Fedora 総合スレッド Part 50

[0001 login:Penguin 2011/08/06(土) 01:50:24.78 ID:etK/W9Qa]

●前スレ
Fedora 総合スレッド Part 49
http://hibari.2ch.net/test/read.cgi/linux/1302163208/

●Fedora公式
http://fedoraproject.org/
https://fedoraproject.org/wiki/

●ダウンロード
http://fedoraproject.org/get-fedora
http://torrent.fedoraproject.org/
http://mirrors.fedoraproject.org/publiclist/Fedora/

●FAQ
Wiki FAQ
http://fedoraproject.org/wiki/FAQ
Fedoraで自宅サーバー構築
http://fedorasrv.com/
Fedora 2ch FAQ
http://www12.atwiki.jp/linux2ch/pages/17.html#id_df35901c
http://www12.atwiki.jp/linux2ch/pages/30.html

●Forum
http://www.fedoraforum.org/
http://fedora.forums-free.com/

古くなった情報は切りました

[0966 login:Penguin 2011/11/22(火) 14:48:51.15 ID:MIAds7AO]

えっ！？

[0967 login:Penguin 2011/11/22(火) 15:02:07.93 ID:SOVMrElT]

>>964ですが
表記はシャットダウンじゃなくて"電源オフ"が正ですね
常用時のユーザでログインしてしばらく作業してからGUI操作で ログアウト→電源オフ
するとなぜか 再起動 の動作に

[0968 login:Penguin 2011/11/22(火) 15:35:21.37 ID:SOVMrElT]

>>964です連投すんません

再現の最低条件は
1.jdを起動しててきとーに通信後にjdを終了(Xボタンから)
2.gnome-shell の右上、ユーザ名のメニューから「ログアウト」
3.ユーザ選択画面の右上のメニューから「電源オフ」

すると(rhgbを切ってる場合)通常はsignal送信してる旨等から始まって一連の終了処理の一番最後に "Power off"と表示されて終了
するところ、今陥ってるケースだと次行が1行だけ一瞬表示され(読み取れず)て再起動

してしまいます

[0969 login:Penguin 2011/11/22(火) 15:38:43.39 ID:SOVMrElT]

x "Power off"
o "Powering off"

[0970 login:Penguin 2011/11/22(火) 15:38:51.14 ID:By/BXIFN]

>>964
>どこの設定を確認すればいいですか？
BIOSかな？

KVM上のF16はちゃんと落ちてる

[0971 login:Penguin 2011/11/22(火) 16:15:49.70 ID:Pec1Sr4B]

ログアウトしないで直接右上Altで電源OFFしても一緒かな

[0972 login:Penguin 2011/11/22(火) 16:17:44.80 ID:DGoMaG15]

ハイバネートやらサスペンドでも再起動する？

[0973 login:Penguin 2011/11/22(火) 16:46:13.50 ID:NDinFU3R]

>>968 >>964
先ずは報告です。そういうのを見つけたら、先ずは報告してください、本当に。
報告もしないで「どこの設定を確認すればいいですか？」とか
メンテナが気づかぬところで話をするのはお互いに
不幸な事。

[0974 login:Penguin 2011/11/22(火) 18:15:05.47 ID:NsqWhb7P]

>>973
バグだと思って親切に
報告したら
仕様だ常識だと怒られ罵られ

[0975 login:Penguin 2011/11/22(火) 18:17:03.54 ID:oV6A5+vx]

バグじゃなくてよかったじゃないか。

[0976 login:Penguin 2011/11/22(火) 22:01:58.02 ID:SOVMrElT]

ウィルス検索じかん掛かったわー
>>973
報告した方がいいんですかね、今は再現しないのですが再度2chに接続するまでの数時間は再現率100%でした
firefoxのユーザホームディレクトリのCacheで以下4件ウィルスが見つかりました。どこで貰ったのかはちょっと不明です

PUA.Script.Packed-2
PUA.HTML.Infected.WebPage-1
PUA.Script.Packed-1
PUA.JS.Xored

これだけでは現象は現れずjdを起動させて mountコマンドの結果に

binfmt_misc on /proc/sys/fs/binfmt_misc type binfmt_misc (rw,realtime)

が出力された時には現象が出てました。今は現象は再現していません
攻撃者が振る舞いを指示できるタイプのウィルスじゃねーかなー　なんて素人考えしてます
http://hibari.2ch.net/test/read.cgi/linux/1321570974/92-93

