Security Professionals
- ipfw add deny all from eindgebruikers to any
sd-pam op Ubuntu Gnome en StripedFly
29-10-2023, 18:35 door Anoniem, 6 reacties
Hallo security ninjas,
Beetje raar dat ik op de frontpage van security.nl nog niets over StripedFly gelezen heb.
En nu kom ik op mijn Ubuntu klapdoosje tegen onder het root process gdm-session-worker [pam/gdm-password] \_ (sd-pam) als mijn user tegen als ik ps axufw|grep pam doe waar alle terminal commandos onder draaien blijkbaar.
Iedere commando gaat via die sd-pam.
Maar ergens is dit dacht ik normaal gedrag toch?
Ik word er wel een beetje paranoia van nu met dat StripedFly. Wat denken jullie hiervan?
Beetje raar dat ik op de frontpage van security.nl nog niets over StripedFly gelezen heb.
En nu kom ik op mijn Ubuntu klapdoosje tegen onder het root process gdm-session-worker [pam/gdm-password] \_ (sd-pam) als mijn user tegen als ik ps axufw|grep pam doe waar alle terminal commandos onder draaien blijkbaar.
Iedere commando gaat via die sd-pam.
Maar ergens is dit dacht ik normaal gedrag toch?
Ik word er wel een beetje paranoia van nu met dat StripedFly. Wat denken jullie hiervan?
Reacties (6)
Ja, sd-pam is normaal. PAM staat voor "pluggable authentication modules". Zie `man 7 pam' voor een uitleg van wat dat is.
Wat sd-pam precies is in dat geheel wist ik ook niet, maar ik zie het op mijn Debian-machine ook. Een internetzoekopdracht op "sd-pam" leert dat meer mensen vragen wat het is en ook antwoorden krijgen. Het is een proces van systemd dat de afsluiting van pam-sessies regelt, kennelijk.
StripedFly gebruikt kennelijk dezelfde procesnaam sd-pam om niet op te vallen. Dat betekent niet dat als je sd-pam ziet je besmet bent, want elk systeem met systemd erop zal zo'n proces hebben.
Voor zover ik de StripedFly-beschrijvingen begrijp vindt de eerste besmetting op een Windows-machine plaats, en hij zit verstopt in een cryptocurrency miner die de gebruiker zelf installeert. Van daaruit worden via een exploit in SMBv1 Linux-machines besmet. Wil jouw Linux-machine besmet zijn dan moet je dus a) een Windows-machine in je netwerk hebben, b) daarop de bewuste cryptocurrency-miner hebben geïnstalleerd, en c) op je Linux-machine toegang tot mappen geven aan die Windows-machine via het SMBv1-protocol, met Samba op Linux dus. Als dat niet alle drie voor jou opgaat hoef je je denk ik nergens zorgen over te maken.
Wat sd-pam precies is in dat geheel wist ik ook niet, maar ik zie het op mijn Debian-machine ook. Een internetzoekopdracht op "sd-pam" leert dat meer mensen vragen wat het is en ook antwoorden krijgen. Het is een proces van systemd dat de afsluiting van pam-sessies regelt, kennelijk.
StripedFly gebruikt kennelijk dezelfde procesnaam sd-pam om niet op te vallen. Dat betekent niet dat als je sd-pam ziet je besmet bent, want elk systeem met systemd erop zal zo'n proces hebben.
Voor zover ik de StripedFly-beschrijvingen begrijp vindt de eerste besmetting op een Windows-machine plaats, en hij zit verstopt in een cryptocurrency miner die de gebruiker zelf installeert. Van daaruit worden via een exploit in SMBv1 Linux-machines besmet. Wil jouw Linux-machine besmet zijn dan moet je dus a) een Windows-machine in je netwerk hebben, b) daarop de bewuste cryptocurrency-miner hebben geïnstalleerd, en c) op je Linux-machine toegang tot mappen geven aan die Windows-machine via het SMBv1-protocol, met Samba op Linux dus. Als dat niet alle drie voor jou opgaat hoef je je denk ik nergens zorgen over te maken.
Door Anoniem:Voor zover ik de StripedFly-beschrijvingen begrijp vindt de eerste besmetting op een Windows-machine plaats, en hij zit verstopt in een cryptocurrency miner die de gebruiker zelf installeert. Van daaruit worden via een exploit in SMBv1 Linux-machines besmet. Wil jouw Linux-machine besmet zijn dan moet je dus a) een Windows-machine in je netwerk hebben, b) daarop de bewuste cryptocurrency-miner hebben geïnstalleerd, en c) op je Linux-machine toegang tot mappen geven aan die Windows-machine via het SMBv1-protocol, met Samba op Linux dus. Als dat niet alle drie voor jou opgaat hoef je je denk ik nergens zorgen over te maken.
