So, mal ein Link, der bei mir schon länger im Postkasten liegt. Es geht wieder mal um das Thema Server-Security:
http://www.searchsecurity.de/themenbere…rticles/120182/index2.html
rkhunter wie auch logwatch scheinen ein nettes Tool zu sein, dass ihre Jobs besser erledigen als chkrootkit und Konsorten.
Nachdem gestern das BKA-Gesetz durchgewunken wurde, und uns einen Schritt näher an die Neue Weltordnung Banenrepublik DDR. 2.0 bringt, mal eine positive Nachricht: Soeben sind auf Wikileaks die IP Ranges des BND geleakt!
Endlich kann der Bürger sein virtuelles Hausrecht wieder etwas stärken. Nach der .htaccess zum BKA Terror-Bot, nun die .htaccess gegen den BND Terror-Kracken. Das hilft nur nix gegen Schäubles neue Schnüffelbehörde nach NSA Vorbild, aber seien wir wenigstens froh, dass unsere Bundeskanzlerin keine eigenen ihr unterstellten Geheimdienste á TALON & Co. hat – oder doch?.
Alle anderen Stellen sind ja gott-sei-dank von inkompetenten Pack und Internetausdruckern besetzt. Tja, da klappt es dann doch nicht so schnell mit dem Polizeistaat 
RewriteEngine on
RewriteCond %{HTTP_REFERER} bvoe [NC,OR]
RewriteCond %{HTTP_USER_AGENT} bvoe [NC,OR]
RewriteCond %{REMOTE_HOST} bvoe [NC,OR]
RewriteCond %{HTTP_REFERER} lvp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lvp [NC,OR]
RewriteCond %{REMOTE_HOST} lvp [NC]
RewriteRule ^.*$ http://www.google.de/search?hl=de&q=fema+death+camps+bush+nazi+fascist [R=301,L]
Order Allow,Deny
Deny from 195.243.248.226/32
Deny from 195.243.248.228/32
Deny from 62.156.187.234/32
Deny from 62.156.187.236/32
Deny from 62.159.60.150/32
Deny from 193.159.228.32/29
Deny from 193.159.238.168/29
Deny from 194.25.184.16/29
Deny from 194.25.42.232/29
Deny from 195.145.128.56/29
Deny from 195.145.163.64/26
Deny from 195.145.182.96/28
Deny from 195.145.182.96/28
Deny from 195.145.31.252/30
Deny from 195.145.57.176/28
Deny from 195.243.157.184/29
Deny from 195.243.248.224/29
Deny from 212.185.184.224/29
Deny from 212.185.191.128/29
Deny from 217.7.155.168/29
Deny from 217.89.74.208/28
Deny from 62.153.59.192/27
Deny from 62.153.65.32/29
Deny from 62.153.80.208/29
Deny from 62.153.87.0/28
Deny from 62.154.211.152/29
Deny from 62.154.226.64/26
Deny from 62.156.187.232/29
Deny from 62.157.136.64/27
Deny from 62.157.144.0/26
Deny from 62.157.193.128/26
Deny from 62.157.193.192/27
Deny from 62.157.194.32/29
Deny from 62.157.194.32/29
Deny from 62.159.19.208/29
Deny from 62.159.104.160/28
Deny from 62.159.209.144/29
Deny from 62.159.209.152/29
Deny from 62.159.21.152/29
Deny from 62.159.60.144/29
Deny from 62.159.63.72/29
Deny from 62.225.139.248/29
Deny from 62.225.74.128/29
Deny from 80.146.198.88/29
Deny from 62.159.104.160/28
Allow from all
How to calculate CIDR:
Usage:
Alternativ vll. ma auf diese Seite gucken:
http://www.ipaddresslocation.org/
Log-Files nach IPs durchsuchen:
grep -E ":(`cat bnd-ips.txt | sed 's/\./\\./g' | tr '\n' '|'`)" access_log_2008-*
But it’s like browsing mp3.com in the old days and you can find great new artists. Just downloading promo MP3s is stress since you have to be logged in now.
I tried for over 30 minutes to login and request a new password. The „Forgotten Password“ mails never arrived, using fake accounts did not work, and after i finally got a userrname/password from a friend it told me to enter CAPTCHA and then told me „too much login retries“. If DoS-attacks would be legal you know i would have destroyed their servers! Damn you myspace! After trying to contact myspace and seeing an FAQ instead of an e-mail or contact-form i was finaly pissed off.
