Zockertown: Nerten News

Wieder einmal habe ich mich dafür entschieden, /tmp noexec zu mounten.

Und wieder habe ich vergessen, das es dann u.a. mit apt zu Problemen führt:

apt-listchanges: Mailing root: apt-listchanges: news for rootgemeinschaft.de
Preconfiguring packages ...
Can't exec "/tmp/ca-certificates.config.126761": Permission denied at /usr/share/perl/5.14/IPC/Open3.pm line 186.
open2: exec of /tmp/ca-certificates.config.126761 configure 20120623 failed at /usr/share/perl5/Debconf/ConfModule.pm line 59
(Reading database ... 50732 files and directories currently installed.)
Preparing to replace ca-certificates 20120623 (using .../ca-certificates_20130119_all.deb) ...
Unpacking replacement ca-certificates ...
Processing triggers for man-db ...
Setting up ca-certificates (20130119) ...
Processing triggers for ca-certificates ...
Updating certificates in /etc/ssl/certs... 7 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d....done.

In /apt/apt.conf.d/ ein File 50extracttemplates mit folgendem Inhalt

APT
{
  ExtractTemplates
  {
	TempDir "/var/local/tmp";
  };
};

/tmp ext4  noexec,nosuid           0       2

Steve Kemp von debian-administration.org macht das anders, und zwar so, wie man es auch zu Fuß machen würde, mit vor dem apt-get ausführen /tmp mit exec mounten, danach dann wieder zurück zu noxec.

Add the following to the file /etc/apt/apt.conf:

DPkg::Pre-Invoke{"mount -o remount,exec /tmp";};
DPkg::Post-Invoke {"mount -o remount /tmp";};

Wie so oft gibt es mehrere Möglichkeiten. Für welche man sich entscheidet ist letztlich egal, die Lösung in der apt.conf ist vielleicht die am kompatibelste ... Näheres dazu bei www.debian-administration.org/article/Making_/tmp_non-executable und bei wrightsolutions.wordpress.com/2010/01/11/securing-tmp-and-noexec-apt-considerations/

IspConfig  3 hatte vor 3.0.4.4 einen sehr schweren Fehler im Webdav Protokoll. Nun setzt  auf unserem Server zwar niemand Webdav ein, aber ein Sicherheitsupdate sollte man natürlich so schnell wie möglich einspielen. Am 10.04.2012 habe ich es installiert. Und bis auf ein paar Kleinigkeiten hat es wieder einmal gut funktioniert.

Am nächsten Tag fanden sich in meinem email Postfach einige Spam mails. Eigentlich war es in der letzten Zeit doch ziemlich ruhig. Ein Blick auf Munin verriet mir, das postgrey offenbar seinen Dienst quittiert hatte. Eine kurze Recherche führte mich zu einem fehlenden Eintrag in postfix/main.cf. Was das fehlte, habe ich schon mal beschrieben. Nach rücksichern von main.cf vom Backupserver lief postgrey sofort wieder. Auf den Screenshots von munin kann man das schön erkennen.

ISPConfig 3

Fail2ban ist eine Wissenschaft. (Artikel von 2010-02-21 19:00)

Naja, nicht wirklich. Aber die Regular Expression sind es. Einfache Dinge gehen mir mittlerweile gut von der Hand, aber die Lücken sind größer als die Wissensinseln. Wenn man sich allerdings den Wikipedia Artikel ansieht kann man schon zu den Schluß kommen, das es die Regex eine Wissenschaft sind. Für mich sind sie das auch. Anders ist es nicht zu erklären, das ich Stunden brauchte, bis ich den Ausdruck für pure-ftpd richtig erstellt hatte.

Doch wie testet man das eigentlich richtig? Dafür hat fail2ban das tool fail2ban-regex mitgeliefert

Der korrekte Aufruf erschließt sich nicht sofort. Der richtige Aufruf lautet:

fail2ban-regex logfile 'regexp'

pure-ftpd(?:\[\d+\])?: \(.+?@<HOST>\) \[WARNING\] %(__errmsg)s \[.+\]\s*$ 

     : warning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed: \w+

weil die ewige Sucherei nach irgendwelchen lücken in Programmen, die ich gar nicht installiert habe, mich a) nervt und b) unnötig das error.log vollmüllt, habe ich nun mittlerweile dieses hier:

fail2ban-regex /tmp/v '[[]client (?P<host>\S*)[]] File does not exist: .*\.php'

Wo /tmp/v ein Ausschnitt eines Apachelogs ist, wo einige der Fehler gehäuft auftreten.

