Security Professionals
- ipfw add deny all from eindgebruikers to any
sd-pam op Ubuntu Gnome en StripedFly
29-10-2023, 18:35 door Anoniem, 6 reacties
Hallo security ninjas,
Beetje raar dat ik op de frontpage van security.nl nog niets over StripedFly gelezen heb.
En nu kom ik op mijn Ubuntu klapdoosje tegen onder het root process gdm-session-worker [pam/gdm-password] \_ (sd-pam) als mijn user tegen als ik ps axufw|grep pam doe waar alle terminal commandos onder draaien blijkbaar.
Iedere commando gaat via die sd-pam.
Maar ergens is dit dacht ik normaal gedrag toch?
Ik word er wel een beetje paranoia van nu met dat StripedFly. Wat denken jullie hiervan?
Beetje raar dat ik op de frontpage van security.nl nog niets over StripedFly gelezen heb.
En nu kom ik op mijn Ubuntu klapdoosje tegen onder het root process gdm-session-worker [pam/gdm-password] \_ (sd-pam) als mijn user tegen als ik ps axufw|grep pam doe waar alle terminal commandos onder draaien blijkbaar.
Iedere commando gaat via die sd-pam.
Maar ergens is dit dacht ik normaal gedrag toch?
Ik word er wel een beetje paranoia van nu met dat StripedFly. Wat denken jullie hiervan?
Reacties (6)
Ja, sd-pam is normaal. PAM staat voor "pluggable authentication modules". Zie `man 7 pam' voor een uitleg van wat dat is.
Wat sd-pam precies is in dat geheel wist ik ook niet, maar ik zie het op mijn Debian-machine ook. Een internetzoekopdracht op "sd-pam" leert dat meer mensen vragen wat het is en ook antwoorden krijgen. Het is een proces van systemd dat de afsluiting van pam-sessies regelt, kennelijk.
StripedFly gebruikt kennelijk dezelfde procesnaam sd-pam om niet op te vallen. Dat betekent niet dat als je sd-pam ziet je besmet bent, want elk systeem met systemd erop zal zo'n proces hebben.
Voor zover ik de StripedFly-beschrijvingen begrijp vindt de eerste besmetting op een Windows-machine plaats, en hij zit verstopt in een cryptocurrency miner die de gebruiker zelf installeert. Van daaruit worden via een exploit in SMBv1 Linux-machines besmet. Wil jouw Linux-machine besmet zijn dan moet je dus a) een Windows-machine in je netwerk hebben, b) daarop de bewuste cryptocurrency-miner hebben geïnstalleerd, en c) op je Linux-machine toegang tot mappen geven aan die Windows-machine via het SMBv1-protocol, met Samba op Linux dus. Als dat niet alle drie voor jou opgaat hoef je je denk ik nergens zorgen over te maken.
Wat sd-pam precies is in dat geheel wist ik ook niet, maar ik zie het op mijn Debian-machine ook. Een internetzoekopdracht op "sd-pam" leert dat meer mensen vragen wat het is en ook antwoorden krijgen. Het is een proces van systemd dat de afsluiting van pam-sessies regelt, kennelijk.
StripedFly gebruikt kennelijk dezelfde procesnaam sd-pam om niet op te vallen. Dat betekent niet dat als je sd-pam ziet je besmet bent, want elk systeem met systemd erop zal zo'n proces hebben.
Voor zover ik de StripedFly-beschrijvingen begrijp vindt de eerste besmetting op een Windows-machine plaats, en hij zit verstopt in een cryptocurrency miner die de gebruiker zelf installeert. Van daaruit worden via een exploit in SMBv1 Linux-machines besmet. Wil jouw Linux-machine besmet zijn dan moet je dus a) een Windows-machine in je netwerk hebben, b) daarop de bewuste cryptocurrency-miner hebben geïnstalleerd, en c) op je Linux-machine toegang tot mappen geven aan die Windows-machine via het SMBv1-protocol, met Samba op Linux dus. Als dat niet alle drie voor jou opgaat hoef je je denk ik nergens zorgen over te maken.
Door Anoniem:Voor zover ik de StripedFly-beschrijvingen begrijp vindt de eerste besmetting op een Windows-machine plaats, en hij zit verstopt in een cryptocurrency miner die de gebruiker zelf installeert. Van daaruit worden via een exploit in SMBv1 Linux-machines besmet. Wil jouw Linux-machine besmet zijn dan moet je dus a) een Windows-machine in je netwerk hebben, b) daarop de bewuste cryptocurrency-miner hebben geïnstalleerd, en c) op je Linux-machine toegang tot mappen geven aan die Windows-machine via het SMBv1-protocol, met Samba op Linux dus. Als dat niet alle drie voor jou opgaat hoef je je denk ik nergens zorgen over te maken.