I must say my dear artists: if a user cannot download any promo MP3s you’re lucky if user remember a bands name. As it goes for me i don’t make any notes. Sometimes I just bookmark some cool artists and then again forget them. It doesn’t often happen that i immediately buy an album – and you probably know i dislike iTunes. So if i don’t find it – no work.
Myspace is indeed censoring an artists promo actions by having the user need to register (and this just doesn’t really work).
…and so i found finally a way download my promos by using the nice service from File2HD. But i shall inform you that you’re not allowed to, since – according to File2HD – you need rights to access the original files the artists uploaded.
Anyway, as it goes for File2HD, it just demonstrates how weak those crappy commercial sites are coded. Almost every major social platform has major security leaks – otherwise downloads won’t be possible. I just want to encourage the guy behind the site to continue his war against the copyright mafia.
And since the service puts out nice URL-lists not only for myspace but also for YouTube including HiQuality Downloads i just can recommand it. Use it at your own risk!
P.S.: Have you ever disassembled the YouTube Flash Player? Have a nice day…
Hier der verabschiedete Gesetzesentwurf. Das Bundesministerium für Justiz, bzw. unseren Poltiker strotzen mal wieder mit Kompetenz und zeigt uns auf deren Website gleich die geilsten Parlamentarsschlampen, und die coolsten alten Playboys. Ihr könnt gerne euren Spass haben dort, aber bitte unterlasst die Gesetzgebung Juristen, die auch wirklich Ahnung haben, und ihre Experten nicht belächtend beäugeln!
Ja, Deutschland hat keine Sicherheitsprobleme, da die gesamte Sicherheitsindustrie bald im Ausland sein wird und Deutschland auch kein Internet mehr haben wird. Nach tollen Videos, die unsere Gesetzesgebenden vom Internet in einer BKA Dokumentation gesehen haben, dient das Internet ja nur der Pornographie und Kriminalität. Und es soll angeblich was mit Computer zu tun haben. Aber wer braucht das schon! Das Leben kann ja so schön sein ohne Computer und Co., vor allem in dem tollem Badeort Rotterdam oder in Berlin oder anderswo, wenn mal wieder alle Strassen gesperrt sind, um das Präkariat aussen vor zu lassen. Klingt links, ist auch so, aber mehr als Zynismus und Depressionen bleibt mir bei der gegenwärtigen Situation auch nicht.
Und wer noch weiß was abgeht soltle mal hier gucken:
http://www.heise.de/newsticker/search.shtml?T=202c
Trotzdem, schöne Aktion, lieber CCC! Habt ein tolles Wochenende (vorm Schirm!) *G*
Appearently a good joke for an april’s fool joke. SSH Client for iPhone, you may ask? Apple does now support real applications instead of their webby 2.0 server applications? An SSH client? Unsecure!
Not really. And it’s a really wellthouhht out solution. You can check it out here . If you haven’t any SSH server just click connect to connect to the demo server.
Happy iPhoning!
UPDATE: Das iPhone besitzt entgegen den Infos auf der Seite eine Kamera, und wird wohl auch MMS bieten. Somit wären die ärgsten Kritikpunkte weg. RSS-Reader und derarten kann ja alles web-only via AJAX sein
RewriteCond %{QUERY_STRING} (\"|%22).*(\>|%3E|<|%3C).* [NC]
RewriteRule ^(.*)$ log.php [NC]
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E|%22) [NC]
RewriteRule ^(.*)$ log.php [NC]
RewriteCond %{QUERY_STRING} (javascript:).*(\;).* [NC]
RewriteRule ^(.*)$ log.php [NC]
RewriteCond %{QUERY_STRING} (\;|\’|\"|\%22).*(union|select|insert|drop|update|md5|benchmark|or|and|if).* [NC]
RewriteRule ^(.*)$ log.php [NC]
RewriteRule (,|;|<|>|’|`) /log.php [NC]
…found in .htaccess at 0×000000.com. Also read the ha.ckers.org Cheat Sheet to XSS!
I guess I’ll rewrite my ErrorHandler a bit to support XSS or suhosin-messages. I’m not a big find of going through a houndred megabytes of apache-logs a day
Or the story of a hack and the recovery of a compromised system. Namely server “Detroit” went down today at 4:06am throughout MAC poisoning, which was discovered by an IP Switch and therefore rejected(?). Sad, but, another journey of terror of support terror began…
Are you sure? Damn, but I guess it’s their fault (once again). If you already had used 1&1 or former Schlund you only have two choices to convince them that they have an issue with their network and it’s not your fault.