Der regexp Ausdruck in den ' '  ist exakt der Ausdruck, der in die Jail Datei in /etc/fail2ban/filter.d/ gehört.

Noch der Hinweis, das hinter dem regexp in der Datei kein space sein darf, es gehört sonst zum Ausdruck.

Happy Hacking!

Ist schon lange her, das ich hier im Blog etwas geschrieben habe.

Die Gründe sind vielfältig und einen eigenen Artikel wert, dieser wird es allerdings nicht.

Hier geht es um die Debian Ausgabe von LinuxMint, sie nennt sich Linux Mint Debian und existiert seit gut einem halben Jahr.

Ich selbst nutze sie, seitdem ich einen W7 Rechner bei der Arbeit habe, in einer Virtual Box.

LMDE, wie man sie kurz nennt, basiert auf den Testing Zweig von Debian. Momentan ist ja im Testing einiges los, dort wird die zukünftige neue Wheezy gekocht, da kommt es schonmal zu tageweisen Unverträglichkeiten. Das führt zu vermehrten Supportanfragen in den einschlägigen Foren. Natürlich auch die Anlaufstellen für LMDE. Tummeln sich doch dort viele User, die von Ubuntu über LinuxMint, ein reines Ubuntu Derivat, zu LMDE gekommen sind. Nun hat der Erfinder von LinuxMint, Clem, eine Idee vorgestellt, wie er die kurzeitigen Hickaufs vermeiden möchte.

Meiner Meinung nach ist dies eine sportliche Aufgabe für das Team um Clem. Denn gerade momentan, wenn viele neue Pakete das Debian Testing fluten, ist es ziemlich aufwändig so einen Snapshot auf Fehler zu kontrollieren. Im Ernst erwartet niemand das alle verfügbaren Programme auf Funktion und Regressionstests überprüft werden. Aber es bleibt noch genügend Arbeit übrig, wenn LMDE mit seinem speziellen Update System weiter einwandfrei funktionieren soll.

Über die Anfänge des Update Managers habe ich ja früher schon mal etwas geschrieben. Hier im Bild der letzte Stand. LMDE bewertet die Updates nach Schwere und Einfluß auf das installierte System und soll damit vor einer allzu sorglosen Update Mania schützen. Gerade die Pflege ist für eine Rolling Release, die Debian Testing ja für weite Teile seines Lebens darstellt, eben nicht ganz einfach.

Wer Clems Original Artikel lesen möchte: The Linux Mint Blog Blog Archive  Introducing Update Packs in Linux Mint Debian

Vor ein paar Tagen war es mal wieder soweit. Es wurde eine Sicherheitslücke in einem Joomla Plugin ausgenutzt.

Die Lücke ist bekannt, nur scheren sich weder alle Entwickler der zahlreichen Plugins noch die Anwender solcher Plugins darum. Wer badet es aus? Eben.

Die bösen Buben freuen sich und pflanzen einem diese Dinger auf den Server und treiben ihre Spielchen. Im letzten Fall war es ein Angriff auf einen Server in den USA. Dort wurde er bemerkt und die haben mich über meinen Provider informiert. Peinlich, eigentlich war ich stolz darauf, diesen Abschaum immer zuerst zu entdecken. Naja, man darf halt nicht stehen bleiben und sich auf seinen Lorbeeren ausruhen. Hier will ich mal kurz aufzeigen, wie ich den Einbruch aufgedeckt und beseitigt habe. Es ist nämlich nicht immer trivial die Ursache zu finden und zu bekämpfen.

Das größte Problem ist es, den entsprechenden Prozess zu entdecken. Bei unserem Rootserver muss man schon ein wenig suchen, um den Prozess zu entdecken. Wenn man sich eine Spamschleuder eingefangen hat, dann erkennt man es ziemlich sicher daran, das der Prozess unheimlich viel CPU Last erzeugt hier im Beispiel ist es nicht der Fall. Das außergewöhnliche daran ist, das es auf dem Server gar keinen httpd unter /usr/local/apache/bin gibt. Genau genommen gibt es gar kein Apache Verzeichnis unter /usr/local. Das ist ein gefakter Eintrag. 

 mit lsof -p Prozessnummer kann man sich die Liste der offenen Dateien anzeigen lassen, hier bekommt man einen ersten Hinweis, das es sich offensichtlich um ein perl Progamm handelt. Da dies nicht der erste Angriff dieser Art war, habe ich die weitere Suche gezielt fortsetzen können, beim ersten Mal bin ich so vorgegangen, das ich /usr/bin/perl umbenannt und den Prozess dann abgeschossen und rebootet habe. Diesmal habe ich mir das erspart und gleich nach übrig gebliebenen Spuren gesucht. in /tmp wurde ich schon fündig.

