Fedora 総合スレッド Part 50

1 名前：login:Penguin mailto:sage [2011/08/06(土) 01:50:24.78 ID:etK/W9Qa] ●前スレ Fedora 総合スレッド Part 49 hibari.2ch.net/test/read.cgi/linux/1302163208/ ●Fedora公式 fedoraproject.org/ https://fedoraproject.org/wiki/ ●ダウンロード fedoraproject.org/get-fedora torrent.fedoraproject.org/ mirrors.fedoraproject.org/publiclist/Fedora/ ●FAQ Wiki FAQ fedoraproject.org/wiki/FAQ Fedoraで自宅サーバー構築 fedorasrv.com/ Fedora 2ch FAQ www12.atwiki.jp/linux2ch/pages/17.html#id_df35901c www12.atwiki.jp/linux2ch/pages/30.html ●Forum www.fedoraforum.org/ fedora.forums-free.com/ 古くなった情報は切りました 976 名前：login:Penguin mailto:sage [2011/11/22(火) 22:01:58.02 ID:SOVMrElT] ウィルス検索じかん掛かったわー >>973 報告した方がいいんですかね、今は再現しないのですが再度2chに接続するまでの数時間は再現率100%でした firefoxのユーザホームディレクトリのCacheで以下4件ウィルスが見つかりました。どこで貰ったのかはちょっと不明です PUA.Script.Packed-2 PUA.HTML.Infected.WebPage-1 PUA.Script.Packed-1 PUA.JS.Xored これだけでは現象は現れずjdを起動させて mountコマンドの結果に binfmt_misc on /proc/sys/fs/binfmt_misc type binfmt_misc (rw,realtime) が出力された時には現象が出てました。今は現象は再現していません 攻撃者が振る舞いを指示できるタイプのウィルスじゃねーかなー　なんて素人考えしてます hibari.2ch.net/test/read.cgi/linux/1321570974/92-93 977 名前：login:Penguin mailto:sage [2011/11/22(火) 22:04:16.37 ID:ugJXxMp8] gnome-shellのsearch boxに日本語で検索しようとした場合、 ibusなどの変換結果が見えないのも仕様ですか？ 978 名前：login:Penguin mailto:sage [2011/11/22(火) 23:39:09.08 ID:SOVMrElT] 日付変更前に追記しとこ 検索エンジン向けキーワード >>976のウイルス,virus　上から順に file command : ./.mozilla/firefox/XXXXXXXX.default/Cache/X/XX/XXXXXd01: ASCII English text, with very long lines, with CRLF line terminators ./.mozilla/firefox/XXXXXXXX.default/Cache/X/XX/XXXXXd01: gzip compressed data, max compression ./.mozilla/firefox/XXXXXXXX.default/Cache/X/XX/XXXXXd01: gzip compressed data, from Unix ./.mozilla/firefox/XXXXXXXX.default/Cache/X/XX/XXXXXd01: gzip compressed data, from FAT filesystem (MS-DOS, OS/2, NT) ls command : -rw-------. 1 user_mei user_mei 21567 11月 22 10:17 ./.mozilla/firefox/XXXXXXXX.default/Cache/X/XX/XXXXXd01 -rw-------. 1 user_mei user_mei 26280 11月 21 14:23 ./.mozilla/firefox/XXXXXXXX.default/Cache/X/XX/XXXXXd01 -rw-------. 1 user_mei user_mei 19653 11月 21 01:11 ./.mozilla/firefox/XXXXXXXX.default/Cache/X/XX/XXXXXd01 -rw-------. 1 user_mei user_mei 39644 11月 21 12:27 ./.mozilla/firefox/XXXXXXXX.default/Cache/X/XX/XXXXXd01 979 名前：login:Penguin mailto:sage [2011/11/22(火) 23:58:25.91 ID:SOVMrElT] >>970-972さん　ありがとうございます >>968の書き込み後から孤独な確認作業に入ったものので下さった何れのアドバイスも試せてません すいません、 このF16はHost OSとして使ってるので汚染されてたら非常に困ります。。。 980 名前：login:Penguin mailto:sage [2011/11/23(水) 00:48:23.89 ID:tdHRef6D] >>979 基本的なことで申し訳ないが、フツーのコンソールで shutdown -h now した時の具合はどうなってる？ 981 名前：login:Penguin mailto:sage [2011/11/23(水) 01:03:13.49 ID:WNDm2LAx] >>980 22時過ぎから再現しなくなってまして shutdown -h now も試せてません 該当ファイルの隔離で実行環境を破壊したからなのか それとも攻撃者が指令を引っ込めたからなのか 982 名前：login:Penguin mailto:sage [2011/11/23(水) 11:20:21.65 ID:WI/Ujewj] firefox8に上がったら、bookmarkアイコンが出たり出なかったりバラバラです 983 名前：login:Penguin mailto:sage [2011/11/23(水) 11:36:12.06 ID:tdHRef6D] >>976 PUAだから即ウィルスは軽率 安易にウィルス感染と考えないほうがいい 地道に/var/log下のログと、 不具合がでる前にやった些細なことを思い出せば 解決できる気がする 984 名前：login:Penguin mailto:sage [2011/11/23(水) 12:01:48.98 ID:WNDm2LAx] >>983 > PUAだから即ウィルスは軽率 > 安易にウィルス感染と考えないほうがいい 21kBくらいだけど難読化されたjavascriptファイル見る？ jd起動した場合に現象発生環境が整ってたんだよ binfmt_misc のmountとか > 地道に/var/log下のログと、 # grep mount /var/log/messages* | grep -i binfmt # syslogからは該当mountの痕跡消えてるし hibari.2ch.net/test/read.cgi/linux/1321570974/27,67 > セキュリティ上の状態は目をつむったとして 次に再現した場合には2chに書かず即bugzilla行くわ > uni.2ch.net/test/read.cgi/news/1322012518/1 > [ ニュース速報 ] 【ネットの信頼度】　２ちゃんねるの情報は信頼できますか？ こんな話もあるし 985 名前：login:Penguin mailto:sage [2011/11/23(水) 12:23:22.76 ID:tbUXNawl] 自分がウィルスだって思ってるならそれでいいじゃん。 2chの他のスレのレスを持ちだしてきて何がしたいのかよく分からん。 986 名前：login:Penguin mailto:sage [2011/11/23(水) 12:24:06.89 ID:Q0UX8Eqx] WORKSFORME 987 名前：login:Penguin mailto:sage [2011/11/23(水) 12:29:57.71 ID:WNDm2LAx] 自分でいうのも何だけど確かにPUA.*と現象を即結びつけて考えてるのは軽率、現象とは無関係だったかもしれない 他に原因があることも充分考えられる しかし、常用してたGUIアプリ5つの内 jd起動後でのみ電源オフ時の振る舞いが変化してたのも事実 988 名前：login:Penguin mailto:sage [2011/11/23(水) 12:37:31.86 ID:WNDm2LAx] >>985 通常のユーザなら「セキュリティ上の問題」には目を瞑れない 通常のユーザであるなら「ちょっと使いたいプログラムに限っていつもjavascriptなんだ」←こんな状況は考え難い 特にUnix Like OSのユーザならjavascriptなんかで作るより他の自分が得意なshellなり言語なりでプログラムつくるでしょ ただし既存のvirusを流用したい場合は別、javascriptを使いたい場合もあるのかも知れない 989 名前：login:Penguin mailto:sage [2011/11/23(水) 12:42:29.51 ID:yynBa45m] 問題を解決したいのか 自分がウィルス感染したのを主張したいのか よくわからん 990 名前：login:Penguin mailto:sage [2011/11/23(水) 12:53:43.81 ID:WNDm2LAx] 問題の解決と注意喚起をしたいのです それに比べれば主張は重要なことではない　と考えてます 認識してる現象は 電源オフ時の振る舞い不良だけですけど、認識できていない現象もあるかも知れない $ file PUA.* PUA.HTML.Infected.WebPage-1.gz: gzip compressed data, from FAT filesystem (MS-DOS, OS/2, NT) PUA.JS.Xored.gz: gzip compressed data, from Unix PUA.Script.Packed-1.gz: gzip compressed data, max compression PUA.Script.Packed-2.txt: ASCII English text, with very long lines, with CRLF line terminators $ $ zcat PUA.HTML.Infected.WebPage-1.gz | file - /dev/stdin: ASCII C program text, with very long lines $ $ zcat PUA.JS.Xored.gz | file - /dev/stdin: UTF-8 Unicode English text, with very long lines $ $ zcat PUA.Script.Packed-1.gz | file - /dev/stdin: ASCII assembler program text, with very long lines $ 991 名前：login:Penguin mailto:sage [2011/11/23(水) 13:01:38.95 ID:yynBa45m] 問題解決にしても注意喚起にしても情報が少ないな 注意喚起のほうは危ないっていってるだけでどうすれば避けられるかよくわからない 差し支えなければ>>978のファイルをどっかに上げれば 何者なのか判断がつく人もいるかもしれないけどな (知らない人が不用意に展開しないようパスつけて) 992 名前：login:Penguin mailto:sage [2011/11/23(水) 13:03:53.62 ID:WNDm2LAx] >>991先ほどから迷ってるのですが国内で何か法改正されてませんでしたっけ 頒布したら有罪　とか何とか、疎いので安全かどうか判らず決断できないでいます 993 名前：login:Penguin mailto:sage [2011/11/23(水) 13:08:51.17 ID:s7o4EMT/] 注意喚起ならIPAにでも報告しとけ つかいつまでもアスペに構うなよ 994 名前：login:Penguin mailto:sage [2011/11/23(水) 13:34:28.19 ID:tdHRef6D] >>984 俺もPUAならあるよ。 PUA.JS.Obfus-2 PUA.JS.Xored PUA.Script.Packed PUA.Script.Packed-1 PUA.Script.Packed-2 ところでルートキットの方はどうなの 995 名前：login:Penguin [2011/11/23(水) 18:47:25.04 ID:OrSguwMU] シャットダウンしたのに再起動する現象でしょ？俺はF15では頻繁に起きてたよ。 一応このスレでも聞いたんだが、BIOS確認しろって言われて終わり。 BIOSと言われても関係ありそうなところは無かったがな。そもそもF15より前では 起きないし多分BIOSは関係ないよ。 この現象はF16ではまだ起きてないから、修正されたのかと思ってたが。 996 名前：login:Penguin mailto:sage [2011/11/23(水) 20:42:43.25 ID:pqG8kJL0] Fedora 総合スレッド Part 51 hibari.2ch.net/test/read.cgi/linux/1322048456/

---

---

[ 新着レスの取得/表示 (agate) ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef