• Plague – En ny osynlig Linux-bakdörr som utnyttjar PAM för att ta kontroll över system

    En ny bakdörr för Linux, kallad Plague, har identifierats och analyserats av säkerhetsforskare. Det rör sig om ett avancerat intrångsverktyg som integreras i systemets autentiseringsramverk (PAM) och möjliggör dold fjärråtkomst via SSH. Den är särskilt svår att upptäcka, lämnar få spår och fungerar även efter systemuppdateringar.

    Bakdörr via PAM-modul

    Plague är skriven som en PAM-modul, vilket innebär att den laddas direkt i systemets inloggningsflöde. När en användare försöker autentisera sig – t.ex. via SSH eller terminal – kan modulen fånga upp autentiseringsförfrågan. Om ett av flera inbyggda lösenord används, ges åtkomst utan att systemets vanliga kontroller används.

    Exempel på hårdkodade lösenord i Plague:

    Mvi4Odm6tld7
IpV57KNK32Ih
changeme

    Det innebär att angriparen kan logga in utan att ha något känt konto på systemet.

    Designad för ihållande åtkomst

    Plague är byggd för att ligga kvar i systemet över tid. Den döljer sin existens genom flera tekniker:

    • Miljövariabler relaterade till SSH (t.ex. SSH_CONNECTION, SSH_CLIENT) raderas.
    • Kommandologgning blockeras genom att HISTFILE pekas till /dev/null.
    • Kod och strängar är obfuskade och krypterade, ofta i flera lager, för att försvåra analys.
    • Den utger sig för att vara en legitim modul, ofta under namnet libselinux.so.8.

    Plague försöker också aktivt undvika att bli analyserad. Den kontrollerar t.ex. om den körs i en debugger eller i en säkerhetsanalysmiljö, och anpassar sitt beteende därefter.

    Inte upptäckbar med traditionella verktyg

    Eftersom Plague integreras i autentiseringskedjan och agerar som ett systembibliotek, upptäcks den sällan av antivirusprogram eller EDR-lösningar. Den beter sig inte som ett fristående program och loggar inga misstänkta aktiviteter.

    Det krävs specialiserade metoder för att upptäcka den:

    • Manuell granskning av laddade PAM-moduler.
    • Filintegritetskontroll (t.ex. med AIDE eller Tripwire).
    • YARA-regler som identifierar kända kodmönster.
    • Övervakning av ovanliga inloggningar eller förändrade miljövariabler.

    Säkerhetsimplikationer

    Eftersom Plague påverkar autentiseringen direkt, innebär ett intrång att angriparen har fullständig kontroll över systemet. Det räcker inte att ta bort användarkonton eller byta lösenord – bakdörren ger åtkomst oberoende av dessa mekanismer.

    Det är särskilt allvarligt i produktionsmiljöer där PAM används i många tjänster (t.ex. SSH, sudo, login, su). Ett komprometterat system kan vara i angriparens händer utan att någon märker det.

    Rekommenderade åtgärder

    • Granska PAM-konfigurationer och kontrollera att endast förväntade moduler används.
    • Kontrollera alla bibliotek i sökvägar som /lib/security och /etc/pam.d/.
    • Använd verktyg för filintegritet för att upptäcka förändringar i kritiska systemfiler.
    • Undersök ovanliga inloggningar, särskilt med okända lösenord eller kontonamn.
    • Implementera YARA-regler och annan hotjakt vid minsta misstanke om kompromettering.

    Fördjupad analys från Nextron Systems

    Säkerhetsföretaget Nextron Systems har publicerat en teknisk analys av Plague-bakdörren. Rapporten innehåller detaljer om kodstruktur, hashvärden, hårdkodade lösenord och indikatorer på kompromettering (IoC). En länk till deras rapport rekommenderas för vidare analys.