[0977 login:Penguin 2011/11/22(火) 22:04:16.37 ID:ugJXxMp8]

gnome-shellのsearch boxに日本語で検索しようとした場合、
ibusなどの変換結果が見えないのも仕様ですか？

[0978 login:Penguin 2011/11/22(火) 23:39:09.08 ID:SOVMrElT]

日付変更前に追記しとこ

検索エンジン向けキーワード
>>976のウイルス,virus　上から順に

file command :
./.mozilla/firefox/XXXXXXXX.default/Cache/X/XX/XXXXXd01: ASCII English text, with very long lines, with CRLF line terminators
./.mozilla/firefox/XXXXXXXX.default/Cache/X/XX/XXXXXd01: gzip compressed data, max compression
./.mozilla/firefox/XXXXXXXX.default/Cache/X/XX/XXXXXd01: gzip compressed data, from Unix
./.mozilla/firefox/XXXXXXXX.default/Cache/X/XX/XXXXXd01: gzip compressed data, from FAT filesystem (MS-DOS, OS/2, NT)

ls command :
-rw-------. 1 user_mei user_mei 21567 11月 22 10:17 ./.mozilla/firefox/XXXXXXXX.default/Cache/X/XX/XXXXXd01
-rw-------. 1 user_mei user_mei 26280 11月 21 14:23 ./.mozilla/firefox/XXXXXXXX.default/Cache/X/XX/XXXXXd01
-rw-------. 1 user_mei user_mei 19653 11月 21 01:11 ./.mozilla/firefox/XXXXXXXX.default/Cache/X/XX/XXXXXd01
-rw-------. 1 user_mei user_mei 39644 11月 21 12:27 ./.mozilla/firefox/XXXXXXXX.default/Cache/X/XX/XXXXXd01

[0979 login:Penguin 2011/11/22(火) 23:58:25.91 ID:SOVMrElT]

>>970-972さん　ありがとうございます
>>968の書き込み後から孤独な確認作業に入ったものので下さった何れのアドバイスも試せてません
すいません、
このF16はHost OSとして使ってるので汚染されてたら非常に困ります。。。

[0980 login:Penguin 2011/11/23(水) 00:48:23.89 ID:tdHRef6D]

>>979
基本的なことで申し訳ないが、フツーのコンソールで
shutdown -h now
した時の具合はどうなってる？

[0981 login:Penguin 2011/11/23(水) 01:03:13.49 ID:WNDm2LAx]

>>980
22時過ぎから再現しなくなってまして shutdown -h now も試せてません

該当ファイルの隔離で実行環境を破壊したからなのか
それとも攻撃者が指令を引っ込めたからなのか

[0982 login:Penguin 2011/11/23(水) 11:20:21.65 ID:WI/Ujewj]

firefox8に上がったら、bookmarkアイコンが出たり出なかったりバラバラです

[0983 login:Penguin 2011/11/23(水) 11:36:12.06 ID:tdHRef6D]

>>976
PUAだから即ウィルスは軽率
安易にウィルス感染と考えないほうがいい
地道に/var/log下のログと、
不具合がでる前にやった些細なことを思い出せば
解決できる気がする

[0984 login:Penguin 2011/11/23(水) 12:01:48.98 ID:WNDm2LAx]

>>983
> PUAだから即ウィルスは軽率
> 安易にウィルス感染と考えないほうがいい

21kBくらいだけど難読化されたjavascriptファイル見る？

jd起動した場合に現象発生環境が整ってたんだよ
binfmt_misc のmountとか

> 地道に/var/log下のログと、

# grep mount /var/log/messages* | grep -i binfmt
#

syslogからは該当mountの痕跡消えてるし


http://hibari.2ch.net/test/read.cgi/linux/1321570974/27,67
> セキュリティ上の状態は目をつむったとして

次に再現した場合には2chに書かず即bugzilla行くわ
> http://uni.2ch.net/test/read.cgi/news/1322012518/1
> [ ニュース速報 ] 【ネットの信頼度】　２ちゃんねるの情報は信頼できますか？
こんな話もあるし

[0985 login:Penguin 2011/11/23(水) 12:23:22.76 ID:tbUXNawl]

自分がウィルスだって思ってるならそれでいいじゃん。
2chの他のスレのレスを持ちだしてきて何がしたいのかよく分からん。

[0986 login:Penguin 2011/11/23(水) 12:24:06.89 ID:Q0UX8Eqx]

WORKSFORME

[0987 login:Penguin 2011/11/23(水) 12:29:57.71 ID:WNDm2LAx]