Dort lungerten Dateien rum, die vom Webuser angelegt worden sind.

shell1247, txt.txt und xem03463c.txt Die Inhalte sind wirklich interessant, ich werde hier keine Auszüge posten, um nicht noch Nachahmer zu animieren. Grob beschreiben sind dort Scripte in perl und php, die divers Dateien nachladen und einen Bot installieren.

In diesem Fall nennt sich das gute Stück c-shell. Der liegt dann normalerweise irgendwo im Web des gehackten Users und läuft auf einem beliebigen Port. Die Vielfalt der Menüpunkte läßt die Leistungsfähigkeit erahnen...

Altes Problem. Man hat einen SQL Job, den man regelmäßig ausführen möchte. doch man scheut sich das DBA Passwort mit in der Cron oder im start script anzugeben. Meine übliche Vorgehensweise war bisher in solchen Fällen das anlegen einer Datei unter /root, die ich dann zur Laufzeit eingelesen habe. Wenn man die Datei nur für root lesbar macht, stellt das an sich kein Problem dar.

Unter Debian existiert aber eine wesentlich elegantere Methode, die mir beim konfiguriern von Munin aufgefallen ist.

Unter /etc/mysql existiert eine nur für root lesbare Datei mit namen debian.cnf.

# Automatically generated for Debian scripts. DO NOT TOUCH!
[client]
host     = localhost
user     = debian-sys-maint
password = xxxxxxxxxxxxxxxx
socket   = /var/run/mysqld/mysqld.sock
[mysql_upgrade]
user     = debian-sys-maint
password = xxxxxxxxxxxxxxxx
socket   = /var/run/mysqld/mysqld.sock
basedir  = /usr

Diese Datei wird mit --defaults-extra-file=/etc/mysql/debian.cnf eingebunden.

Jetzt kann man unbesorgt einen Einzeiler wie diesen

 mysql --defaults-extra-file=/etc/mysql/debian.cnf -e "FLUSH QUERY CACHE;"  

Erfolgskontrolle

 mysql --defaults-extra-file=/etc/mysql/debian.cnf -e "SHOW STATUS LIKE 'Qcache%';"

Nebenbei: Schön zu wissen, das man einen weiteren root user besitzt. Denn nichts anderes ist der  debian-sys-maint.

Und weil es so schön ist, habe ich das gleich mal für das spamblocklog von Serendiptiy ausprobiert.

 mysql --defaults-extra-file=/etc/mysql/debian.cnf -D databasename -B --skip-column-names -e "select count(*) from  serendipity_spamblocklog;"

Heute habe ich mal meinen Arsch hoch bekommen und habe mir die Merkel angetan.

War ganz schon voll dort. Außer den Campact Aktivisten waren noch Piraten da. Und ein paar Angie Fans auch. Ich entschuldige mich für die Bildqualität, meine Kamera hatte leider leere Akkus

Eine Ergänzung hätte ich da noch. Mein Sohn (in unauffälliger Straßenkleidung, bürgerliche Frisur) wurde von anwesenden "Bürgerlichen" als Zecke beschimpft. Soweit sind wir schon. Da werden Personen beschimpft, die ihr Recht auf freie Meinungsäußerung wahrnehmen und auf die jahrzehntelang andauernden Missstände rund um die verfehlte Atompolitik hinweisen. Anstatt, das die Angie Fans die Veranstaltung nutzen und Angie mal fragen, warum Sie als damalige Umweltministerin die dramatischen Vorgänge rund um die Asse geheimgehalten hat oder fragen, warum in der öffentlichen Diskussion von Ihr immer schön vermieden wird, über die Endlagerung zu sprechen. Man hätte auch mal fragen können, ob Sie ausschliessen kann, das bei dem im Mittelmeer versenkten Atommüll keiner aus Deutschland dabei war. Aber nein, das ist natürlich komplizierter und verdirbt die Volksfeststimmung. Dann doch lieber auf den politisch engagierten jungen Wählern rumhacken und als Zecken beschimpfen.

Campact.de | Auf Endlagersuche in 12 Städten

Super gutes Video, das es auf den Punkt bringt.

Prima. Gott sei Dank kommt das Thema wirklich so ganz langsam auch in der Old Economy (Presse) an.

www.dubistterrorist.de

 Heise Security:

Heise schreibt dazu:
Betroffen sind die Linux-Versionen 10.0.12.36 und vorherige sowie 9.0.151.0 und vorherige. Adobe empfiehlt Anwendern, auf die korrigierte Version 10.0.15.3 zu wechseln.

