Archiv der Kategorie: admin

howto block w00tw00t.isc.sans.dfind:) und andere scans mit iptables

In letzter Zeit sind mir in meinen webserverlogs vermehrt scans von scripten nach bestimmten Pfaden bzw. nicht geschlossene Verbindungen die von user agents stammten die den string „w00tw00t.isc.sans.Dfind:)“ und Variationen davon beeinhalteten aufgefallen. Diese stammten teilweise von Dialup ipadressen aber auch von vermutlich geknackten webservern mit festen ipadressen. Um dem ganzen Einhalt zu gebieten habe ich ein shellscript geschrieben, das die webserverlogs nach bestimmten strings absucht und die dazugehoerigen IP-adressen sperrt. Das script setzt voraus, das keinerlei Installationen von z.B. phpmyadmin oder anderer Verwaltungssoftware in standardpfaden existiert. Diese sollte ein verantwortungsvoller Admin auf öffentlichen Produktionsservern sowieso nicht verwenden 😉 howto block w00tw00t.isc.sans.dfind:) und andere scans mit iptables weiterlesen

Plesk 9.0 update bei SuSE 10.2 rootie – Epic fail

als admin betreue ich mehrere mit plesk ausgestattete root- bzw. vserver. Bei den letzten updates innerhalb der 8.x.x serie gab es nie probleme. als heute bei der backupeinrichtung fuer einen klienten der pleskupdater die version 9.0 anzeigte, erwartete ich auch ein reibungsfreies update auf die neue version. als (vom update auf 7.x auf 8.x) gebranntes kind beschloss die probe aufs exempel an einem nicht ganz so ausgelasteten plesk bestueckten vserver vorzunehmen. Gottseidank (fuer diese Installation) hatte der Lizenzprobleme (1 blu hatte noch keine 9.0 Lizenz) . bei einem anderen server (diesmal ein rootserver bei 1und1) gab es den 9.0 Key.

Nach einem reibungslosen update der 8.6.0 installation wollte ich auf die 9.0 upgraden. Leider gab es auch bei mir den hier beschriebenen rpm fehler mit dem


psa-hotfix4-8.6.0 = 8.6.0 is needed by (installed) psa-hotfix5-8.6.0-8.6.0-suse10.2.build86080930.02.x86_64

auf den im thread beschriebenen Stress mit der 1und1 hotline will ich mich garnicht einlassen.

Siehe User: Chris_McKite

Ich hatte dasselbe Problem und weder ueber den Support 1und1 noch von swsoft eine klare Antwort erhalten, was da genau passiert war.
Bei der Installation der update-Komponenten von 8.6.0, die ja vor dem upgrade auf 9.0.0 alle vollstaendig installiert sein muessen, ist der gleiche hotfix wie bei Dir nicht vollstaendig installiert worden. Deinstallieren mit
rpm -e paketname

funktionierte auch nicht, weil er sagte: Nicht installiert.
Installieren ging auch nicht, weil dann die Meldung kam: schon installiert…. Huh

Nach allen moeglichen Versuchen habe ich einfach die entsprechenden RPM’s der Version 8.6.0 nochmals komplett von swsoft auf den Server geladen und per hand mit

rpm -i -force

alle pakete nochmals mit brutaler Gewalt darueber installiert.
Danach ging der Dienst smtp/Qmail wieder ueber den Plesk-Panel zu starten.
Ein Update auf die Version 9.0 habe ich allerdings nicht mehr versucht. Erstmal bin ich froh, dass alles wieder laeuft.

also werde ich rpm fuer rpm die 8.6.0 installation wieder herstellen, und die finger von der 9.0 lassen. irgendwie erninnert mich das an die „glorreichen“ zeiten von confixx. ich dachte echt sowas waere geschichte. scheint ja nicht so.

*ironie*
Danke swsoft. Nett wenn ein immer aktuell gehaltenes plesk auf einem schnellen server mit einer standard SuSE 10.2, die auf zillionen servern im internetz so ein „reibungsloses“ update bietet.
*ironie

so long
arnd

Data recovery unter osx – zerschossene Partitionstabellen mit freeware tools wieder herstellen

Ein Bekannter der Videoschnitt macht, hatte sich die Partitionstabelle seiner externen Festplatte zerschossen. Gluecklicherweise hat er immer „Abbrechen“ gedrueckt, wenn die Festplatte angeschlossen wurde und das System die Disk wegen der kaputten Partitionstabelle neu initialisieren wollte. Laengeres Herumkramen nach data recovery Software fuer das osx Dateisystem HFS+ foerderte nur kostenpflichtiges zutage, und die Kuenstlerschaft hat ja kein Geld 😉 . Jedenfalls kamen die teuren recovery Programme nicht in Frage.

