howto block w00tw00t.isc.sans.dfind:) und andere scans mit iptables

In letzter Zeit sind mir in meinen webserverlogs vermehrt scans von scripten nach bestimmten Pfaden bzw. nicht geschlossene Verbindungen die von user agents stammten die den string „w00tw00t.isc.sans.Dfind:)“ und Variationen davon beeinhalteten aufgefallen. Diese stammten teilweise von Dialup ipadressen aber auch von vermutlich geknackten webservern mit festen ipadressen. Um dem ganzen Einhalt zu gebieten habe ich ein shellscript geschrieben, das die webserverlogs nach bestimmten strings absucht und die dazugehoerigen IP-adressen sperrt. Das script setzt voraus, das keinerlei Installationen von z.B. phpmyadmin oder anderer Verwaltungssoftware in standardpfaden existiert. Diese sollte ein verantwortungsvoller Admin auf öffentlichen Produktionsservern sowieso nicht verwenden 😉 howto block w00tw00t.isc.sans.dfind:) und andere scans mit iptables weiterlesen

twitterverse – microblogging – social media

In letzter Zeit habe ich mich intensiver mit twitter beschaeftigt. Mir ging es dabei wie wohl jedem neutwitterer. Ich wurde von Menschen die da mitmachten und diesen komischen Glanz in den Augen hatten ueberredet mir ein account zu besorgen. Ein account holen tut nicht weh, und irgendwie muss ja was dran sein also loggte ich mich zum ersten Mal auf twitter im Februar 2008 ein. Zunaechst irrte ich ziemlich orientierungslos durch das twitterverse und folgte den Leuten die ich auch im richtigen Leben kenne. Mein erster tweet ist uebrigens hier zu bewundern. Anfangs kannte ich nur wenige Leute, auf twitterisch heisst das „folgte“ ihnen, und noch weniger kannten mich. Immerhin hatte ich meine Profilseite ein bisschen angepasst und ein Bild hochgeladen. Ein nicht zu unterschaetzender Kontaktbringer wie ich spaeter herausfinden sollte.

So loggte ich mich hin und wieder mal ein verfasste einen tweet und las die tweets der paar Leute denen ich folgte, habe aber das ganze nicht weiter ernst genommen. Das System der #haschtags und die twittersuche kannte ich noch nicht. Auch die direkte Moeglichkeit des Adressierens mit klammeraffen „@twittername“ war mir unbekannt. Alles in allem also eine langweilige Sache, und ein halbes Jahr passierte nicht viel auf meinem twitterkonto.

Bis die Anschlaege in #mumbai kamen. Drei Tage Wahnsinn mit twitter als schnellster Nachrichtenquelle. In diesen drei Tagen habe ich die twittersuche und monitter kennen und schaetzen gelernt. Die Links zu indischem LiveTV,blogs und flickr Sets von Menschen die vor Ort waren, die diese Wunderwebseiten gefuettert mit Begriffen wie #taj oder #oberoi ausspuckten faszinierten mich und ich bekam eine leise Ahnung von der twittermagic. Ausserdem waren die grossen Networks 5-8 Minuten langsamer als das twitterverse mit ihren Meldungen. Ich habe die ganze Sache konsumiert,diesen endlosen Strom von 140 Zeichenschnipseln gespickt mit links und Botschaften an mir vorbeirauschen lassen und gelernt was ein #hashtag ist. Gut ist das ganze Geschehen im und um das twitterverse waehrend #mumbai hier zusammengefasst, auch die berechtigten Kritikpunkte.

Twitterverse wurde interessant und das naechste Ereignis liess nicht lange auf sich warten #griots war der #hashtag der Unruhen in Griechenland. Wieder kamen Links und Informationen herein, die ich nie im deutschen Fersehen gesehen haette. Und eine weitere Neuerung, diesmal hab ich mitgetwittert und nicht nur konsumiert. Zwar dachte ich, das mein gezwitscher komplett untergeht, aber ich habe meine Meinung kundgetan und den hashtag #griots tapfer drangehaengt an meine 140 Zeichen Ausbrueche. Und dann passierte es … das INTERNET antwortete … in ECHTZEIT, wow. Es kamen Nachrichten @netzturbine an, von Leuten, die ich nicht kannte, Antworten auf meine tweets, das internet hoerte mir zu.