Ich (und alle anderen) sag ja immer, surfen als root ist Crazy

Ich habe mein Lenny mit dem Ubuntu Paket von Adobe aktualisiert.

apt-get remove flashplayer-mozilla
dpkg -i download/install_flash_player_10_linux.deb

heise Security - 18.12.08 - Kritische Lücke in Linux-Version des Flash-Players

Über Rorschachs Tagebuch bin ich auf das  privacy-handbuch (PDF) aufmerksam geworden. Und darin wiederum auf ein paar sehr nützliche Plugins für meinen Iceweasel, ach nee, Firefox. Sehr praktisch ist pwdhash, damit braucht man sich fortan nur ein Passwort zu merken und das addon macht daraus einen Hash mit dem Domainnamen. Das funktioniert ganz automatisch im Hintergrund, wenn man zwei @@ vor das Passwort setzt, oder F2 drückt. Dadurch hat man für jede Webseite ein anderes Passwort. Weiterhin versucht es phishing zu erkennen und warnt einen dann. Prinzipbedingt sind aber die abgefangenen Passworte über phishing Seiten nicht identisch mit den Passwörtern mit der Originalsite. Ich finde, es ist eine tolle Sache und ich werde Zug um Zug meine Webpasswörter alle anpassen. Das Tool ist noch in Entwicklung, es kann auch noch mal eine Änderung im Hashgenerator kommen, so das man seine Passwörter auf einen Schlag alle verliert und ändern muß. Also nur benutzen, wenn ihr das akzeptiert Wenn man kein Plugin zur Hand hat, aber dennoch das Passwort für eine Site braucht, kann man auch das Formulare auf deren Hompage verwenden. Entweder direkt, oder zuvor lokal kopieren. Die generierten Passworte sind für alle subdomains übrigens gleich, das wurde gemacht, weil man sonst bei manchen Seiten auf Probleme stoßen würde. Es sind aber auch Situationen denkbar, dass das nicht gewollt ist. Dann nimmt man ein normales Passwort für eine Subdomain, wenn man die Klammeraffen wegläßt, wird es auch nicht manipuliert.

Das zweite Addon ist der Firekeeper. Das ist ein Addon, das mittels lokal gehaltener Listen vor schädlichen Seiten warnen soll. Ein kleiner zusätzlicher Schutz und im Gegensatz zur kommerziellen Lösung nicht Datenbank gestützt, was generell bei so was besser ist, finde ich.

Fail2ban sollte jedem Linux Root Server Administrator geläufig sein. Ich erzeuge diese hier gezeigte Grafik minütlich. Damit hat man also einen nahezu aktuellen Stand der IPtables Sperren. Ich bin mir nicht im klaren darüber, ob das rechtlich ok ist, denke aber schon, schliesslich sind hier nur Adressen von Bots und anderen böswilligen Leuten/Servern drin, sonst wären sie ja nicht gesperrt. Die Liste ist manchmal leer und manchmal ziemlich lang.

#!/bin/bash
TPATH=/var/www/webxx/web
IPS="`/sbin/iptables -L|grep DROP`"

echo "$IPS (Stand: `date '+%d.%m.%y %H:%M'`)"|  convert -font /usr/share/fonts/truetype/ttf-dejavu/DejaVuSans.ttf   \
              -pointsize 12 -gravity North -background  lightblue \
              -fill blue     text:- -trim +repage  -bordercolor lightblue  -border 3\
            $TPATH/ban-ip.png

Meinungen?

Seit dem 08.07.2008 ist ISPConfig 2.2.24 draussen. Da mir seit zwei oder drei Tagen auffällt, das vermehrt Spam durchkommt, habe ich die als Anlaß genommen und ISPConfig aktualisiert. Die üblichen Verbesserungen des integrierten Spam- und Virenkillers alleine machen die Aktualisierung notwendig, obwohl die eigentlich schon in der vorhergehenden Version waren, ich aber die nicht getätigt habe. Denn bei ISPConfig bekommt man ein Bundle aus Server Kontroll und Steuerungssoftware und momentan mit der V2.2.24 ClamAV 0.93.1 mit Spamassassin  3.2.4. Die anderen Komponenten bleiben soweit unverändert, wenn ich nichts im Changelog übersehen habe. Aber ich habe nun ein paar Aktualisierungen übersprungen, kann also noch mehr sein .

phpmyadmin ist auch auf 2.11.7 aktualisiert, das ist allerdings ein Plugin, genau wie   RoundCube webmail, das nun auf 0.2 Alpha ist.

So, dann mal sehen, obs läuft und  die üblichen Vorsichtsmaßnahmen ergreifen