    https://www.nextron-systems.com/2025/08/01/plague-a-newly-discovered-pam-based-backdoor-for-linux

    https://ostechnix.com/plague-pam-based-linux-backdoor

    FAKTARUTA – Plague-bakdörren för Linux
    Typ av hot PAM-baserad bakdörr (ELF-bibliotek) som krokar in i autentisering och öppnar dold SSH-åtkomst.
    Mål/plattform Linuxservrar och arbetsstationer där PAM används (t.ex. sshd, login, sudo).
    Vad den utnyttjar Pluggable Authentication Modules (PAM); maskerar sig som legitim modul, ofta under systemlika filnamn.
    Åtkomstmetod Accepterar fördefinierade “master-lösenord” och kan släppa in oavsett användarnamn.
    Hårdkodade lösenord (ex.) Mvi4Odm6tld7, IpV57KNK32Ih, changeme
    Persistens Ligger i autentiseringskedjan ⇒ överlever omstarter och vanliga uppdateringar utan separata startskript.
    Stealth/antiforensik Rensar miljövariabler (SSH_CONNECTION, SSH_CLIENT), pekar HISTFILE till /dev/null, minimerar spår i loggar.
    Anti-analys Obfuskering och krypterade strängar (flera lager); miljökontroller för att undvika debugger/sandbox.
    Indikatorer (IoC) Ovana PAM-moduler/filer; misstänkta namn i /lib/security; annorlunda poster i /etc/pam.d/*; avvikande SSH-inloggningar.
    Primära risker Obehörig SSH-åtkomst (upp till root), lateral rörelse, datastöld, svår incidentforensik p.g.a. brist på loggar.
    Rekommenderade åtgärder Inventera PAM-konfiguration/bibliotek; filintegritetskontroll (AIDE/Tripwire); YARA-baserad jakt; central loggning; överväg att stänga lösenordsautentisering i SSH och använda nycklar/FIDO2.
    Påverkade miljöer Bastion/jump-hostar, moln-instanser, CI/CD-noder, databasserver- och filserversmiljöer.
    Riskbedömning Hög – påverkar kärnkomponenten autentisering och är svår att upptäcka med traditionella verktyg.
    , , , , , , , , , , , , , , , , , , , , , , ,

  • Bygg din egen diskförstörare med webbgränssnitt – praktisk tillämpning och utvärdering

    Tux och en svensk tiger raderar hårddiskar, så att inte lede fi kan se innehållet.

    Tidigare denna månad presenterade vi ett inlägg om hur man återbrukar en uttjänt dator och förvandlar den till en dedikerad diskförstörare med webbgränssnitt. Artikeln beskrev en lösning där en gammal maskin utrustas med ett skriptbaserat webbgränssnitt för att hantera radering av hårddiskar lokalt och fjärrstyrt. För mer information om hur systemet byggs upp – se den ursprungliga artikeln.

    Bakgrund och syfte

    Under många år har jag samlat på mig ett stort antal hårddiskar, främst mekaniska (HDD), både egna och från andra. Av integritetsskäl har jag aldrig vågat lämna dem till återvinning utan att först säkerställa att datainnehållet är oåterkalleligt raderat. Många av diskarna innehåller potentiellt känslig information, och eftersom jag åtagit mig ansvaret att hantera även andras lagringsmedia professionellt, är datadestruktion med hög säkerhet ett absolut krav.

    Erfarenheter från drift

    Under de senaste veckorna har jag använt det webbaserade diskförstörare-systemet i praktiken. Det har fungerat stabilt och är användarvänligt, med tydlig återkoppling via gränssnittet. En stor fördel är att raderingsförloppet kan övervakas i realtid via webbläsaren, vilket gör det enklare att logga förlopp, bekräfta färdigställd radering och felsöka vid behov.

    Identifierade begränsningar

    Den nuvarande implementationen i webbappen har dock en begränsning: den hanterar endast en hårddisk åt gången. I situationer där man vill sanera flera diskar parallellt – t.ex. i en batchprocess – är detta en flaskhals. Om man istället kör raderingen via terminal (SSH) och använder shred direkt mot flera enheter i bakgrunden (t.ex. via screen eller tmux), kan man utnyttja maskinens resurser bättre och köra flera shred-processer samtidigt.

    Exempel på parallell radering via SSH:

    sudo shred -vzn 3 /dev/sdX &
sudo shred -vzn 3 /dev/sdY &
sudo shred -vzn 3 /dev/sdZ &

Svensk manaulsida till shred

    Här raderas tre diskar parallellt med 3 överskrivningar och nollfyllning på slutet.

    Slutsats och nästa steg

    Trots begränsningen med sekventiell radering fungerar webbappen som ett robust och lättanvänt gränssnitt för manuell diskhantering. I nästa iteration planeras stöd för köhantering av flera diskar och eventuell integration med udev-regler för automatisk identifiering av nya enheter. Även loggning och export av raderingsrapporter i text- eller JSON-format övervägs.

    Lede fi bli ledsen i ögat när en Svensk tiger.
    , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
annons

Trasig dator?

Datorreparation Stockholm
  • Vi fixar trötta speldatorer
  • Byter skärm på laptops
  • Hjälper dig att byta dator
  • Tömmer gamla datorer och gör dem redo för återvinning eller kör in linux på dem och skänker bort dem.

Tel 08 37 21 00



Datorreparation Stockholm
Orrspelsvägen 13, Bromma

Arkiv

wiki.linux.se

Datorhjälp hemma

Datorhjälp hemma – 350 kr/tim efter RUT-avdrag

Vi kommer hem till dig i Stockholm området och hjälper dig med dator, skrivare, kablar, TV, nätverk och annat tekniskt.
Vi arbetar med Linux, Windows och Mac.

Klicka här för att läsa mer

Linuxtoday

  • Scratch-Built KaOS and Its Latest KDE-Driven Evolution
    KaOS doesn’t follow the crowd; it sets its own course with a bold KDE twist. This just might be the Linux distro you’ve been waiting for The post Scratch-Built KaOS and Its Latest KDE-Driven Evolution appeared first on Linux Today.
  • OBS Studio 31.1.2 Fixes Linux Capture Issues
    OBS Studio 31.1.2 patches a bug on Linux that caused Video Capture Devices to stop working unexpectedly. The post OBS Studio 31.1.2 Fixes Linux Capture Issues appeared first on Linux Today.
  • How to Enable SSH on Debian 13
    In this blog post, we will explain how to enable SSH on Debian 13. SSH, or Secure Shell, is a cryptographic network protocol that allows secure remote access and data transfer between servers or computers over an unsecured network. The post How to Enable SSH on Debian 13 appeared first on Linux Today.
  • Audacity 3.7.5 Adds Beta Support for Windows ARM64
    Audacity 3.7.5 audio editor brings beta support for Windows ARM64, but lacks third-party plugin compatibility and needs Windows 11 or newer to run. The post Audacity 3.7.5 Adds Beta Support for Windows ARM64 appeared first on Linux Today.
  • BloodHound 8.0 debuts with major upgrades in attack path management
    SpecterOps has released BloodHound 8.0, the latest iteration of its open-source attack path management platform, featuring major enhancements and expanded capabilities. The post BloodHound 8.0 debuts with major upgrades in attack path management appeared first on Linux Today.
  • DuckStation PS1 Emulator Dev May Drop Linux Support After AUR Frustrations
    After repeated complaints from Arch users, the DuckStation PS1 emulator dev removed the PKGBUILD and is considering dropping Linux support altogether. The post DuckStation PS1 Emulator Dev May Drop Linux Support After AUR Frustrations appeared first on Linux Today.
  • How to Install ERPNext on Debian 13
    ERPNext is one of the best open-source ERP software systems you will ever see. It is a free, open-source software that you can use to manage your business. The post How to Install ERPNext on Debian 13 appeared first on Linux Today.
  • Arch Linux Installer Gets U2F Authentication and Bluetooth Support
    Archinstall 3.0.9 releaase rolling out with interface to change LUKS iteration time and various other changes. The post Arch Linux Installer Gets U2F Authentication and Bluetooth Support appeared first on Linux Today.
  • Shotcut 25.07 Video Editor Introduces Speech to Text Model Downloader
    This release adds an Outline video filter that uses the input alpha channel–useful with rich text or assets with a transparent background. The post Shotcut 25.07 Video Editor Introduces Speech to Text Model Downloader appeared first on Linux Today.
  • Linux Kernel 6.16 Officially Released, This Is What’s New
    This release introduces support for NVIDIA Hopper/Blackwell GPUs in the nouveau graphics driver. The post Linux Kernel 6.16 Officially Released, This Is What’s New appeared first on Linux Today.

ANNONS

  • Starta inte datorn?
  • Hjälp att byta datorn?
  • Trasig laptop
  • Laggar speldatorn?

Telefon 08 37 21 00
E-post kontakt@datorhjalp.se
Hemsida : PC-Service.se

Debugpoint

9to5linux.com

  • Debian 13 “Trixie” Is Now Available for Download, Here’s What’s New
    Debian 13 “Trixie” operating system is finally here and you can download it right now, right here. Check out the new features and improvements too! The post Debian 13 “Trixie” Is Now Available for Download, Here’s What’s New appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed is intended […]
  • HandBrake 1.10 Open-Source Video Transcoder Brings New “Social 10MB” Presets
    HandBrake 1.10 open-source video transcoder is now available for download with new "Social 10MB" presets and many other improvements. Here's what's new! The post HandBrake 1.10 Open-Source Video Transcoder Brings New “Social 10MB” Presets appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed is intended for readers, not scrapers.
  • PeaZip 10.6 Introduces Dynamic Virtual Mode, Improves Archive Pre-Parsing
    PeaZip 10.6 open-source archive manager is now available for download with a dynamic virtual mode to the archive browser and other changes. Here's what's new! The post PeaZip 10.6 Introduces Dynamic Virtual Mode, Improves Archive Pre-Parsing appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed is intended for readers, […]
  • KDE Frameworks 6.17 Is Out to Improve Performance of All QtQuick-Based KDE Apps
    KDE Frameworks 6.17 open-source software suite is out now with various improvements and bug fixes for KDE apps and the Plasma desktop. Here’s what’s new! The post KDE Frameworks 6.17 Is Out to Improve Performance of All QtQuick-Based KDE Apps appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed […]
  • Tails 7.0 Now Available for Testing, Based on Debian 13 “Trixie” and GNOME 48
    Tails 7.0 amnesic incognito live system distribution is now available for public testing with majpr updates and new features. Here's what to expect! The post Tails 7.0 Now Available for Testing, Based on Debian 13 “Trixie” and GNOME 48 appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed is […]
  • GStreamer 1.26.5 Adds JPEG XS Support Videorate and Imagefreeze
    GStreamer 1.26.5 open-source multimedia framework is now available for download with various improvements and bug fixes. Here’s what’s changed! The post GStreamer 1.26.5 Adds JPEG XS Support Videorate and Imagefreeze appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed is intended for readers, not scrapers.
  • Calibre 8.8 Open-Source E-Book Manager Improves Support for Kobo Devices
    Calibre 8.8 open-source ebook manager is now available for download with an updated Kobo driver that supports the latest Tolino firmware and other chnages. Here's what's new! The post Calibre 8.8 Open-Source E-Book Manager Improves Support for Kobo Devices appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed is […]
  • Ubuntu 24.04.3 LTS Is Now Available for Download Powered by Linux Kernel 6.14
    Ubuntu 24.04.3 LTS (Noble Numbat) is now available for download powered by Linux kernel 6.14 from Ubuntu 25.04 (Plucky Puffin). The post Ubuntu 24.04.3 LTS Is Now Available for Download Powered by Linux Kernel 6.14 appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed is intended for readers, not […]
  • Mesa 25.2 Open-Source Graphics Stack Officially Released, This Is What’s New
    Mesa 25.2 open-source graphics stack for Linux is now available for download with numerous new features and improvements for existing graphics drivers, as well as better support for numerous video games. The post Mesa 25.2 Open-Source Graphics Stack Officially Released, This Is What’s New appeared first on 9to5Linux – do not reproduce this article without […]
  • Independent Distro KaOS Linux 2025.07 Is Out with KDE Plasma 6.4 and Linux 6.15
    KaOS Linux 2025.07 independent distribution is now available for download with the latest KDE Plasma 6.4 desktop environment and Linux kernel 6.15. Here’s what’s new! The post Independent Distro KaOS Linux 2025.07 Is Out with KDE Plasma 6.4 and Linux 6.15 appeared first on 9to5Linux – do not reproduce this article without permission. This RSS […]
  • Fedora 42: Best New Features
    Fedora 42 Unveiled: COSMIC desktop, revamped installer, and Apple Silicon support steal the show. The Fedora Project has officially released Fedora 42, bringing a host of exciting updates and new features to its diverse line up of “spins”, including Fedora Workstation, Fedora KDE Plasma Desktop, Fedora Server, Fedora IoT, Fedora Silverblue, Fedora Kinoite, and various… […]
  • GNOME 48: Best New Features
    A fresh release of GNOME 48 is available, we run down the feature highlights. The GNOME project has unveiled GNOME 48, codenamed “Bengaluru,” a release packed with performance boosts, user-friendly enhancements, and innovative features. Named in honor of the GNOME Asia 2024 organizers, this six-month effort by the global GNOME community brings a polished and… […]
  • Xfce 4.20: Best New Features
    A quick glance into the new features of Xfce 4.20 desktop environment. Xfce 4.20 desktop environment has arrived a few weeks back, and it’s packed with features and updates. This major release comes after two years since Xfce 4.18. Hence, it’s now more evolved, bringing experimental Wayland support, UI refinements and performance updates. Let’s dive… […]
  • Cinnamon 6.4 Brings Visual Overhaul: Key Features
    A polished and revamped desktop experience arrives with Cinnamon 6.4 desktop. For months, the Linux Mint team has been steadily improving their flagship – Cinnamon 6.4, a desktop environment update that’s not just incremental, but transformative. This release isn’t just a collection of tweaks; it’s a refined experience designed to boost productivity and enhance visual… […]
  • elementary OS 8: 10 Best New Features
    A new release of elementary OS 8 (“Circe”) is out. Here’s the rundown of the best new features of this release. After almost two years of development since the prior release, elemnetary OS is now out with its latest release 8.0 code-named “Circe”. This release is based on Ubuntu 24.04 LTS which was released on… […]
  • Creating Your Own Home Lab: Essential Setup Tips for Tech Enthusiasts
    Want to create your own home lab? Learn how to build an affordable, secure, and functional setup for programming, virtualization, and more. Building your own home lab is fun. It’s like a tech playground where you can test ideas, learn new skills and even improve your home network. Whether you’re into programming, cybersecurity or just… […]
  • Upgrade to Fedora 41 from Fedora 40 Workstation (GUI and CLI)
    Here are the upgrade steps for the new Fedora 41 release from the earlier Fedora 40 workstation version. Fedora 41 is officially available for download and the upgrade channels are now open. This release brings the latest and greatest GNOME 47 desktop for workstation editions, refinements to KDE Plasma 6.2 and more. You can read… […]
  • Fedora 41: Best New Features (Workstation Edition)
    Learn about the best new features of the Fedora 41 release. Fedora 41 released on October 29, 2024. It’s packed with exciting updates that push the boundaries of the latest innovation in the Linux distribution space. From retiring outdated packages like Python 2.7 to introducing new spins like KDE Plasma Mobile and Miracle Window Manager,… […]
  • Ubuntu 24.10: Best New Features
    A latest release of Ubuntu 24.10 “Oracular Oriole” is here. We take a look at the best new features. Ubuntu 24.10 codenamed “Oracular Oriole” released on October 10, 2024. This is the first release following Ubuntu 24.04 LTS; hence it is packed with some exciting features across the desktop and server space. This version is… […]
  • qBittorrent 5.0: New Features to Look for
    The free and open source torrent client qBittorrent 5.0 unleashes a torrent of new features. The open-source torrent client qBittorrent has rolled out version 5.0, packed with powerful new capabilities and refinements. This major release overhauls the codebase, drops legacy tech, and introduces a wealth of user-requested features. Let’s dive into the highlights: qBittorrent 5.0:… […]

Etikett: SSH