BionicPup64-8.0のマルウェアの件

自己紹介とか、なんでもいいです。
にぎやかに世間話のできる場所

モデレータ: 暇人, YoN, nyu

rsurf
記事: 86
登録日時: 09/01/03(土) 12:42

Re: BionicPup64-8.0のマルウェアの件

投稿記事 by rsurf »

 puppy_bionicpup64_8.0.sfs で、他に32bitを1個見つけました。MBRのメンテナンスツールですね。これも pup571と同一のものです。objdump では「File format not recognized」といわれます。
 これは pup571に新規ファイルを追加/上書きする形でバージョンアップしていったのかも知れませんね。
 そうすると ubuntuで位置が変更されたり削除されたファイルは以前のものがそのまま残る形になります。

/usr/sbin/bootlace.com # md5:c8474ffeab294f93ac6bffe5e4bc52f6、ELF 32bit形式

BOOTLACE writes GRLDR BOOT RECORD to MBR or to the boot area of a file system.
Usage: bootlace.com [OPTIONS] DEVICE_OR_FILE
Options: --read-only, --floppy[=N], --boot-prevmbr-first, --boot-prevmbr-last,
--no-backup-mbr, --force-backup-mbr, --mbr-enable-floppy, --mbr-disable-floppy,
--mbr-enable-osbr, --mbr-disable-osbr, --duce, --time-out=T, --hot-key=K,
--preferred-drive=D, --preferred-partition=P, --sectors-per-track=S, --heads=H,
--start-sector=B, --total-sectors=C, --install-partition=I, --lba, --chs,
--fat12, --fat16, --fat32, --vfat, --ntfs, --ext2, --serial-number=SN,
--restore-mbr, --mbr-no-bpb, --chs-no-tune
DEVICE_OR_FILE: Filename of the device or image. For DOS, a BIOS drive number
(in hex 0xHH or decimal DDD format)can be used to access the drive.
thinkpadnerd
記事: 2035
登録日時: 15/10/25(日) 14:00

Re: BionicPup64-8.0のマルウェアの件

投稿記事 by thinkpadnerd »

rsurf さんが書きました: 20/02/23(日) 02:37 pup571に新規ファイルを追加/上書きする形でバージョンアップしていったのかも知れませんね。
Puppy はどのようにして作られているのでしょうね。
woof-CE というビルドシステムを使って作成した後、細部の調整をしているのではないかと思うのですが、ひょっとすると、その woof-CE 自体にバグがあるのかもしれません。
ThinkPad X121e (Precise 571 / Tahr 605 / Tahr64 606 / Xenial 7.5 / Bionic32)
CPU AMD C-50 1.0GHz, RAM 4GB
ThinkPad L440 (Xenial 7.5 / Bionic64 / Fossa64)
CPU intel Celeron 2950M 2.0GHz, RAM 4GB
アバター
タロ兵衛
記事: 875
登録日時: 08/07/08(火) 00:11
お住まい: よこはま
連絡する:

Re: BionicPup64-8.0のマルウェアの件

投稿記事 by タロ兵衛 »

thinkpadnerd さんが書きました: 20/02/23(日) 11:55 Puppy はどのようにして作られているのでしょうね
記憶ですが、3.xxまでは構成するpetモジュールを列挙したファイルがあって、これを基に構築してたと思います
4.00〜からubuntuを使うようになって、この辺がどうなったか分かりません

もしかするとslackoは未だこの形かもしれません
neo実験君こと次期メインマシン
Intel Core i5-8400 2.80GHz
xenialpup64 7.5+lang_pack_ja-xenial64e
thinkpadnerd
記事: 2035
登録日時: 15/10/25(日) 14:00

Re: BionicPup64-8.0のマルウェアの件

投稿記事 by thinkpadnerd »

タロ兵衛 さんが書きました: 20/02/24(月) 09:17 記憶ですが、3.xxまでは構成するpetモジュールを列挙したファイルがあって、これを基に構築してたと思います
4.00〜からubuntuを使うようになって、この辺がどうなったか分かりません

もしかするとslackoは未だこの形かもしれません
もはや、スレッドタイトルとは直接関係のない話になっていますが、カフェなので許していただくとして...

