BionicPup64-8.0のマルウェアの件
BionicPup64-8.0のマルウェアの件
clamAVの試験をかねてウイルススキャンしたところ、
/usr/local/bin/pnscan
がマルウエアであることが判明
この事で、ここで話題になったことありましたっけ?
ルーターに悪さをする様ですが、発動のきっかけは不明
とりあえずの対処は上記ファイル削除
puppyのフルーガルインストールだと見かけ上消えるだけで、ram実行するとまた現れるので注意して下さい
取り急ぎ@スマホ
/usr/local/bin/pnscan
がマルウエアであることが判明
この事で、ここで話題になったことありましたっけ?
ルーターに悪さをする様ですが、発動のきっかけは不明
とりあえずの対処は上記ファイル削除
puppyのフルーガルインストールだと見かけ上消えるだけで、ram実行するとまた現れるので注意して下さい
取り急ぎ@スマホ
neo実験君こと次期メインマシン
Intel Core i5-8400 2.80GHz
xenialpup64 7.5+lang_pack_ja-xenial64e
Intel Core i5-8400 2.80GHz
xenialpup64 7.5+lang_pack_ja-xenial64e
-
- 記事: 2050
- 登録日時: 15/10/25(日) 14:00
Re: BionicPup64-8.0のマルウェアの件
EasyPup (Debian Buster ベース) では /usr/bin にあります。
レポジトリにもパッケージとして存在します。
ネットで検索しても、特定のブログ記事に書かれているだけで、情報がほとんどありません。
私も詳細を知りたいです。
ThinkPad X121e (Precise 571 / Tahr 605 / Tahr64 606 / Xenial 7.5 / Bionic32)
CPU AMD C-50 1.0GHz, RAM 4GB
ThinkPad L440 (Xenial 7.5 / Bionic64 / Fossa64)
CPU intel Celeron 2950M 2.0GHz, RAM 4GB
CPU AMD C-50 1.0GHz, RAM 4GB
ThinkPad L440 (Xenial 7.5 / Bionic64 / Fossa64)
CPU intel Celeron 2950M 2.0GHz, RAM 4GB
Re: BionicPup64-8.0のマルウェアの件
そこにあるのが本物のようですthinkpadnerd さんが書きました: ↑20/02/21(金) 12:02 EasyPup (Debian Buster ベース) では /usr/bin にあります。
レポジトリにもパッケージとして存在します。
ubuntuのパッケージをバラすとインストール先は/usr/binになっています
bionicpup8.0も /usr/binに存在します。つまりpnscanが2つ存在します
/usr/local/bin のもの(マルウエア?)はタイムスタンプが非常に古く、
puppy_bionicpup64_8.0.sfsを作るときに、紛れ込んだのだと思われます
ちなみに、7.5には入っていませんでした。7.98は入ってます(8.0のβですからね)
知り合いに聞いたところ、「これ自体がマルウエアではなく、
他のマルウエアに利用される踏み台になっている可能性もあるかも」
とのこと。
が、usr/local/bin に紛れ込んでいる辺り挙動不審なので、対処はしたいところです
削除済みのpuppy_bionicpup64_8.0.sfsは作ってあるのですが、
バージョン表記が同じなので混乱の元になりそうなので、upはしてません
neo実験君こと次期メインマシン
Intel Core i5-8400 2.80GHz
xenialpup64 7.5+lang_pack_ja-xenial64e
Intel Core i5-8400 2.80GHz
xenialpup64 7.5+lang_pack_ja-xenial64e
Re: BionicPup64-8.0のマルウェアの件
findでファイル検索したら、
/var/packages/builtin_files/pnscan
があって、ファイルを見てみると、
/usr/bin/ipsort
/usr/bin/pnscan
の記述があります。
/usr/bin/ipsortはスクリプトファイルでした。
内容は、
#!/bin/sh
#
# Sort a file using IPv4 addresses in at the beginning of each line
exec sort -t . -k 1,1n -k 2,2n -k 3,3n -k 4,4n "$@"
これで何か分かりますかね。
pnscanをググっても、英語のサイトばっかりで(^^;。
GitHubで公開してる物とは、また別物なのかな?