Mit testdisk hatte ich schon gute Erfahrungen unter Linuxen gemacht. Funktionieren tut es auch mit m$-artigegen Betriebssystemen. Es ist ein Kommandozeilentool, das beschaedigte Partitionstabellen auslesen und wiederherstellen kann. Leider kann es ausgerechnet osx Partitonstabellen nicht selber reparieren. Da das Volume von einem Mac PowerPC erstellt wurde, kann aber das tool pdisk verwendet werden. Nachdem die verlorenen Partitionsdaten mit testdisk ausgelesen wurden erfolgt das Wiederherstellen der Partition wie im testdisk wiki beschrieben.

Ein weitere Vorteil dieser Loesung ist der Zeitfaktor, denn das Herstellen der Partitionstabelle dauert ca. 10 Minuten, waehrend sich die kommerziellen tools mindestens 3-5 Stunden mit dem Ganzen beschaeftigen moechten. Schliesslich soll ja was geboten werden fuers Geld.

Ich kann nicht beurteilen, ob eine analoge Vorgehensweise bei einer von einem Intel Mac geschriebenen Partitionstabelle funktioniert, da dort das tool fdisk verwendet wird, das DOS Partitionstabellen erzeugt.

Falls es die Systempartition zerlegt hat, ist testdisk auch auf verschiedenen LiveCDs enthalten.

Nett ist auch der Hinweis in der readme.txt

This version may work on Mac OS X.

Das ganze natuerlich, wie immer, ohne Gewaehr und „READ THE FUCKING MANUAL“ 😉

online installations- und update quellen fuer discontinued SuSE 9.3

Nachdem ich auf dem netzturbinen rootie doch wieder die SuSE 9.3 installieren musste (der grafischen installtionsroutine bei rootservern die 1und1 verwendet sei Dank), habe ich mich auf die Suche nach Installationsquellen fuer weitere Pakete und updates gemacht. Die im zurueckgespielten Image angegebenen 1und1 Server funktionieren leider nicht (mehr). Eigentlich eine Unverschaemtheit, wenn das Image als Installationsoption angeboten wird. Das herumkramen auf diversen ftp servern foerderte nur SuSE 10er Versionen zu Tage. Was tun?

Ein Wechsel des Serverpaketes kam zu den Preisen jedenfalls nicht in Frage. Nach laengerem fuettern unserer aller Suchmaschine, bin ich dann auf huschis Artikel ueber Updatequellen fuer SuSE Versionen die nicht mehr weitergefuehrt werden gestossen. Die Links in dem Artikel funktionieren teilweise schon nicht mehr, aber haben mich auf die richtige Spur gebracht. Patches und Quellen sind auf dem ftp Server von hosteurope zu bekommen. Als Quelle fuer nachzuinstallierende Pakete funktioniert: ftp://ftp.hosteurope.de/mirror/ftp.suse.com/pub/suse/discontinued/i386/9.3/ und updates bekommt man unter ftp://ftp.hosteurope.de/mirror/ftp.suse.com/pub/suse/discontinued/.

Wie huschi in seinem Artikel schon richtig bemerkt

Zitat:

Auf dem SuSE-FTP-Server werden die alten Versions-Verzeichnisse, die bei Yast als „Installationsquelle“/“Installation Source“ eingetragen sind, häufig gelöscht oder verschoben.
Da die meisten Mirror’s (auch die der Server-Hoster) einfach nur spiegeln ohne Rücksicht auf die teilweise immer noch ausliefernde SuSE-Versionen zu nehmen.

sehe ich es auch. Es kann nicht sein, das die grossen Provider stumpf den SuSE ftp server spiegeln dabei nicht darauf achten, das einige der Kunden rooties mit aelteren Versionen zu laufen haben, und das vielleicht auch nicht aendern wollen oder, wie in meinem Fall aufgrund von internen Routinen bei 1und1 nicht koennen. Es ist schon peinlich, das ich die ftp Server eines anderen Providers bemuehen muss, um eine offiziell installierte SuSE 9.3 die bei 1und1 laeuft aktuell zu halten. Zumal PLESK updates auf aktuell 8.4.0 funktionieren.

Jedenfalls wird hosteurope ein moeglicher Kandidat fuer den Umzug der turbine sein, denn das ist wirklicher Kundenservice.