Barry さんの woof は理屈の上では、どんなディストリビューションからも Puppy を作れる、と主張されていたと思います。Barry さんがリタイアされた後、woof からフォークして woof-CE ができたのですが、01micko さんが主導されたと思います。01micko さんは、Slacko の開発者です。だから、Slacko も woof-CE を使って作られていると思われます。ただ、Slacko は開発が止まってしまっています。01micko さんは現在 Raspup を開発されています。

だいぶ前に woof-CE を使って半ば自動的に新しい Puppy を生成するスクリプトが話題になりました。でも、こうして作られた Puppy は完全ではなく、細部の調整や詳細な動作テストが必要です。パーツの組み合わせによっては、既存の Puppy と競合するものもできてしまいます。そのようなことは混乱のもとになります。

全体を統括する人がいて、多くの人がテストに関わることが重要なのだろうと思います。
ThinkPad X121e (Precise 571 / Tahr 605 / Tahr64 606 / Xenial 7.5 / Bionic32)
CPU AMD C-50 1.0GHz, RAM 4GB
ThinkPad L440 (Xenial 7.5 / Bionic64 / Fossa64)
CPU intel Celeron 2950M 2.0GHz, RAM 4GB
thinkpadnerd
記事: 2035
登録日時: 15/10/25(日) 14:00

Re: BionicPup64-8.0のマルウェアの件

投稿記事 by thinkpadnerd »

ルビー さんが書きました: 20/02/22(土) 14:06GitHubとも無関係でした。
本家フォーラムで Bionicpup64 の作者である 666philb さんから返事がありました。
woof-CE が誤った pet パッケージを拾ったことによって紛れ込んだのだろう、と書かれています。
pnscan 自体はマルウエアではないが、としつつ、github の記事へのリンクを紹介されています。

https://github.com/ptrrkssn/pnscan/issues/2

タロ兵衛 さんが書きました: 20/02/24(月) 09:17 3.xxまでは構成するpetモジュールを列挙したファイルがあって、これを基に構築してたと思います
puppy 4 系までは、他のディストリビューションのレポジトリを利用せずに独自開発だったので、すべて pet パッケージで構成されていたのだろうと思います。

ubuntu 系 puppy は ubuntu の、slacko は slackware のパッケージを利用していると思います。しかし、puppy 独自にビルドされたアプリやスクリプトで構成されたアプリは pet パッケージから入れていると思われます。

追記
ubuntu などのパッケージは、パッケージ名に i386, amd64 などのアーキテクチャ、14.04, 16.04 などのバージョン番号が明記されていますが、puppy のパッケージはその辺が明確ではありません。
32bit 用パッケージの中にはアーキテクチャが明示されていないものもありますし、スクリプトで構成されたアプリは 32bit/64bit 共用なので、アーキテクチャは記されません。こういったことが、間違いにつながるかもしれません。

訂正
32bit 用パッケージはアーキテクチャが明示されていないものがほとんどですし、

32bit 用パッケージの中にはアーキテクチャが明示されていないものもありますし、

「ほとんど」は言い過ぎでした。少なくとも 64bit 版が作られるようになってからは、32bit 用に i386, i686 などの表記を付ける努力は行われているようです。
ThinkPad X121e (Precise 571 / Tahr 605 / Tahr64 606 / Xenial 7.5 / Bionic32)
CPU AMD C-50 1.0GHz, RAM 4GB
ThinkPad L440 (Xenial 7.5 / Bionic64 / Fossa64)
CPU intel Celeron 2950M 2.0GHz, RAM 4GB
rsurf
記事: 86
登録日時: 09/01/03(土) 12:42

Re: BionicPup64-8.0のマルウェアの件

投稿記事 by rsurf »

thinkpadnerd さんが書きました: pnscan 自体はマルウエアではないが、としつつ、github の記事へのリンクを紹介されています。
 これはマルウェア(redis)(例はシェルスクリプト)が「/usr/bin/pnscan」か「/usr/local/bin/pnscan」が無い場合に、ソース(ver1.12)をダウンロード(curlかwget)、展開(tar)、コンパイル(make)、インストール(make install)してポートスキャンするから githubで ver1.12をリリースするなという意見ですね。
 すでに PCがマルウェア(redis)に乗っ取られてる(インストールや実行の権限を持つ)前提なので対症療法といった感じでしょうか。
 例の様な動作だと見張り用のシェルスクリプトを「/usr/bin/pnscan」にリネームして置いとく手もありますね。