Well, i catched up the syslog via hardware console and saw that the system is unable to bring up the network adapter (eth0), but booted normaly. And still i wasn’T able to connect via SSH. I phoned the support several times and about 3h later i was reported that the server poisoned the network with an invalid MAC address since 4:06. I wasn’t sure if they’re right – but probably it was a reason for the network adapter beeing rejected by their IP Switch.
Well, they told me our system is now seen as compromised and i will be only able to boot the rescue system for now. I tried this via their admin section on their website, but the option was not available. Therefore they system bootet the normal system isntead, which could also be seen over hardware console. Another phone call was made. After 1h i had the option and i finally was able to boot the system. It took another 2h until their automated system gave me finally a shell to the a rescue system. But i wasn’t able to login with the given password from the administration site. I tried the original password for the server and it suddenly gave me access. Ok, that’s really secure when the hacker already has decrypted the passwd from the old system, where i switched off pure passwd-auth (only RSA-keys).
Well, now i was finaly able to mount the drives and search for traces of the intruder. I didn’t find much in the logs, or something that really spoke for MAC poisoning, but i did find some w00tw00t.at log entries, an IP address from an AOL network and some local exploits in “/tmp/ /../”. Probably the addrsses were also spoofed and our little server was going to become a spambot or a proxy.
One thing at 1&1 is really nice: not having a good working solution for backup or instant recovery. Other hosters provide you with drive images from the last 3 days or automated backup systems or instant fallback image servers.
1&1 says this is not possible for root servers – hell knows why – and provide you instead with a restrictive FTP server with the same size as your server HD for two-times the money of other offers. Okay, that’s probably ok for diff-tarballs but it’s not a real deal when you want a mirror or you have to backup large amounts or big files. And it’s pain in the ass when you cannot stream to the FTP server, but have to pack a tarball first and then transfer it. That’s fine when the HD is almost full, und you only have the ftp, screen and vim command in the shell. Right, No Midnight Commander or tools to do instant batch processing of the files. I wouldn’t call it rescue system but minimal system instead.
Well, it was an 120GB partition with about 52GB free. I deleted some stuff, made some tarballs for the /var/logs, /etc /home and then transferred it to FTP. I was very happy to have enough free drive space to do that. And i did the backup to two times, one on another FTP Server – only to make sure they don’t reinitialize and kill the data an the FTP that’s in one contract/package with the Backup Server. Well that was about 50GB of data compressed to about 27GB.
The server was still transferring and since it was „only“ our development server which got compromised i could walk home without having to fear a work day till the full moon. The server still transferred some files…
The first thing i’ve done in morning – even before i got my coffee – was to call they support hotline again. The server is ready, please re-initailize it!
And again another phone call was made since no once actualy did something. Again, the same story had to be told (platinum service witrh different employees!), the tech team had to be queried once again (please hold the line for about 10min!), and finally i was asked which system i wanted – after telling them my contract and customer number for 10 times. I told them „Debian Etch Stable“, or „Debian 4.0“ or the „latest Debian available“.
“Thanks. You’re system will now be reinitialized with your desired system. It will be available in some hours, because they have to do it manually this time…” – *click* – “Manually?!”
I had meanwhile a closer look on the logs which i downloaded yesterday, ,did answer the phone two times and wondered if “hopefully online again tomorrow evening” was the wrong sentence in the mails i sent toyour developers yesterday evening.
Meanwhile the server could be reached for short time, there was a shell to login (but i had no passwords), and then again the server was off the line, and then it showed “ready” with bold text “SUSE Linux 9.3 (PLESK 7.3)” on their recovery admin site.
Still I cannot ping or connect to the system. And i wonder how long it takes to reintialize the server once again with Debian…
Ok, although it’s against their policy they did release the compromised system(!). And it still runs. Yet it was not blocked from the IP switch and no rootkit was found Still i wonder what data the guy leeched, or if he was even able to download something and how he got into the system. I guess he used the server as proxy (
Anyway, vnstat reports about tx 3,971 MB, rx 2,517 MB, total 6,489 MB, wheras the server only does about 500MB total per day. I forgot to check that and unless vnstat only does 24h i have no way to revert that data.
And some are going crazy here about mailing about 20 new passwords, whereas i have to set about 200 new passwords and copy and unpack about 40GB of data.
Still the biggest problems with 1&1 are bureaucrazy and strict information policy as well as an overloaded network that has really amazing latency.
Anyway, it seems the intruder got into the server over a PHP upload exploit, but could not much do inside /tmp. Still, he could mainipulte the network adapter (probably through a local buffer overflow?).