Re: BionicPup64-8.0のマルウェアの件
neo実験君こと次期メインマシン
Intel Core i5-8400 2.80GHz
xenialpup64 7.5+lang_pack_ja-xenial64e
Intel Core i5-8400 2.80GHz
xenialpup64 7.5+lang_pack_ja-xenial64e
-
- 記事: 2050
- 登録日時: 15/10/25(日) 14:00
Re: BionicPup64-8.0のマルウェアの件
私も iso を公開している関係上、場合によっては修正版を出す必要があると思いますが、まず、上流である本家のほうで考えてもらう必要があると思います。
ThinkPad X121e (Precise 571 / Tahr 605 / Tahr64 606 / Xenial 7.5 / Bionic32)
CPU AMD C-50 1.0GHz, RAM 4GB
ThinkPad L440 (Xenial 7.5 / Bionic64 / Fossa64)
CPU intel Celeron 2950M 2.0GHz, RAM 4GB
CPU AMD C-50 1.0GHz, RAM 4GB
ThinkPad L440 (Xenial 7.5 / Bionic64 / Fossa64)
CPU intel Celeron 2950M 2.0GHz, RAM 4GB
Re: BionicPup64-8.0のマルウェアの件
Linux.PNScan.1、Linux.PNScan Trojanなどと呼ばれているみたいですが、GitHubのは、Peter's Network Scannerでpnscan。
別物ではないかなと思うけど、二つあるのは変ですね。
別物ではないかなと思うけど、二つあるのは変ですね。
-
- 記事: 2050
- 登録日時: 15/10/25(日) 14:00
Re: BionicPup64-8.0のマルウェアの件
/usr/local/bin/pnscan は trojan tsunami が入れたもの?
タイムスタンプが大変古いこと、他の Linux でも /usr/bin/pnscan が定位置ということを考えると確かに変ですね。
一応、本家フォーラムに投稿しておきました。
タイムスタンプが大変古いこと、他の Linux でも /usr/bin/pnscan が定位置ということを考えると確かに変ですね。
一応、本家フォーラムに投稿しておきました。
ThinkPad X121e (Precise 571 / Tahr 605 / Tahr64 606 / Xenial 7.5 / Bionic32)
CPU AMD C-50 1.0GHz, RAM 4GB
ThinkPad L440 (Xenial 7.5 / Bionic64 / Fossa64)
CPU intel Celeron 2950M 2.0GHz, RAM 4GB
CPU AMD C-50 1.0GHz, RAM 4GB
ThinkPad L440 (Xenial 7.5 / Bionic64 / Fossa64)
CPU intel Celeron 2950M 2.0GHz, RAM 4GB
Re: BionicPup64-8.0のマルウェアの件
# which pnscan
/usr/bin/pnscan
なので、実行しても実害はないのかな。
port scanなんて、普通の人は使わないと思うし(^^;。
/usr/bin/pnscan
なので、実行しても実害はないのかな。
port scanなんて、普通の人は使わないと思うし(^^;。
-
- 記事: 2050
- 登録日時: 15/10/25(日) 14:00
Re: BionicPup64-8.0のマルウェアの件
/usr/local/bin/pnscan が、リモートからの指示でDDoS攻撃に利用されたりするとまずいと思います。
しかし、ルーターの内側にあっても遠隔操作されることがあるのでしょうか。あるいは、コンピュータに送り込まれたボットが、プログラムされたタイミングで動くのでしょうか。
ThinkPad X121e (Precise 571 / Tahr 605 / Tahr64 606 / Xenial 7.5 / Bionic32)
CPU AMD C-50 1.0GHz, RAM 4GB
ThinkPad L440 (Xenial 7.5 / Bionic64 / Fossa64)
CPU intel Celeron 2950M 2.0GHz, RAM 4GB
CPU AMD C-50 1.0GHz, RAM 4GB
ThinkPad L440 (Xenial 7.5 / Bionic64 / Fossa64)
CPU intel Celeron 2950M 2.0GHz, RAM 4GB
Re: BionicPup64-8.0のマルウェアの件
自分の環境でも調べてみました。
「/usr/local/bin/pnscan」はpup571のものと同一で md5ハッシュ「9c45caa54f31bbb9b5e5a85c8b795ed6」が、google検索で「https://virusshare.com/hashes/VirusShare_00367.md5」1件にヒットします。
しかし内容は逆アセンブルを読めないので断言はできませんが、オリジナルのソースコードに不審を感じさせないように手を加えてリポジトリに忍び込ませたとかでなければ問題無いように見えました(逆アセンブル読める人に見てほしい)。
これが元々ポートスキャンのツールで、乗っ取られた PCもよく周辺のポートスキャンを行いますので誤認登録されたのではないかと思います。
どうして古い32bitモジュールが64bit環境に入り込んだのかが気がかりではありますが…
精神衛生上、削除しておいてもよいと思います(pup571で使う場合はソースから自ビルド)。
「/usr/local/bin/pnscan」はpup571のものと同一で md5ハッシュ「9c45caa54f31bbb9b5e5a85c8b795ed6」が、google検索で「https://virusshare.com/hashes/VirusShare_00367.md5」1件にヒットします。
しかし内容は逆アセンブルを読めないので断言はできませんが、オリジナルのソースコードに不審を感じさせないように手を加えてリポジトリに忍び込ませたとかでなければ問題無いように見えました(逆アセンブル読める人に見てほしい)。