Installations Howto Apache2.2 php5 mysql5 Entwicklungsumgebung auf osx 10.4

Die bei osx 10.4 mitgelieferten Apache und PHP Versionen sind mit 1.3 (Apache) und 4.4.8 (PHP) nicht gerade aktuell. Da ich mit 10.4 ansonsten zufrieden bin und ein Umstieg auf 10.5 das aktuellere Versionen bietet (noch) nicht notwendig ist, habe ich nach einem Weg gesucht mir eine aktuelle Apache2.2.x-PHP5.2.x-mysql5.x Entwicklungsumgebung zu installieren.

Das einfach zu installierende und zu verwaltende MAMP Paket scheidet aufgrund einiger Versionsrueckstaende (insbes. Apache 2.0.x) aus. Die Entwicklungsumgebung soll die Softwarestaende der installierten Webserver haben, um boese Ueberraschungen zu vermeiden (ein nicht ausreichend vorgetesteter switch von PHP 5.0 auf 5.1 hat mir diese Regel auf unangenehme Weise eingebrannt). Weiterhin sollen die restriktiven Einstellungen der Webserver soweit moeglich in der Entwicklungsumgebung dargestellt sein.

Installations Howto Apache2.2 php5 mysql5 Entwicklungsumgebung auf osx 10.4 weiterlesen

wordpress sicherheitsaspekte – warum fremde themes und plugins riskant sind

Darum sollten nur plugins und themes aus sicherer Quelle installiert werden. Nach dieser Geschichte bin ich sensibler geworden, was Content Klau und das Interesse an meinem kleinen Blog angeht. Selbst ein kleines Blog scheint ja einiges zum „Blackhat“ optimieren von webseiten zu bieten, und sei es der gescrapte Content. Der Trick mit dem „vergifteten“ WP Theme das dann von allein anfaengt „nach Hause“ zu telefonieren oder die suchmaschinen zu spammen ist dann der feuchte Traum des „blackhat“ SEO.

Da die von mir verwendeten Themes selbst erstellt sind kann hier so etwas nicht passieren. Allerdings verwenden viele Blogger Themes aus fremder Quelle. Es gibt ja viele schicke Themes da drausssen, und ist ja nett eine neue „Tapete“ fuers Blog per Mausclick zu aktivieren. Viele werden nicht wissen, was welche funktion in der mitkopierten functions.php des Themes den lieben langen Tag so macht. Das scheitert auch an den verstaendlicherweise schmalen PHP Kenntnissen vieler Blogger. Wer will schon PHP Wizard werden, nur weil er ein Blog betreibt. Jedenfalls schuetzt das erstellen des eigenen Themes am besten vor unliebsamen Ueberraschungen.

Leider kann man sich nicht jedes Plugin auch selbst schreiben und obwohl ich mir schon einige Plugins angesehen und auch umgeschrieben habe schaue ich mir auch nicht jedes Plugin bis in den kleinsten Code Fitzel an. Da vertraue ich dem wordpress plugin Verzeichnis installiere nur wirklich notwendiges und halte das installierte auf dem aktuellsten Stand. „update early + update often“ ist der beste Schutz vor unangenehmen Ueberraschungen. Das wird allzuoft und auch von Grossen Seiten wie zdnet vernachlaessigt. Es kann jeden erwischen und momentan ist „Alphablogger“ Nico Lumma mal wieder Kommentar spam verseucht. Ich gehe jedenfalls stark davon aus, das er nicht mit den ersten beiden und dem fuenften Kommentar in der „recent comments“ Liste einverstanden ist (Stand: 9.4.2008-15:16).

Es spielt den Spammern in die Karten, das zillionen von aufgegeben Blogs auf alten Softwarestaenden noch „aktiv“ sind. Ein „blackhat“ SEO hat heutzutage vermutlich ein kleines Portfolio Blog Zombies mit denen er Backlinks erzeugen kann.

Eine gute Lektuere zu dem Thema sind Textos 9 Quick Tips zur Absicherung eines WP Blogs.

Happy Blogging und immer alles schoen updaten

Sedo scraped mein blog

Das ist ja nicht die feine englische. Es waere ja mal interessant, herauszufinden, ob die von mir erteilte Creative Commons Attribution-NonCommercial-ShareAlike 2.0 Germany Lizenz durch das wahrscheinlich automatische scrapen meines Blogs verletzt wird. Zunaechst wollte ich ja den Inhaber der Schrottdomains anschreiben, und fragen was das soll, aber nach weiterer Recherche habe ich herausgefunden, das sedo selber wohl scraped, denn auch andere Domains, als die, die auf mich gelinkt haben haben fremcontent drin. Der Geschaeftszweck von sedo ist es, mit domainhandel Geld zu verdienen, also ist durchaus eine kommerzielle Komponente der webseite vorhanden. Lustig ist der in dem iframe von sedo unten genannte disclaimer mit dem Sie Markenrechtsproblematisches ausklammern.