He began scanning for security holes at 1:36am and was blocked by the intrusion detection system about 4:06am.
I guess all relevant data can be restored and nothing was lost. But what was once compromised stays compromised. I looked for file changes in the application files online but didn’t find anything – hopefully we’re safe again.
But Platinum service at 1&1 only means you get a ticket number which enables you to ask how far your query has progressed. Ah, and well the service employees are not the dumbest in the firm. That’s all mystery behind it! Forget 1&1! They suck. And the decision for 1&1 was not my choice…
Nach des Bespitzelung dieses Blogs habe ich mal ein paar Sicherheitsvorkehrungen getroffen, um mich vor dem Missbrauch von Datenkracken zu schützen:
Und für alle, die jetzt nicht wissen, was das bedeutet hier nochmal die Apache Dokumentation zu mod_rewrite.
Es wäre schön vielleicht von dem ein oder anderen noch ein paar IPs oder Netmasks für die BKA- und Europol-Server zu bekommen:
Hier die Erweiterung der Rewrite-Rules für die gängigsten E-Mail-Harvester und Spambots:
Nach dieser News auf heise.de musste einfach gehandelt werden:
Betreff [LinuxTag 2007] Mit Schäuble auf dem Programm gehe ich nicht hin! To orga@linuxtag.org CC schwobe@linuxtag.org CC projects@linuxtag.org
Hallo lieber Organisatoren und sonstige Beteiligte,eigentlich hätte ich mich schon auf die Veranstaltung sehr gefreut, jedoch musste ich erahren dass Bundesinnenminister Schäuble die Schirmherrschaft an sich gerissen hat. Dieser Mensch verkörpert für mich alles was Linux nicht ist, und er ist ein eindeutiger Grund warum ich eben meine Bahntickets storniert habe.
Linux verkörpert für mich Kooperation, gegenseitige Hilfe und Freiheit. Dieser Mensch – nein ich hätte ich noch andere Worte für Ihn – ist das genaue Gegenteil von allem was Linux bedeutet. Unter Ihm sehe ich jemanden, der von Technik weniger Ahnung hat als mein Hund, jemanden der am liebsten seine eigene Privatarmee hätte und versucht mit seiner Politik das Volk zu kriminalisieren und der Mündigkeit zu berauben. Ich finde diese Aussagen kaum übertrieben, eher aber eine mögliche Zukunftsvision, wenn diese Mensch noch länger an der Macht bleibt.
Es ist eine Schande, dass gerade Ihr ihm ein öffentliches Sprachrohr für seine Politik gebt, und es zulässt dass er viele durch seine falschen Ansichten beeinflußt. Normalerweise haben Vertreter der Konzepte von OSS nicht viele Möglichkeiten über die Miss-Stände oder der Dissinformation über die Sicherheits-Politk entgegenzuwirken – und ihr gebt diesen Menschen gerade am LinuxTag ein Sprachrohr?! Bitte!
Andere sehen es genau so wie ich, und ich werde mit mein bestes tun, die News über seine Herrschaft am LinuxTag weiter zu verbreiten.
Deswegen ladet diesen Menschen bitte einfach aus! Wir brauchen Ihn nicht, und sicherlich wär mir ein oder mehrere Euro nicht zu Schade um die Veranstaltung mitzufinanzieren. Ich bin mir sicher es geht auch ohne diesen Unfried Schäuble!
MfG
.mg
Und es geht weiter – hier ein Interview mit dem Bundesdatenschutzbeauftragten, dem anscheinend auch nur noch Sarkasmus in Anbetracht der Ohnmacht gegenüber der freiwilligen Selbstzensur der Gesellschaft übrig bleibt.
Mein Tipp: einfach mal auf volksverdummende Populärmedien wie Rotations-Radiostationen und Privatfernsehen verzichten. Damit kann man sehr schön sehen, wie sich die Gesellschaft verändert.
Im Moment würde ich jedenfalls lieber in einem sauerstoff-leeren Raum ersticken, statt hier weiter auf Erden zu sein. Nein, Vampire und andere Unsterbliche gab es wirklich – sie haben sich nur wegen Frust an der Gesellschaft selbst umgebracht </Sarkasmus>
Ärgern Sie sich ständig, dass Sie versehentlich eine Webpage „schließen“? Tja, dann benutzen Sie wohl immer noch den Microsoft Internet Explorer. Zeit zu wechseln (u.a. auch wenn Sicherheit bei Ihnen ein Thema sein sollte)!
Hier gibt’s Alternativen:
Shared headlines