これが元々ポートスキャンのツールで、乗っ取られた PCもよく周辺のポートスキャンを行いますので誤認登録されたのではないかと思います。
どうして古い32bitモジュールが64bit環境に入り込んだのかが気がかりではありますが…
精神衛生上、削除しておいてもよいと思います(pup571で使う場合はソースから自ビルド)。
コード: 全て選択
### pup571 ###
# which pnscan
/usr/local/bin/pnscan # md5:9c45caa54f31bbb9b5e5a85c8b795ed6、ELF 32bit形式
# ps | grep pnscan # 常駐はしていない
# find / -path '/proc' -prune -o -name 'pnscan' -ls
3659 18 -rwxr-xr-x 1 root root 18164 7月 9 2010 /initrd/pup_ro2/usr/local/bin/pnscan # SFS上のもの
26929 18 -rwxr-xr-x 1 root root 18164 7月 9 2010 /usr/local/bin/pnscan
### pup8+18 ###
# which pnscan
/usr/bin/pnscan # md5:27b0384c5c1572f97e58953d18996154、ELF 32bit形式
# ps | grep pnscan # 常駐はしていない
# find / -path '/proc' -prune -o -name 'pnscan' -ls
10655 1 -rw-r--r-- 1 root root 32 2月 16 18:01 /var/packages/builtin_files/pnscan
7111 22 -rwxr-xr-x 1 root root 22076 2月 16 17:58 /usr/bin/pnscan
5426 22 -rwxr-xr-x 1 root root 22076 2月 16 17:58 /initrd/pup_ro2/usr/bin/pnscan # SFS上のもの
32744 1 -rw-r--r-- 1 root root 32 2月 16 18:01 /initrd/pup_ro2/var/packages/builtin_files/pnscan # SFS上のもの
### puppy_bionicpup64_8.0.sfs の「/usr/local/bin/pnscan」###
./pnscan # md5:9c45caa54f31bbb9b5e5a85c8b795ed6、ELF 32bit形式、pup571の「/usr/local/bin/pnscan」と同一
### puppy_bionicpup64_8.0.sfs の「/usr/bin/pnscan」###
./pnscan # md5:3a0a7c6d88c2a4e6a89c87c1bed57eac、ELF 64bit形式
### 内容見る ###
# TGT="./pnscan"
# md5sum ${TGT} # md5ハッシュ
# file ${TGT} # ファイル情報
# od -Ax -tx1z ${TGT} | less # 16進ダンプ + asciiコード
# busybox strings ${TGT} | less # 文字列抽出、devxに本家stringsあり
# objdump -S -d ${TGT} | less # 逆アセンブル(要devx)
バイナリ中の本家ページ(自称) http://www.lysator.liu.se/~pen/pnscan # スウェーデンの大学ドメイン?
-
- 記事: 2050
- 登録日時: 15/10/25(日) 14:00
Re: BionicPup64-8.0のマルウェアの件
32bit モジュールですか。プロパティを確認しなかったので気がつきませんでした。
それなら 32bit 互換ライブラリを入れていなければ動きませんし、削除してもまったく問題ないですね。
追記
本家フォーラムでは、OscarTalks さんが、やはり 32bit モジュールであることを指摘してくださいました。
予め、よく調べるべきでした。
ThinkPad X121e (Precise 571 / Tahr 605 / Tahr64 606 / Xenial 7.5 / Bionic32)
CPU AMD C-50 1.0GHz, RAM 4GB
ThinkPad L440 (Xenial 7.5 / Bionic64 / Fossa64)
CPU intel Celeron 2950M 2.0GHz, RAM 4GB
CPU AMD C-50 1.0GHz, RAM 4GB
ThinkPad L440 (Xenial 7.5 / Bionic64 / Fossa64)
CPU intel Celeron 2950M 2.0GHz, RAM 4GB
Re: BionicPup64-8.0のマルウェアの件
571由来でしたか。
開発時に感染したと言うよりも紛れ込んだ感じですかね
私が少し前に書いた中国語のサイトでも対処は
/usr/local/bin にある pnscanを削除と書いてありました
ただし、あちらはcentOSでした。
開発時に感染したと言うよりも紛れ込んだ感じですかね
私が少し前に書いた中国語のサイトでも対処は
/usr/local/bin にある pnscanを削除と書いてありました
ただし、あちらはcentOSでした。
neo実験君こと次期メインマシン
Intel Core i5-8400 2.80GHz
xenialpup64 7.5+lang_pack_ja-xenial64e
Intel Core i5-8400 2.80GHz
xenialpup64 7.5+lang_pack_ja-xenial64e
Re: BionicPup64-8.0のマルウェアの件
PeasyPort Network Scannerで、pnscanでしたか。
GitHubとも無関係でした。
短く簡潔な命名が好まれる為だろうけど、同じファイル名が多いと混乱します。
とりあえず、何もせずにこのままBionicpup64使用で問題無しですね。
GitHubとも無関係でした。
短く簡潔な命名が好まれる為だろうけど、同じファイル名が多いと混乱します。
とりあえず、何もせずにこのままBionicpup64使用で問題無しですね。