプトファイルでした。
内容は、
#!/bin/sh
#
# Sort a file using IPv4 addresses in at the beginning of each line
exec sort -t . -k 1,1n -k 2,2n -k 3,3n -k 4,4n "$@"
これで何か分かりますかね。
pnscanをググっても、英語のサイトばっかりで(^^;。
GitHubで公開してる物とは、また別物なのかな?
Re: BionicPup64-8.0のマルウェアの件
Posted: 20/02/21(金) 14:08
by タロ兵衛
Re: BionicPup64-8.0のマルウェアの件
Posted: 20/02/21(金) 14:45
by thinkpadnerd
タロ兵衛 さんが書きました: ↑20/02/21(金) 12:37
削除済みのpuppy_bionicpup64_8.0.sfsは作ってあるのですが、
バージョン表記が同じなので混乱の元になりそうなので、upはしてません
私も iso を公開している関係上、場合によっては修正版を出す必要があると思いますが、まず、上流である本家のほうで考えてもらう必要があると思います。
Re: BionicPup64-8.0のマルウェアの件
Posted: 20/02/21(金) 22:39
by ルビー
Linux.PNScan.1、Linux.PNScan Trojanなどと呼ばれているみたいですが、GitHubのは、Peter's Network Scannerでpnscan。
別物ではないかなと思うけど、二つあるのは変ですね。
Re: BionicPup64-8.0のマルウェアの件
Posted: 20/02/21(金) 23:06
by thinkpadnerd
/usr/local/bin/pnscan は trojan tsunami が入れたもの?
タイムスタンプが大変古いこと、他の Linux でも /usr/bin/pnscan が定位置ということを考えると確かに変ですね。
一応、本家フォーラムに投稿しておきました。
Re: BionicPup64-8.0のマルウェアの件
Posted: 20/02/22(土) 01:02
by ルビー
# which pnscan
/usr/bin/pnscan
なので、実行しても実害はないのかな。
port scanなんて、普通の人は使わないと思うし(^^;。
Re: BionicPup64-8.0のマルウェアの件
Posted: 20/02/22(土) 01:32
by thinkpadnerd
ルビー さんが書きました: ↑20/02/22(土) 01:02実行しても実害はないのかな。
/usr/local/bin/pnscan が、リモートからの指示でDDoS攻撃に利用されたりするとまずいと思います。
しかし、ルーターの内側にあっても遠隔操作されることがあるのでしょうか。あるいは、コンピュータに送り込まれたボットが、プログラムされたタイミングで動くのでしょうか。
Re: BionicPup64-8.0のマルウェアの件
Posted: 20/02/22(土) 02:56
by rsurf
自分の環境でも調べてみました。
「/usr/local/bin/pnscan」はpup571のものと同一で md5ハッシュ「9c45caa54f31bbb9b5e5a85c8b795ed6」が、google検索で「https://virusshare.com/hashes/VirusShare_00367.md5」1件にヒットします。
しかし内容は逆アセンブルを読めないので断言はできませんが、オリジナルのソースコードに不審を感じさせないように手を加えてリポジトリに忍び込ませたとかでなければ問題無いように見えました(逆アセンブル読める人に見てほしい)。
これが元々ポートスキャンのツールで、乗っ取られた PCもよく周辺のポートスキャンを行いますので誤認登録されたのではないかと思います。
どうして古い32bitモジュールが64bit環境に入り込んだのかが気がかりではありますが…
精神衛生上、削除しておいてもよいと思います(pup571で使う場合はソースから自ビルド)。
コード: 全て選択
### pup571 ###
# which pnscan
/usr/local/bin/pnscan # md5:9c45caa54f31bbb9b5e5a85c8b795ed6、ELF 32bit形式
# ps | grep pnscan # 常駐はしていない
# find / -path '/proc' -prune -o -name 'pnscan' -ls
3659 18 -rwxr-xr-x 1 root root 18164 7月 9 2010 /initrd/pup_ro2/usr/local/bin/pnscan # SFS上のもの
26929 18 -rwxr-xr-x 1 root root 18164 7月 9 2010 /usr/local/bin/pnscan
### pup8+18 ###
# which pnscan
/usr/bin/pnscan # md5:27b0384c5c1572f97e58953d18996154、ELF 32bit形式
# ps | grep pnscan # 常駐はしていない
# find / -path '/proc' -prune -o -name 'pnscan' -ls
10655 1 -rw-r--r-- 1 root root 32 2月 16 18:01 /var/packages/builtin_files/pnscan
7111 22 -rwxr-xr-x 1 root root 22076 2月 16 17:58 /usr/bin/pnscan
5426 22 -rwxr-xr-x 1 root root 22076 2月 16 17:58 /initrd/pup_ro2/usr/bin/pnscan # SFS上のもの
32744 1 -rw-r--r-- 1 root root 32 2月 16 18:01 /initrd/pup_ro2/var/packages/builtin_files/pnscan # SFS上のもの
### puppy_bionicpup64_8.0.sfs の「/usr/local/bin/pnscan」###
./pnscan # md5:9c45caa54f31bbb9b5e5a85c8b795ed6、ELF 32bit形式、pup571の「/usr/local/bin/pnscan」と同一
### puppy_bionicpup64_8.0.sfs の「/usr/bin/pnscan」###
./pnscan # md5:3a0a7c6d88c2a4e6a89c87c1bed57eac、ELF 64bit形式
### 内容見る ###
# TGT="./pnscan"
# md5sum ${TGT} # md5ハッシュ
# file ${TGT} # ファイル情報
# od -Ax -tx1z ${TGT} | less # 16進ダンプ + asciiコード
# busybox strings ${TGT} | less # 文字列抽出、devxに本家stringsあり
# objdump -S -d ${TGT} | less # 逆アセンブル(要devx)
バイナリ中の本家ページ(自称) http://www.lysator.liu.se/~pen/pnscan # スウェーデンの大学ドメイン?
Re: BionicPup64-8.0のマルウェアの件
Posted: 20/02/22(土) 10:09
by thinkpadnerd
rsurf さんが書きました: ↑20/02/22(土) 02:56
どうして古い32bitモジュールが64bit環境に入り込んだのかが気がかりではありますが…
32bit モジュールですか。プロパティを確認しなかったので気がつきませんでした。
それなら 32bit 互換ライブラリを入れていなければ動きませんし、削除してもまったく問題ないですね。
追記
本家フォーラムでは、OscarTalks さんが、やはり 32bit モジュールであることを指摘してくださいました。
予め、よく調べるべきでした。
Re: BionicPup64-8.0のマルウェアの件
Posted: 20/02/22(土) 12:57
by タロ兵衛
571由来でしたか。
開発時に感染したと言うよりも紛れ込んだ感じですかね
私が少し前に書いた中国語のサイトでも対処は
/usr/local/bin にある pnscanを削除と書いてありました
ただし、あちらはcentOSでした。
Re: BionicPup64-8.0のマルウェアの件
Posted: 20/02/22(土) 14:06
by ルビー
PeasyPort Network Scannerで、pnscanでしたか。
GitHubとも無関係でした。
短く簡潔な命名が好まれる為だろうけど、同じファイル名が多いと混乱します。
とりあえず、何もせずにこのままBionicpup64使用で問題無しですね。