Dat is een beetje kort door de bocht... Je moet in een netwerk gezeten hebben waar een Windows computer zat die besmet is. Dus als je je laptop meegenomen hebt naar je bandenboer, de autogarage, je opa/oma, dat openbaar netwerk wat dezelfde naam had als thuis bij installatie van app-xyz enz..
Je verbaast je hoeveel mensen nog een lynksys SSID in hun lijst heeft staan van bekende netwerken. Of de 'open' SSID van hun supermarkt of groothandel... Allemaal perfecte manieren om je systeem te besmetten. Mensen denken dat ze op HUN netwerk veilig zijn... en dat is ook wel relatief zo, maar mensen weten niet dat ze 'thuis' zomaar op iemand anders hun netwerk kunnen komen.
Door Anoniem: Ja, sd-pam is normaal. PAM staat voor "pluggable authentication modules". Zie `man 7 pam' voor een uitleg van wat dat is.
Wat sd-pam precies is in dat geheel wist ik ook niet, maar ik zie het op mijn Debian-machine ook. Een internetzoekopdracht op "sd-pam" leert dat meer mensen vragen wat het is en ook antwoorden krijgen. Het is een proces van systemd dat de afsluiting van pam-sessies regelt, kennelijk.
StripedFly gebruikt kennelijk dezelfde procesnaam sd-pam om niet op te vallen. Dat betekent niet dat als je sd-pam ziet je besmet bent, want elk systeem met systemd erop zal zo'n proces hebben.
Voor zover ik de StripedFly-beschrijvingen begrijp vindt de eerste besmetting op een Windows-machine plaats, en hij zit verstopt in een cryptocurrency miner die de gebruiker zelf installeert. Van daaruit worden via een exploit in SMBv1 Linux-machines besmet. Wil jouw Linux-machine besmet zijn dan moet je dus a) een Windows-machine in je netwerk hebben, b) daarop de bewuste cryptocurrency-miner hebben geïnstalleerd, en c) op je Linux-machine toegang tot mappen geven aan die Windows-machine via het SMBv1-protocol, met Samba op Linux dus. Als dat niet alle drie voor jou opgaat hoef je je denk ik nergens zorgen over te maken.
Daarom maak geen enkele koppelingen met windows, grote kans dat je dan ook nog eens microsoft licenties moet betalen.Wat sd-pam precies is in dat geheel wist ik ook niet, maar ik zie het op mijn Debian-machine ook. Een internetzoekopdracht op "sd-pam" leert dat meer mensen vragen wat het is en ook antwoorden krijgen. Het is een proces van systemd dat de afsluiting van pam-sessies regelt, kennelijk.
StripedFly gebruikt kennelijk dezelfde procesnaam sd-pam om niet op te vallen. Dat betekent niet dat als je sd-pam ziet je besmet bent, want elk systeem met systemd erop zal zo'n proces hebben.
Voor zover ik de StripedFly-beschrijvingen begrijp vindt de eerste besmetting op een Windows-machine plaats, en hij zit verstopt in een cryptocurrency miner die de gebruiker zelf installeert. Van daaruit worden via een exploit in SMBv1 Linux-machines besmet. Wil jouw Linux-machine besmet zijn dan moet je dus a) een Windows-machine in je netwerk hebben, b) daarop de bewuste cryptocurrency-miner hebben geïnstalleerd, en c) op je Linux-machine toegang tot mappen geven aan die Windows-machine via het SMBv1-protocol, met Samba op Linux dus. Als dat niet alle drie voor jou opgaat hoef je je denk ik nergens zorgen over te maken.
30-10-2023, 19:53 door
Xavier Ohole
Door Anoniem: Ik word er wel een beetje paranoia van nu met dat StripedFly. Wat denken jullie hiervan?
Je hebt last van paranoia maar bent of wordt er paranoïde van.
Door Xavier Ohole:
Je hebt last van paranoia maar bent of wordt er paranoïde van.
Door Anoniem: Ik word er wel een beetje paranoia van nu met dat StripedFly. Wat denken jullie hiervan?
Je hebt last van paranoia maar bent of wordt er paranoïde van.
Niks mis met die vraag. Vooral omdat het een eerlijke en verstandige is. De gevaarlijkste IT'er is iemand die de indruk wekt dat hij alles weet, namelijk, want dat is enkel technisch al heel lang eenvoudig onmogelijk.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
