che cos'è il gruppo access

27

Qualcuno sa che cosa è / fa il gruppo "access_bpf". L'ho notato quando sono andato in Preferenze> Utenti e gruppi.

Ho cercato e scoperto che ha qualcosa a che fare con Wireshark, tuttavia non ho installato il programma sul mio Mac, quindi sono troppo sicuro di come sia stato aggiunto il gruppo.

wireshark

— Andrea
fonte

2

buona ricerca :) è il Wireshark a creare quel gruppo. Dato che non ricordi di averlo installato, potrebbe essere stato qualcun altro.

— Ruskes,

27

Il programma di installazione di Wireshark configura il tuo sistema in modo che l'utente che esegue l'installazione possa acquisire il traffico di rete senza che il programma di acquisizione debba essere eseguito come root.

Il modo in cui lo fa è:

creare un access_bpfgruppo;
mettere l'utente in quel gruppo;
installare un StartupItem (nelle versioni precedenti) o un demone di avvio (nelle versioni più recenti) che, all'avvio del sistema, modifica le autorizzazioni dei dispositivi BPF in rw-rw --- e il proprietario del gruppo dei dispositivi BPF in access_bpf;
organizza che il demone StartupItem / launch venga eseguito in quel momento.

Nota, a proposito, questo ti consente anche di catturare il traffico con Wireshark (o i programmi TShark o dumpcap di Wireshark) senza doverli eseguire come root, ma ti permette anche di catturare il traffico con tcpdump senza doverlo eseguire come root.

10

Il programma di installazione per Wireshark creerà il gruppo access_bpf! o nel tuo caso chissà :)

Dal momento che non ricordi l'installazione e non lo usi, rimuovilo e basta.

Per rimuovere Wireshark dal tuo computer, cerca i seguenti file sul tuo Mac e rimuovili se esistono:

sudo rm -r /Applications/Wireshark.app
sudo rm -r /Library/Wireshark
sudo rm /Library/StartupItems/ChmodBPF
sudo rm /Library/LaunchDaemons/org.wireshark.ChmodBPF.plist
sudo rm /Library/Application\ Support/Wireshark/ChmodBPF/ChmodBF
sudo rm /Library/Application\ Support/Wireshark/ChmodBPF/org.wireshark.ChmodBPF.plist

Rimuovere anche il gruppo access_bpf

— Ruskes
fonte

8

Vai a Preferenze di Sistema -> Utenti e gruppi -> Sbloccalo come amministratore -> apri il campo Gruppi sotto Utenti -> seleziona ed elimina.

O tramite terminale con

sudo dscl . -delete /Groups/access_bpf

— leon
fonte

Sì, ma non hai risposto alla domanda, ovvero a cosa serve quel gruppo ... Altri invece hanno fatto.

— Motti Shneor,

Hai ragione. Avrebbe dovuto essere un commento al modo di eliminare, non una risposta. Comunque, il mio post originale menzionava che era una risposta a un poster precedente, ma è stato modificato molto e due volte. Rendendolo più chiaro, però.

— leon

1

Questo potrebbe anche essere che i resti di te siano stati colpiti da un'unità java da attacchi di malware.

In questo caso, un bot otterrà l'accesso come root, creerà un account ospite (forse nascosto bene) e inizierà a guardare i tuoi portachiavi.

se vedi mitmproxy sotto certs, chiama immediatamente apple o un altro supporto di fiducia.

mi hanno parlato al telefono come se non avessero mai sentito parlare del problema.

resta il fatto che MacOS non è perfetto. se hai ancora bisogno di aiuto, sentiti libero di scrivere.

— frequente
fonte

1

Grazie per aver risposto. Il malware spesso nasconde cose con nomi comuni o previsti. Ho modificato un po '. Potresti prendere in considerazione il rapporto "Non hanno sentito". Ovviamente il supporto professionale non ti rivelerà i rapporti degli altri, si concentreranno solo sul tuo problema e sul tuo. Come hai mostrato, ogni frase che dicono sarà spesso pubblicata pubblicamente senza il contesto di una conversazione più lunga, quindi cercano anche di attenersi ai fatti sapendo che potrebbero essere sulla prima pagina di Reddit domani.

— bmike

0

Questo gruppo verrà inoltre creato installando Debookee, uno strumento di analisi del traffico di rete nativo di macOS, che utilizza un Wireshark incorporato.

https://debookee.com

— Gummibando
fonte

che cos'è il gruppo access_bpf?