Naja auch andere Väter haben hübsche Töchter.... Will sagen, es gibt noch andere Browser.
Geode in Firefox 3.1: Mit Linux im Nirgendwo Linux-Magazin Online
Verwandte Tags
Keine verwandten Tags gefunden.Ich weiß, wo ich am 27.09. bin! Kommt ihr auch?
Vordemo in Braunschweig 2008-09-27 - Stoppt die Vorratsdatenspeicherung!
phpmyadmin ist auch auf 2.11.7 aktualisiert, das ist allerdings ein Plugin, genau wie  RoundCube webmail, das nun auf 0.2 Alpha ist.
So, dann mal sehen, obs läuft und die üblichen Vorsichtsmaßnahmen ergreifen
#/etc/fail2ban/filter.d/apache-auth.conf
[Definition]
failregex = .*\|\|\|\|.*\|\|\|\|.*(?:w00tw00t.*DFind*|libwww-*)
ignoreregex =
# Viel lieber würde ich so etwas einsetzen, dazu bin ich aber offensichtlich zu blödDie Jail.conf sieht so aus.
failregex = pattern 1
pattern2
pattern n
# das klappt aber leider nicht, aber ich arbeite noch mal damit
#jail.confZum Thema:debaday.debian.net/2007/04/29/fail2ban-an-enemy-of-script-kiddies (unbedingt auch die Kommentare lesen!)
[apache]
enabled = true
port = http
filter = apache-auth
#logpath = /var/log/apache*/*access.log
logpath = /var/log/httpd/ispconfig_access_log
maxretry = 1
bantime = 6000
Zum Thema lange Pipes habe ich ja schon mal einen Beitrag geschrieben, hier kommt mal eine richtig sinnvolle Anwendung dafür.
Diese scheiß Script Attacks gehen mir nämlich auf den Sack, aber wirklich!
Aber demnächst wird zurück geschiossen!Â
# Original Logfile Auschnitt:(IP Adressen verfremdet)
localhost||||286||||4.35.446.66 - - [14/Jun/2008:10:59:22 +0200] "GET /phpMyAdmin-2.5.6/main.php HTTP/1.0" 404 286 "-" "-"
localhost||||286||||4.35.446.66 - - [14/Jun/2008:10:59:22 +0200] "GET /phpMyAdmin-2.6.3/main.php HTTP/1.0" 404 286 "-" "-"
localhost||||286||||4.35.446.66 - - [14/Jun/2008:10:59:23 +0200] "GET /phpMyAdmin-2.6.0/main.php HTTP/1.0" 404 286 "-" "-"
localhost||||285||||23.133.432.54 - - [14/Jun/2008:13:59:59 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 285 "-" "-"
localhost||||285||||23.133.432.54 - - [14/Jun/2008:14:10:14 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 285 "-" "-"
localhost||||285||||23.133.432.54 - - [14/Jun/2008:14:10:14 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 285 "-" "-"
localhost||||285||||23.133.432.54 - - [14/Jun/2008:14:10:14 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 285 "-" "-"
# Diese Pipe liefert die Angreifer sortiert nach Häufigkeit( Alles in einer Zeile!)
grep '\''localhost||||'\'' /var/log/httpd/ispconfig_access_log|grep '"-" "-"'|
cut -d'|' -f9|awk '{if ($1==old){ sum +=1 } else {print sum " " IP;sum=0 };old=$1;IP=$1;}'
Meine Pipe liefert folgenden Output (wiederum ein Ausschnitt)
223 4.35.446.66
5 23.133.432.54
Soll also heissen, die IP 4.35.446.66 hat 223 mal Seiten auf dem Server aufgerufen, die alle nur dem Zweck dienen eine Lücke in dem System zu finden. Das wohlgemerkt im täglichen Log, nicht das jemand denkt, das ist ein Monatslog. Nun fehlt eigentlich nur noch eine whois Abfrage, das detailierte Log und eine Beschwerde mail an den Provider. Ich sollte das automatisieren... Dieses Mini Script in einer Shell ist ja schon mal mehr als die halbe Miete.
So, nach ein wenig Bastelei ist das Script fertig, ich werde es mal ein paar Tage lang manuell starten (mit Dry run, bevor ich es richtig starte und dann täglich starten. Wenn ich ein paar mehr whois DB dabei habe, werde ich es hier zum download freigeben.