Dat is een beetje kort door de bocht... Je moet in een netwerk gezeten hebben waar een Windows computer zat die besmet is. Dus als je je laptop meegenomen hebt naar je bandenboer, de autogarage, je opa/oma, dat openbaar netwerk wat dezelfde naam had als thuis bij installatie van app-xyz enz..
Je verbaast je hoeveel mensen nog een lynksys SSID in hun lijst heeft staan van bekende netwerken. Of de 'open' SSID van hun supermarkt of groothandel... Allemaal perfecte manieren om je systeem te besmetten. Mensen denken dat ze op HUN netwerk veilig zijn... en dat is ook wel relatief zo, maar mensen weten niet dat ze 'thuis' zomaar op iemand anders hun netwerk kunnen komen.
Door Anoniem: Ja, sd-pam is normaal. PAM staat voor "pluggable authentication modules". Zie `man 7 pam' voor een uitleg van wat dat is.
Wat sd-pam precies is in dat geheel wist ik ook niet, maar ik zie het op mijn Debian-machine ook. Een internetzoekopdracht op "sd-pam" leert dat meer mensen vragen wat het is en ook antwoorden krijgen. Het is een proces van systemd dat de afsluiting van pam-sessies regelt, kennelijk.
StripedFly gebruikt kennelijk dezelfde procesnaam sd-pam om niet op te vallen. Dat betekent niet dat als je sd-pam ziet je besmet bent, want elk systeem met systemd erop zal zo'n proces hebben.
Voor zover ik de StripedFly-beschrijvingen begrijp vindt de eerste besmetting op een Windows-machine plaats, en hij zit verstopt in een cryptocurrency miner die de gebruiker zelf installeert. Van daaruit worden via een exploit in SMBv1 Linux-machines besmet. Wil jouw Linux-machine besmet zijn dan moet je dus a) een Windows-machine in je netwerk hebben, b) daarop de bewuste cryptocurrency-miner hebben geïnstalleerd, en c) op je Linux-machine toegang tot mappen geven aan die Windows-machine via het SMBv1-protocol, met Samba op Linux dus. Als dat niet alle drie voor jou opgaat hoef je je denk ik nergens zorgen over te maken.
Daarom maak geen enkele koppelingen met windows, grote kans dat je dan ook nog eens microsoft licenties moet betalen.Wat sd-pam precies is in dat geheel wist ik ook niet, maar ik zie het op mijn Debian-machine ook. Een internetzoekopdracht op "sd-pam" leert dat meer mensen vragen wat het is en ook antwoorden krijgen. Het is een proces van systemd dat de afsluiting van pam-sessies regelt, kennelijk.
StripedFly gebruikt kennelijk dezelfde procesnaam sd-pam om niet op te vallen. Dat betekent niet dat als je sd-pam ziet je besmet bent, want elk systeem met systemd erop zal zo'n proces hebben.
Voor zover ik de StripedFly-beschrijvingen begrijp vindt de eerste besmetting op een Windows-machine plaats, en hij zit verstopt in een cryptocurrency miner die de gebruiker zelf installeert. Van daaruit worden via een exploit in SMBv1 Linux-machines besmet. Wil jouw Linux-machine besmet zijn dan moet je dus a) een Windows-machine in je netwerk hebben, b) daarop de bewuste cryptocurrency-miner hebben geïnstalleerd, en c) op je Linux-machine toegang tot mappen geven aan die Windows-machine via het SMBv1-protocol, met Samba op Linux dus. Als dat niet alle drie voor jou opgaat hoef je je denk ik nergens zorgen over te maken.
30-10-2023, 19:53 door
Xavier Ohole
Door Anoniem: Ik word er wel een beetje paranoia van nu met dat StripedFly. Wat denken jullie hiervan?
Je hebt last van paranoia maar bent of wordt er paranoïde van.
Door Xavier Ohole:
Je hebt last van paranoia maar bent of wordt er paranoïde van.
Door Anoniem: Ik word er wel een beetje paranoia van nu met dat StripedFly. Wat denken jullie hiervan?
Je hebt last van paranoia maar bent of wordt er paranoïde van.
Niks mis met die vraag. Vooral omdat het een eerlijke en verstandige is. De gevaarlijkste IT'er is iemand die de indruk wekt dat hij alles weet, namelijk, want dat is enkel technisch al heel lang eenvoudig onmogelijk.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