コード: 全て選択

#!/bin/sh
# 見張り用の、親プロセスと呼び出しのログ、まず感染されてるのをどうにかすべき。
echo $(date +"%Y/%m/%d %H:%M:%S") PPID=${PPID}\($(cat "/proc/${PPID}/cmdline")\):"$@" >> ~/'!Warning! called pnscan.txt'
thinkpadnerd
記事: 2035
登録日時: 15/10/25(日) 14:00

Re: BionicPup64-8.0のマルウェアの件

投稿記事 by thinkpadnerd »

rsurf さんが書きました: 20/02/25(火) 22:36 これはマルウェア(redis)(例はシェルスクリプト)が「/usr/bin/pnscan」か「/usr/local/bin/pnscan」が無い場合に、ソース(ver1.12)をダウンロード(curlかwget)、展開(tar)、コンパイル(make)、インストール(make install)してポートスキャンするから githubで ver1.12をリリースするなという意見ですね。
私にはよく解らない世界の話です。
redis server というデータベースサーバがハッカーの標的になっているということですか。redis server は debian のレポジトリにあります。(たぶん、ubuntu のレポジトリにも)

redis server は本来インターネットからアクセスできる状態にしておくものではないようですね。実際にこれを Puppy で実行して、なおかつインターネットからアクセスできるようにしている人はいないと思います。 :|
ThinkPad X121e (Precise 571 / Tahr 605 / Tahr64 606 / Xenial 7.5 / Bionic32)
CPU AMD C-50 1.0GHz, RAM 4GB
ThinkPad L440 (Xenial 7.5 / Bionic64 / Fossa64)
CPU intel Celeron 2950M 2.0GHz, RAM 4GB
アバター
タロ兵衛
記事: 875
登録日時: 08/07/08(火) 00:11
お住まい: よこはま
連絡する:

Re: BionicPup64-8.0のマルウェアの件

投稿記事 by タロ兵衛 »

thinkpadnerd さんが書きました: 20/02/26(水) 10:07 redis server は本来インターネットからアクセスできる状態にしておくものではないようですね。実際にこれを Puppy で実行して、なおかつインターネットからアクセスできるようにしている人はいないと思います。
7.5にはなくて8.0の前身のベータからなので、 666philbさんの言われるように紛れ込んだのでしょう。

投稿が伸びているので、それらしいスレッドに移動しようと思ったら、8.0のトラブルは無かったんですね。

ここまでの纏めとしては、
1)/usr/local/bin/にあるpnscanはclamavで検出されるマルウエアである
2)pnscanがバイナリの改変を受けたものとpnscan自身はマルウエアではない説がある
3)さらにclamavでマルウエアとして検出されない(正常な?)バージョンもある
4)同名のスクリプトも存在するが、マルウエアとして直接の関係はない
5)32bitプログラムであり、通常は発症しない
6)さらに発症にはredisに感染している必要があるがpuppyにはない
7)処置は不要だが、削除することで処置できる
8)開発者も承知だが、今の所対応版は出ない????
9)発症が心配される向きには、redis用の地雷を置くこともできる

その他推測:自身で繁殖はしない(ウィルスではない)

こんなところでしょうか。

まとめの纏めとしては
  「そのまま使用する」
で。
neo実験君こと次期メインマシン
Intel Core i5-8400 2.80GHz
xenialpup64 7.5+lang_pack_ja-xenial64e
rsurf
記事: 86
登録日時: 09/01/03(土) 12:42

Re: BionicPup64-8.0のマルウェアの件

投稿記事 by rsurf »

thinkpadnerd さんが書きました: redis server というデータベースサーバがハッカーの標的になっているということですか。redis server は debian のレポジトリにあります。(たぶん、ubuntu のレポジトリにも)
 自分はgoogle翻訳で上記記事「https://github.com/ptrrkssn/pnscan/issues/2」を訳したのでマルウェアの名前が「redis」だと思ってました。
 データベースサーバーなら、このニュース「https://www.jpcert.or.jp/tips/2016/wr160301.html」の「Redis」ですかね?
 古いバージョンだとサーバ上にファイルの作成が出来るようです。
 外部から SSHの公開鍵が設置された場合に SSHによる接続を許してしまうとのことです。
タロ兵衛 さんが書きました: まとめの纏めとしては
  「そのまま使用する」
で。
すみません追加で、
 redis データベースを設置する場合は最新版を puppy以外の環境で使用する。
 pnscanはサーバー設置したりネットワークアプリを書く人がテストで使用するツールなので必要ない人は削除してしまい、必要な人は「https://packages.ubuntu.com/ja/bionic/pnscan」から別途入手する(アーキテクチャ別に用意されてます)。
 pnscanの作者さんはソース公開のみなので何かを仕込んだりは出来ない(コンパイルする人が改変する必要がある)。
thinkpadnerd
記事: 2035
登録日時: 15/10/25(日) 14:00

