Tagebuch eines Internetjunkies

!!! Wichtige Kundeninformation !!!

Sehr geehrte Damen und Herren,

wie vor Kurzem von Debian-Entwicklern bekannt gegeben wurde,  erzeugt die OpenSSL-Bibliothek dieser Linux-Distribution seit  einem fehlerhaften Patch schwache Krypto-Schlüssel.

Dies bedeutet, dass die erzeugten Zufallszahlenfolgen und somit  die erzeugten Schlüssel vorhersagbar sind.
Betroffen davon sind OpenSSL-Pakete der Distribution seit  einschließlich Version 0.9.8c-1 vom 17. September 2006 sowie  die abgeleitete Distribution Ubuntu.

Es stehen inzwischen fehlerbereinigte OpenSSL-Pakete bereit,  in denen die Entwickler auch zwei weitere, kleinere  Sicherheitsprobleme behoben haben.

Wir bitten Sie daher, schnellstmöglich Ihr System dahingehend zu überprüfen und ggf. ausgestellte Zertifikate und Schlüssel  nach einem OpenSSL-Update neu zu erstellen.

Mehr Informationen dazu finden Sie auf der offiziellen  Debian-Website unter  http://lists.debian.org/debian-security-announce/2008/msg00152.html

Für Debian gibt es einen OpenSSL Weak Key Detector, mit dem Sie ihre ausgestellen SSH-Keys überprüfen können. Das Tool installieren Sie wie folgt:

wget http://security.debian.org/project/extra/dowkd/dowkd.pl.gz
gunzip dowkd.pl.gz
perl dowkd.pl user

Alternativ gibt es einen Web-basierten Test zum Prüfen, ob die SSH-Server-Zertifikate unsicher sind. Dieser Test wird unter http://serversniff.net/sshreport.php bereitgestellt.

Fürs Archiv:

$IPTABLES -t mangle -A PREROUTING -p tcp -m tcp –dport 2222 -j MARK –set-mark 0×8ae
$IPTABLES -t nat -A PREROUTING -d 1.2.3.4 -p tcp -m tcp –dport 2222 -j DNAT –to-destination 1.2.3.4:22
$IPTABLES -A INPUT -d 1.2.3.4-p tcp -m tcp –dport 22 -m mark –mark 0×8ae -j ACCEPT
$IPTABLES -A INPUT -d 1.2.3.4 -p tcp -m tcp –dport 22 -j DROP
$IPTABLES -A INPUT -d 1.2.3.4 -p tcp -m tcp –dport 2222 -j ACCEPT

WebDAV steht fuer “Web-based Distributed Authoring and Versioning”. Es ist eine Erweiterung des HTTP Protokolls, die es erlaubt Dateien auf Webservern zu editieren und verwalten. WebDAV ist aber im Vergleich zu Samba, NFS oder SSH sehr langsam.

Wenn man WebDAV unter Apache 1.x verwenden möchte, wird das separate Modul mod_dav benötig. Beim Apache 2.x ist dieses bereits vorhanden.

Hier nun ein kleines Howto für die Einrichtung von WebDAV unter Apache 2.x.

Zuerst müssen die benötigten Module nachgeladen werden:

a2enmod dav_fs

a2enmod dav

VHOST erweitern:

<Directory /var/www/webdav>
AuthName “WebDAV Zugang”
AuthType Basic
AuthUserFile /var/www/davusers
require user testuser
DAV On
Options +Indexes
</Directory>

Der AuthType „Basic“ ist nur im Zusammenhang mit einem durch SSL gesicherten Vhost empfehlenswert, da hierbei die Passwörter im Klartext übertragen werden. Die Indexes-Option ist nötig, damit der WebDAV-Client die Dateien auflisten kann.

Die Konfiguration testen:

apache2ctl configtest

Die neue Konfiguration laden:

/etc/init.d/apache2 reload

Fertig!

Links: http://httpd.apache.org/docs-2.0/mod/mod_dav.html.

Dummerweise gehört ein SSH-Client nicht zur Standard-Windows-Installation und das nachträgliche Einspielen ist meist nicht immer möglich. Doch auch für solche Hürden gibt es ein Sprungbrett: Ajaxterm. Das in Python geschriebene Ajaxterm stellt über ein Webinterface wahlweise eine Login-Shell oder eine SSH-Shell zur Verfügung. Damit ist zum Einloggen auf dem heimischen Server nur ein Webbrowser notwendig – und der ist von der Stange in jedem Betriebssystem verfügbar.

Standardmäßig nutzt Ajaxterm in aktuellen Versionen die SSH-Shell als Login. Die für Ubuntu 6.10 verfügbare Ajaxversion-Version 0.7-3 ist veraltet und bietet noch keinen nativen SSH-Support. Ersatzweise installieren wir daher das für Debian verfügbare Paket, das auch die Start- und Stop-Skripte installiert.

wget http://ftp.de.debian.org/debian/pool/main/a/ajaxterm/ajaxterm_0.9-2_all.deb
dpkg -i ajaxterm_0.9-2_all.deb

oder

apt-get install ajaxterm

Continue reading…

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j LOG --log-prefix "SSH_brute_force "
iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP

Obiges erlaubt maximal 3 Verbindungs-Versuche pro Minute von jeder IP-Adresse im Internet. Sollte diese Marke überschritten werden muss eine Minute gewartet werden bis wieder Verbindungen zugelassen werden.

Häufiger Körperkontakt und regelmäßiges Kuscheln wirken sich positiv auf die Gesundheit des Menschen aus. Das berichtet die Zeitschrift „Healthy Living“ und beruft sich dabei auf amerikanische Studien. Das Herz von Menschen, die sich regelmäßig umarmen, schlägt ruhiger. Auch der Blutdruck ist niedriger und zudem werden beim Körperkontakt Stresshormone abgebaut. Wer kuschelt setzt das Hormon Oxyticin frei, dass Menschen Geborgenheit vermittelt.

Continue reading…

Deutsche Radiosender vermieten kuenftig gemeinsam bundesweit die Adressen ihrer Hoererdateien an Lotteriegesellschaften, Versandhandels- und Telekommunikationsunternehmen. Bereits 2006 soll damit ein Millionen-Umsatz erwirtschaftet werden. Das berichtet MarkenMarketing, das Direktmarketing-Special in text intern, in der heute veroeffentlichten Ausgabe. Knapp 20 Sender beteiligen sich bisher an der nationalen Datenbank, darunter RSH, Radio Regenbogen, ffn und RSA. Radio Business to Consumer in Hamburg baut die Datenbank auf. Die Sender bleiben Eigentuemer der von ihnen eingespeisten Daten, koennen also die Mieter der Adressen auswaehlen. Bisher wurden Hoereradressen nur regional zu Werbezwecken genutzt.

Quelle: radioforen.de

Continue reading…

Kann manchmal sehr nützlich sein: SSHTunnelClient für Windows

Continue reading…

Vorhin beim durchstöbern der logcheck-Emails auf folgenden Eintrag aufmerksam geworden:

Feb 15 18:25:12 wh-og sshd[1370]: warning: /etc/hosts.allow, line 15: can’t verify hostname: gethostbyname(before.you.send.an.abuse.email.about.being.portscanned.visit.http.security.gamesurge.net) failed

Ein Blick auf http://security.gamesurge.net bringt das etwas Licht ins Dunkle:

GameSurge führt eine „Aktive Proxy Erkennung“ bei allen Usern durch, die sich zum Netzwerk verbinden. Wir haben dieses System eingeführt, um den Missbrauch von unsicheren WinGates und vielen anderen unsicheren, zugänglichen Proxies zu verhindern. Diese Möglichkeit wurde erst kürzlich durch die Einführung der ProxyCheck Dienste erweitert.

Falls du von der IP 64.71.165.195 gescannt wirst, das ist unser ProxyCheck Dienst. Jede Person, die zu unserem Netzwerk connectet, wird automatisch gescannt.

Wir haben diese Maßnahmen eingeführt, um unsere User vor all denen, die diese Proxies für Angriffe oder Belästigungen gegenüber den Usern oder dem Netzwerk als solches nutzen würden, zu schützen. Dieser Test ist mittlerweile Standard auf nahezu allen IRC Netzwerken.

Naja habe mir schon gedacht das es wieder ein Open-Proxy-Scanner war.

Continue reading…

Um dem Cron-Daemon zu sagen, was er zu tun hat, wird eine Text-Datei benötigt. Im Beispiel nennen wir sie crontab.txt, sie kann aber auch jeden beliebigen anderen Namen bekommen. Um täglich um 01:00 Uhr früh eine PHP-Datei auszuführen, ist folgende Zeile in der crontab.txt notwendig:

0 1 * * * links -dump http://blog.docx.org/index.php

Die jeweiligen Zeitmuster sind nach folgender Struktur eingeteilt:

Minute: 0 bis 59 oder *
Stunde: 0 bis 24 oder *
Tag: 1 bis 31 oder *
Monat: 1 bis 12 bzw. jan bis dec oder *
Wochentag: 0 (Sonntag) bis 6 (Samstag) oder *

Eine Zeile, wie die folgende bedeutet also, dass das Script zu jeder Minute 33, alle zwei Stunden eines Tages, aber nur Montags-Freitags ausgeführt wird:

33 */2 * * 1-5 links -dump http://blog.docx.org/index.php

Nun erstellen wir eine PHP-Datei mit folgendem Inhalt:

>? exec(”crontab crontab.txt”); ?<

Die “< >” bitte im 180° Grad drehen.

Nun dieDatei unter einem beliebigen Namen speichern und übertragen, also die crontab.txt und die neu erstellte PHP-Datei auf den Webserver. Anschließend die PHP-Datei bitte im Browser ausführen. Es sollte jetzt eine leere Seite erscheinen. Der eingetragene Cron Job wurde nun zur Aufgabenliste des Webservers hinzugefügt und wird regelmäßig zur gewünschten Zeit ausgeführt.

Continue reading…

Die Live-CD aus der Personal Edition der SuSE 9.1 ist auf Rechnern mit Netzwerkhardware gefährlich, da sie ssh root-logins ohne Passwort erlaubt. Der Fehler ist irreparabel, da er in einigen Fällen vor der ersten Eingreifmöglichkeit auftritt –
man kann nur ein neues Image holen und brennen.

(SuSE-SA:2004:011)

Continue reading…

Putty, das allseits beliebte Terminal-Programm für SSH und Telnet gibts es jetzt auch für Unix-Systeme.

Continue reading…

Immer öfter nutzen Bedrohungen von außen wie “Blaster”, “Slammer” & Co Sicherheitslücken in Software, um ihre Schadensroutine zu verbreiten. Dabei ist es meist eine kleine Anzahl längst bekannter Schwachstellen, die dabei verwendet werden. Hier mal eine Auflistung der häufigsten Sicherheitslücken aus dem Microsoft- sowie Unix-Umfeld.

Top Vulnerabilities to Windows Systems

W1 Internet Information Services (IIS)
W2 Microsoft SQL Server (MSSQL)
W3 Windows Authentication
W4 Internet Explorer (IE)
W5 Windows Remote Access Services
W6 Microsoft Data Access Components (MDAC)
W7 Windows Scripting Host (WSH)
W8 Microsoft Outlook and Outlook Express
W9 Windows Peer to Peer File Sharing (P2P)
W10 Simple Network Management Protocol (SNMP)

Top Vulnerabilities to UNIX Systems

U1 BIND Domain Name System
U2 Remote Procedure Calls (RPC)
U3 Apache Web Server
U4 General UNIX Authentication Accounts with No Passwords or Weak Passwords
U5 Clear Text Services
U6 Sendmail
U7 Simple Network Management Protocol (SNMP)
U8 Secure Shell (SSH)
U9 Misconfiguration of Enterprise Services NIS/NFS
U10 Open Secure Sockets Layer (SSL)

Quelle: SANS

Continue reading…