co to jest grupa access_bpf?

27

Czy ktoś wie, czym jest / robi grupa „access_bpf”. Zauważyłem to, kiedy wszedłem do Preferencje> Użytkownicy i grupy.

Rozejrzałem się i odkryłem, że ma to coś wspólnego z Wireshark, jednak nie zainstalowałem programu na komputerze Mac, więc jestem zbyt pewien, jak grupa została dodana.

wireshark Andrzej
źródło
2
dobre wyszukiwanie :) Wireshark jest tym, który tworzy tę grupę. Ponieważ nie pamiętasz, aby go zainstalować, mógł to być ktoś inny.
Ruskes

Odpowiedzi:

27

Instalator Wireshark konfiguruje system tak, aby użytkownik wykonujący instalację mógł przechwytywać ruch sieciowy bez konieczności uruchamiania programu przechwytującego jako root.

Sposób polega na:

  • stworzyć access_bpfgrupę;
  • umieść użytkownika w tej grupie;
  • zainstaluj element StartupItem (w starszych wersjach) lub demon uruchamiania (w nowszych wersjach), który po uruchomieniu systemu zmienia uprawnienia urządzeń BPF na rw-rw ---, a właściciela grupy urządzeń BPF na access_bpf;
  • organizuje uruchomienie demona StartupItem / launch w tym czasie.

Pamiętaj, BTW, że pozwala to również na przechwytywanie ruchu za pomocą Wireshark (lub TShark lub programów zrzutu zrzutu) Wiresharka bez konieczności uruchamiania ich jako root, a także pozwala przechwytywać ruch za pomocą tcpdump bez konieczności uruchamiania go jako root.


źródło
10

Instalator dla Wireshark utworzy grupę access_bpf! lub w twoim przypadku, kto wie :)

Ponieważ nie pamiętasz instalacji i nie korzystasz z niej, po prostu ją usuń.

Aby usunąć Wireshark ze swojego komputera, poszukaj następujących plików na komputerze Mac i usuń je, jeśli istnieją:

sudo rm -r /Applications/Wireshark.app
sudo rm -r /Library/Wireshark
sudo rm /Library/StartupItems/ChmodBPF
sudo rm /Library/LaunchDaemons/org.wireshark.ChmodBPF.plist
sudo rm /Library/Application\ Support/Wireshark/ChmodBPF/ChmodBF
sudo rm /Library/Application\ Support/Wireshark/ChmodBPF/org.wireshark.ChmodBPF.plist

Usuń także grupę access_bpf

Ruskes
źródło
8

Przejdź do Preferencji systemowych -> Użytkownicy i grupy -> Odblokuj jako Administrator -> otwórz pole Grupy w obszarze Użytkownicy -> wybierz i usuń.

Lub przez terminal z

sudo dscl . -delete /Groups/access_bpf
Leon
źródło
Tak, ale nie odpowiedziałeś na pytanie, tj. Po co jest ta grupa ... Inni to zrobili.
Motti Shneor
Masz rację. Powinien to być komentarz do sposobu usuwania, a nie odpowiedź. W każdym razie mój oryginalny post wspominał, że była to odpowiedź na poprzedni plakat, ale był wielokrotnie edytowany i dwa razy. Jednak jaśniej.
Leon
1

Mogą to być również resztki twojego ataku na java przez atak złośliwego oprogramowania.

W takim przypadku bot uzyska dostęp do konta root, utworzy konto gościa (być może dobrze ukryte) i zacznie przeglądać breloki.

jeśli zobaczysz mitmproxy pod certyfikatami, natychmiast zadzwoń do Apple lub innego zaufanego kontaktu z pomocą techniczną.

rozmawiali ze mną przez telefon, jakby nigdy nie słyszeli o tym problemie.

Faktem jest, że MacOS nie jest idealny. jeśli nadal potrzebujesz pomocy, nie krępuj się pisać.

częsty
źródło
1
Dziękujemy za odpowiedź. Złośliwe oprogramowanie często maskuje rzeczy o wspólnych lub oczekiwanych nazwach. Trochę edytowałem. Możesz rozważyć raport „nie słyszeli”. Oczywiście profesjonalne wsparcie nie będzie ujawniać raportów innych osób, one skupią się na twoim problemie i na twoim. Jak wykazałeś, każde zdanie, które powiedzą, będzie często publikowane publicznie bez kontekstu dłuższej rozmowy, więc starają się też trzymać faktów, wiedząc, że jutro znajdą się na pierwszej stronie Reddit.
bmike
0

Ta grupa zostanie również utworzona przez zainstalowanie Debookee, natywnego narzędzia do analizowania ruchu sieciowego w systemie macOS, które wykorzystuje osadzony Wireshark.

https://debookee.com

Gummibando
źródło