Re: BionicPup64-8.0のマルウェアの件

投稿記事 by thinkpadnerd »

個人的な感想ですが、今回の件は ClamAV による誤検出だと思います。pnscan そのものは一つのツールであって、それをどう使うかはユーザ次第です。悪用もできるかもしれません。

/usr/local/bin/pnscan は誤って 32bit 用パッケージから入ったと思われます。Bionicpup64 には必要ないので、気になる場合は削除すればいいと思います。(ただし、RAM 起動だと復活する)

/usr/bin/pnscan はパッケージマネージャで見る限り、ubuntu のパッケージから入っています。そして、これは PeasyPort スクリプトが使います。PeasyPort を利用するかどうかは個人個人の判断です。やはり、削除しても sfs 上には残ります。

redis server は改良された ver. 4 以降を使うことが推奨されますが、ubuntu bionic 用に 4.x, debian buster 用に 5.x が提供されています。(それぞれレポジトリにあります)
ただ、Puppy はインターネットからアクセスするサーバとして使用するには適さないと思います。そもそも、インターネットからアクセスするにはルータの port も開けておかなければならないですし、それなりの知識を持った人が行なうでしょうから、個人個人の判断に委ねるしかないと思われます。
ThinkPad X121e (Precise 571 / Tahr 605 / Tahr64 606 / Xenial 7.5 / Bionic32)
CPU AMD C-50 1.0GHz, RAM 4GB
ThinkPad L440 (Xenial 7.5 / Bionic64 / Fossa64)
CPU intel Celeron 2950M 2.0GHz, RAM 4GB
アバター
タロ兵衛
記事: 875
登録日時: 08/07/08(火) 00:11
お住まい: よこはま
連絡する:

Re: BionicPup64-8.0のマルウェアの件

投稿記事 by タロ兵衛 »

カスペルスキーのVirusDeskでスキャンしてみました
その結果、安全との結果を得ました
取り急ぎ

https://virusdesk.kaspersky.co.jp/#scanresults


Screenshot(23).png
添付ファイルを見るにはパーミッションが必要です
neo実験君こと次期メインマシン
Intel Core i5-8400 2.80GHz
xenialpup64 7.5+lang_pack_ja-xenial64e
thinkpadnerd
記事: 2035
登録日時: 15/10/25(日) 14:00

Re: BionicPup64-8.0のマルウェアの件

投稿記事 by thinkpadnerd »

私は Bionicpup64 に COMODO Antivirus をインストールしてチェックしてみました。脅威は検出されませんでした。

ウイルス定義のダウンロードに備えて save file のサイズを 1.5GB くらいにしておかないとパンクします。

添付画像では Filesystem filter driver is not loaded! と警告が出ていますが、リアルタイム監視ができないだけで、ファイルのスキャンはできます。

追加の sfs はアンロードしておいたほうがいいと思います。追加 sfs があると、/ 以下をスキャンした後、/initrd 以下もスキャンするので無駄に時間がかかります。同居している Windows のファイルもチェックされました。
添付ファイルを見るにはパーミッションが必要です
ThinkPad X121e (Precise 571 / Tahr 605 / Tahr64 606 / Xenial 7.5 / Bionic32)
CPU AMD C-50 1.0GHz, RAM 4GB
ThinkPad L440 (Xenial 7.5 / Bionic64 / Fossa64)
CPU intel Celeron 2950M 2.0GHz, RAM 4GB
rsurf
記事: 86
登録日時: 09/01/03(土) 12:42

Re: BionicPup64-8.0のマルウェアの件

投稿記事 by rsurf »

 初期値+67%くらい安心ですね。多分「ubuntu 12.04 LTS(Precise Pangolin)」のパッケージ由来のバイナリだと思いますが、現在はもう公開されていないので比較できません。
 ADSLモデム等で PCを接続してる場合はインターネットに直結する形になるのでファイアウォール設定を固めにしといたほうがいいですね。
返信する