自分でいうのも何だけど確かにPUA.*と現象を即結びつけて考えてるのは軽率、現象とは無関係だったかもしれない
他に原因があることも充分考えられる

しかし、常用してたGUIアプリ5つの内
jd起動後でのみ電源オフ時の振る舞いが変化してたのも事実

[0988 login:Penguin 2011/11/23(水) 12:37:31.86 ID:WNDm2LAx]

>>985
通常のユーザなら「セキュリティ上の問題」には目を瞑れない
通常のユーザであるなら「ちょっと使いたいプログラムに限っていつもjavascriptなんだ」←こんな状況は考え難い
特にUnix Like OSのユーザならjavascriptなんかで作るより他の自分が得意なshellなり言語なりでプログラムつくるでしょ

ただし既存のvirusを流用したい場合は別、javascriptを使いたい場合もあるのかも知れない

[0989 login:Penguin 2011/11/23(水) 12:42:29.51 ID:yynBa45m]

問題を解決したいのか
自分がウィルス感染したのを主張したいのか
よくわからん

[0990 login:Penguin 2011/11/23(水) 12:53:43.81 ID:WNDm2LAx]

問題の解決と注意喚起をしたいのです
それに比べれば主張は重要なことではない　と考えてます
認識してる現象は 電源オフ時の振る舞い不良だけですけど、認識できていない現象もあるかも知れない

$ file PUA.*
PUA.HTML.Infected.WebPage-1.gz: gzip compressed data, from FAT filesystem (MS-DOS, OS/2, NT)
PUA.JS.Xored.gz: gzip compressed data, from Unix
PUA.Script.Packed-1.gz: gzip compressed data, max compression
PUA.Script.Packed-2.txt: ASCII English text, with very long lines, with CRLF line terminators
$
$ zcat PUA.HTML.Infected.WebPage-1.gz | file -
/dev/stdin: ASCII C program text, with very long lines
$
$ zcat PUA.JS.Xored.gz | file -
/dev/stdin: UTF-8 Unicode English text, with very long lines
$
$ zcat PUA.Script.Packed-1.gz | file -
/dev/stdin: ASCII assembler program text, with very long lines
$

[0991 login:Penguin 2011/11/23(水) 13:01:38.95 ID:yynBa45m]

問題解決にしても注意喚起にしても情報が少ないな
注意喚起のほうは危ないっていってるだけでどうすれば避けられるかよくわからない

差し支えなければ>>978のファイルをどっかに上げれば
何者なのか判断がつく人もいるかもしれないけどな
(知らない人が不用意に展開しないようパスつけて)

[0992 login:Penguin 2011/11/23(水) 13:03:53.62 ID:WNDm2LAx]

>>991先ほどから迷ってるのですが国内で何か法改正されてませんでしたっけ
頒布したら有罪　とか何とか、疎いので安全かどうか判らず決断できないでいます

[0993 login:Penguin 2011/11/23(水) 13:08:51.17 ID:s7o4EMT/]

注意喚起ならIPAにでも報告しとけ

つかいつまでもアスペに構うなよ

[0994 login:Penguin 2011/11/23(水) 13:34:28.19 ID:tdHRef6D]

>>984
俺もPUAならあるよ。
PUA.JS.Obfus-2
PUA.JS.Xored
PUA.Script.Packed
PUA.Script.Packed-1
PUA.Script.Packed-2

ところでルートキットの方はどうなの

[0995 login:Penguin 2011/11/23(水) 18:47:25.04 ID:OrSguwMU]

シャットダウンしたのに再起動する現象でしょ？俺はF15では頻繁に起きてたよ。
一応このスレでも聞いたんだが、BIOS確認しろって言われて終わり。
BIOSと言われても関係ありそうなところは無かったがな。そもそもF15より前では
起きないし多分BIOSは関係ないよ。
この現象はF16ではまだ起きてないから、修正されたのかと思ってたが。

[0996 login:Penguin 2011/11/23(水) 20:42:43.25 ID:pqG8kJL0]

Fedora 総合スレッド Part 51
http://hibari.2ch.net/test/read.cgi/linux/1322048456/

[0997 login:Penguin 2011/11/23(水) 23:45:47.61 ID:bbyjzeu7]

クリーンインストールし直した方が早いんじゃないの？
他の人からそういう報告出てないっぽいし

[0998 login:Penguin 2011/11/24(木) 00:17:46.01 ID:sVjko7eB]

さて埋めますか

[0999 login:Penguin 2011/11/24(木) 00:20:33.39 ID:sVjko7eB]

999!

[1000 login:Penguin 2011/11/24(木) 00:21:23.68 ID:sVjko7eB]

1000なら次期F-XはF-22に決定