Zitat:
Der Inhaber dieser Domain parkt diese beim Domain-Parking-Programm . Die auf dieser Seite bereitgestellten Listings kommen von dritter Seite und stehen mit Domain-Inhaber oder Sedo in keiner Beziehung. Bei markenrechtlichen Problemfällen wenden Sie sich bitte direkt an den Domain-Inhaber lt. Whois (z.B. Denic.de).

Wie sieht es denn mit meinen Rechten aus, Freunde der Blasmusik? Meine Inhalte sind laut prominent enthaltener Lizenz NICHT fuer den kommerziellen Gebrauch freigegeben. Mal abgesehen davon, das die Backlinks von denen verlinkt wurde nichts sind, was ich mit der Turbine verbunden sehen moechte, denn ich schreibe hier eher selten ueber „fkk boys“, „bisexual“, „erotikmassage“ und andere Themen aus der Richtung. Weiterhin ist die turbine, wenn sie denn an einen Ort gebunden ist in Berlin beheimatet und nicht in Gelsenkirchen. Auch Autohaeuser und iphones liegen momentan ausserhalb meines Interesses bzw. Geldbeutels.

Da werde ich sie mal direkt ansprechen, vielleicht gibt das beim naechsten scrape ja lustige Effekte.

Offener Brief an sedo:

Sehr geehrte Damen und Herren,
hiermit widerspreche ich der offensichtlich kommerziellen Nutzung meiner Inhalte durch Sie bzw. Ihre Auftraggeber im Domainhandel. Wie Sie vielleicht bemerkt haben (oder auch nicht) stehen meine Inhalte unter der CC mit dem Zusatz "Namensnennung-Keine kommerzielle Nutzung-Weitergabe unter gleichen Bedingungen 2.0 Deutschland". In Ihrem aber offensichtlich auf Gewinnabsicht angelegten Angebot werden meine Inhalte verwendet, obwohl die kommerzielle Nutzung meiner Inhalte untersagt ist. Ich moechte Sie bitten in Zukunft meine Inhalte NICHT mehr auf Ihrer bzw. den Seiten Ihrer Auftraggeber zu verwenden.

mfg
Arnd Heitmeier

Schaun mer mal, ob das auch gescraped wird und bei sedos auftaucht. Bin auch mal gespannt, was die mir bekannten Anwaelte dazu zu sagen haben. Im google cache ist dies noch zu finden. Es schein wohl der silver surfer Artikel gewesen zu sein, der fuer den scrape bot interessant war.

courier imap daemon Zertifikate einrichten fuer imaps, pop3s und smtps auf 1und1 SuSE 9.3 root server

Ich verwende email nur ueber imaps bzw. smtps. Das bietet eine verschluesselte Kommunikation und in meiner 1und1 Hardwarefirewall sind alle anderen email ports (25,110,143) gesperrt. Das haelt das log sauber, da keine Moeglichkeit besteht ueber die anderen Email Ports ueberhaupt eine Kommunikation zu initialisieren. Allerdings ist das von Plesk bei der Installation erzeugt Zertifikat mit „localhost“ als Servername angelegt worden. Das fuehrt zu nervigen Fehlermeldungen, da Mailservername und Zertifikatshost nicht uebereinstimmen.

Deshalb habe ich das Zertifikat mit dem richtigen Mailservernamen neu angelegt. Die Vorgehensweise will ich kurz beschreiben.

courier imap daemon Zertifikate einrichten fuer imaps, pop3s und smtps auf 1und1 SuSE 9.3 root server weiterlesen

wordpress 2.5rc1 gibt einen Eindruck des neuen wordpress 2.5

Das neue wordpress wollte ich schoen laenger einmal testen. Nachdem ich hier schon einen Eindruck gewinnen konnte aber bisher keinen download auftreiben, freut mich dieser Artikel auf wordpress.org. An dessen Ende gibt es naemlich einen Link unter den man sich den wordpress 2.5rc1 Release Kandidaten herunterladen kann.

wordpress 2.5rc1 gibt einen Eindruck des neuen wordpress 2.5 weiterlesen