"Die lange Röhre: Pipes sind cool" vollständig lesen »Natürlich ist Weblog Analyse gut für's Ego. Manchmal schaue ich aber nicht nur in mein awstats, sondern direkt ins Site Log. Weil das aber nicht soooo extrem lesbar und aussagekräftig ist, war das eher selten. Eine Möglichkeit ist tail -1000f access_log|ccze. Das macht die Sache zwar bunt, aber auch nicht grossartig transparenter. Nun hat mein Kumpel Det vom Mobbing-gegner ja nicht nur ein Blog, sondern er betreibt u.a. auch ein wiki, dort hat er in seiner Linux Ecker zwar nichts zu dem Thema geschrieben, aber der Tipp stamm von ihm. Naja. vielleicht hole ich das ja mal nach und schreibe einen Artikel darüber, wenn ich es ein bischen besser kenne.
Peastat ist ein schnuckeliges Python Script, dass die Live Logfile Analyse erlaubt und solche Dinge wie diesen Auszug zu Tage fördert. Was es nicht alles für Einbruchversuche gibt....
Meine Einstellungen sind:
minresults = 2 # minimum results to include in overview
lastlines = 200000 # number of most recent requests to analyse
ispage = re.compile('(/|\.html|\.htm|\.php|\.xml)$').search # requests matching$
ignorelines = re.compile('peastat\.cgi|www.battlefield-germany\.com|smo_ajax_sh$
recentreferrers = 50 # show this many recent referrers
recentsearches = 50 # show this many recent search terms
Ist es nicht erschreckend? (wegen der riesen Liste, in den erweiterten Teil verbannt)
"peastat" vollständig lesen » Was macht man, wenn man dringend auf seinen Server muss, aber hinter einer Firewall sitzt und Port 22 gesperrt ist?
Richtig, ein langes Gesicht. Oder man bastelt sich was. Es gibt jede Menge unterschiedlicher Ansätze, http-Tunnel, cgi Scripte u. ä. Ich bin durch die neueste Ausgabe von LinuxUser auf Anyterm aufmerksam geworden und fand die Realisierung über ein Apache_modul in Kombination mit etwas Ajax sehr spannend. Flugs ausprobiert und begeistert! Wie man im Screenshot sieht, laufen auch ncurses Anwendungen wie htop darin einwandfrei. Sicherheitstechnisch ist es auf den ersten Blick auch gar nicht so schlimm, man kann sich nur mit einem AuthType Basic abgesicherten User (via ssl) an das Terminal anmelden und benötigt somit zwei Passwörter um sich am System anzumelden
Die ssh session ist vom Webserver User auf den localhost beschränkt. Von dort kommt man natürlich weiter...
Also ich finds schon cool, mal in der Mittagspause auf dem Server nach dem Rechten sehen zu können, oder vom Internetkaffee.
Pretty Hard to Protect hat mal wieder zugeschlagen...siehe Bug Report. Muss ich mich wirklich mal wieder mit Alternativen beschäftigen
Soeben bei der Süddeutschen gefunden:
Der Dr. Schäuble ist auf Dummen-Stimmenfang, glaube ich. Den durchschnittlichen UnterschichtenFernsehgucker mag er damit einwickeln können...
Ich glaube nicht, das "gewaltbereite Terroristen" mit Reisepapieren einreisen werden, die von Interpol, Zoll oder was weiß ich bereits beobachtet werden. Ich will niemanden einen Tipp geben, aber ist es so schwer vorstellbar, das die gut organisierten Elemente Mittel und Wege haben ein paar passende Kandidaten aus dem Wartebereich des Ursprungsflughafen unaufällig zu beseitigen und mit diesen Papieren die Einreise anzutreten? Bis das bemerkt wird, ist der Anschlag bereits durchgeführt.
Ich behaupte: "Die EU braucht das genauso wenig wie die USA."
Im Gegenteil, ich glaube, das sich durch diese vermeintliche Total-Datenerfassung und Äberwachung der einzelne Beteiligte der Behörden sich weniger gefährdet fühlt und weniger wachsamer ist. Unter Umständen erweisen wir uns einen Bärendienst. [Update 30.06.07] Glücklicherweise bin ich nicht alleine, denn auch andere, wichtigere Blogger haben mittlerweile engagierte Artikel zu den Herrn Schäuble und seine Wahnvorstellungen zu Blog gebracht. Beispielhaft nenne ich hier das Farliblog, das Lawblog, Naturbelastet und das Schnüffelblog.
Ps: Aufmerksam wurde ich über ein ganz anderes Blog, welches ich jetzt nicht mehr wieder finde Tja, die (Gehirn)datensicherung ist auch bei mir fehlerhaft, nicht nur bei der Bundeswehr.
Es ist schon eine Schande, da bezeichnet man sich als alter Linuxhase, Kenner und Verfechter der Grundrechte auf Privatsphäre aber benutzt selbst noch nicht einmal eine Signierung seiner emails. Tja, ich behaupte jetzt mal, ich war immer zu faul dazu....
Wie auch immer, das installieren ist kein Thema, bei mir war gpg sogar bereits installiert. Die Erweiterung EnigMail zu installieren war natürlich auch kein Problem, "installieren" ist ja auch zuviel gesagt Nur funktionieren wollte die Keygenerierung nicht auf Anhieb. Auch per Commandline wollte es nicht funktionieren. Der Grund ist wahrscheinlich LinuxMint spezifisch, jedenfalls gehe ich davon aus, ich kann mir nicht denken, das es auch bei Ubuntu Feisty dazu kommt. Langer Rede kurzer Sinn, die Rechte des versteckten Verzeichnisses .gnupg war völlig daneben.
drwx------ 2 root root 4096 2007-06-15 19:53 .gnupg
Selbstredend muss das Verzeichnis dem User gehören und nicht root. Ausführlichere Informationen kann man hier finden, ich spare mir das hier. linux-fuer-alle.de:gpg konfigurieren
Nach Linksys's Open-Source Router WRT54GL hat Netgear mit seinem Router KWGR614 gleich gezogen. Einen Blick ins Innenleben kann man hier bei waycos riskieren. Zitat aus dem Heise News Forum:
Das Autorun Feature ist Amiga Usern aus den '80ern bereits bekannt. W$ User kennen es seit W$2000. Komfort hat immer zwei Seiten. Die eine macht das Leben bequem, die andere macht das Leben unsicherer, risikoreicher. Diese Sache ist den Amigausern bereits hinlänglich bekannt. Damals wurde direkt nach dem einlegen einer Diskette der Inhalt geladen und entsprechend darauf reagiert. Gedacht, um z.B. ein schönes Icon für die gekaufte Anwendung oder Spiel auf dem Desktop zu zeigen, wurde es sehr schnell von Viren als willkommene Schnittstelle zum verbreiten genutzt. Es fiel ja nicht auf, da das Laufwerk immer anlief, wenn man eine Diskette wechselte. Da hat sich der ungebetene Gast einfach gleich mal mit auf den neuen Datenträger verewigt
USB Hacksaw, eine Weiterentwicklung von USB Switchblade, funktioniert so ähnlich. Es nutzt das Autorun Feature aus, um eine kleine "Backupsoftware" versteckt zu installieren. Wenn später ein anderer USBStick angeschlossen wird, dann kopiert die "Backupsoftware" die Daten von dem Stick, packt sie in 5MB RAR Archive Päckchen und verschickt sie mundgerecht per smtp an einen Mail Account. Erfahrene User wird das nicht schrecken, denn die haben ja bestimmt das Autorun Feature abgeschaltet, nicht wahr ? Wenn ich mir in Urlaubsorten so die Internet Cafe's ansehe...
Was, wenn da jemand mit einer USB Hacksaw da war, wer hat noch nie einen USB Stick in einem fremden Rechner gesteckt, um mal eben ein Passwort nachzuschlagen? Gar nicht auszudenken, was das für Abgründe öffnet. Interessanterweise ist im Wiki alles bestens dokumentiert, man braucht kein Programmierer oder Hacker zu sein, um die Routinen an seine Ansprüche anzupassen, oder zu erweitern. Stichworte fallen in dem Videopodcast reichlich...
Aber Die Linux Front sollte nicht allzu laut frohlocken, in zunehmenden Maße werden solche Mechanismen wie Autorun auch unter KDE und Gnome eingesetzt. Glücklicherweise ist hier die Vielfalt der bremsende Haken. Aber mit etwas Aufwand und Gehirnakrobatik wäre auch hier eine Hacksaw möglich....
Hat sich wieder einmal gelohnt, die HAK.5 Episode 2x03