Langsam begann ich das Ganze zu moegen. Ich fing an Leuten zu folgen die ich nicht im echten Leben kannte und die Leute folgten mir. Das fuehrte allerdings zu einen ziemlichen Tsunami von Meldungen die bei mir aufschlugen. Da es eine Menge software gibt um seinen persoenlichen oder den oeffentlichen Stream zu filtern kann man dem schnell Herr werden und sich seinen persoenlichen newsticker zusammenstellen. Leider ist twitter den ersten spammerangriffen ausgesetzt, und man sollte nicht gleich jedem zurueckfolgen, sondern sich in Ruhe das Profil ansehen.

Gut, aber wozu das ganze, denn es sind ja nicht immer Krisenzeiten, oder doch? Und hier setzt meiner Meinung nach die Magie von twitter ein. Bisher war ich von Informationen abhaengig, die in irgendeiner Weise vorgefiltert waren, sei es das Fernsehen oder meine Standardanlaufpunkte im Netz. Auch unser aller Suchmaschine ist gefiltert, denn webseiten koennen aus verschiedensten Gruenden aus dem index fliegen. Das twitterverse funktioniert anders. Es ist ein Echtzeitmedium und der Filter sind die twitterer. Es reagiert auf Ereignisse, und es ist moeglich sich jederzeit einzuklinken. Hier kommen wieder die #hashtags ins Spiel. Sie sind die Markierungsbojen im reissenden Strom der Mitteilungen. Ein tweet mit der entsprechenden Markierung kann ueber die twittersuche gefunden werden.

twitter ist auch Schatzsuche. Mit ein bisschen Muehe koennen Informationsnuggets aus dem Strom gefischt werden, aber auch andere Gemmen z.B. mit dem #haiku hashtag. Meine (ich uebe noch) haikus findet der interessierte Leser uebrigens hier. Ja, nichts geht verloren im twitterverse, auch nicht die Schreibfehler, oder meine schlechten Beginner haikus. Das ist auch ein bisschen die Crux an der Geschichte, wie einige schon leidvoll erfahren mussten.

…to b continued 😉

cu in twitterverse

so long
Arnd

Plesk 9.0 update bei SuSE 10.2 rootie – Epic fail

als admin betreue ich mehrere mit plesk ausgestattete root- bzw. vserver. Bei den letzten updates innerhalb der 8.x.x serie gab es nie probleme. als heute bei der backupeinrichtung fuer einen klienten der pleskupdater die version 9.0 anzeigte, erwartete ich auch ein reibungsfreies update auf die neue version. als (vom update auf 7.x auf 8.x) gebranntes kind beschloss die probe aufs exempel an einem nicht ganz so ausgelasteten plesk bestueckten vserver vorzunehmen. Gottseidank (fuer diese Installation) hatte der Lizenzprobleme (1 blu hatte noch keine 9.0 Lizenz) . bei einem anderen server (diesmal ein rootserver bei 1und1) gab es den 9.0 Key.

Nach einem reibungslosen update der 8.6.0 installation wollte ich auf die 9.0 upgraden. Leider gab es auch bei mir den hier beschriebenen rpm fehler mit dem


psa-hotfix4-8.6.0 = 8.6.0 is needed by (installed) psa-hotfix5-8.6.0-8.6.0-suse10.2.build86080930.02.x86_64

auf den im thread beschriebenen Stress mit der 1und1 hotline will ich mich garnicht einlassen.

Siehe User: Chris_McKite

Ich hatte dasselbe Problem und weder ueber den Support 1und1 noch von swsoft eine klare Antwort erhalten, was da genau passiert war.
Bei der Installation der update-Komponenten von 8.6.0, die ja vor dem upgrade auf 9.0.0 alle vollstaendig installiert sein muessen, ist der gleiche hotfix wie bei Dir nicht vollstaendig installiert worden. Deinstallieren mit
rpm -e paketname

funktionierte auch nicht, weil er sagte: Nicht installiert.
Installieren ging auch nicht, weil dann die Meldung kam: schon installiert…. Huh

Nach allen moeglichen Versuchen habe ich einfach die entsprechenden RPM’s der Version 8.6.0 nochmals komplett von swsoft auf den Server geladen und per hand mit

rpm -i -force

alle pakete nochmals mit brutaler Gewalt darueber installiert.
Danach ging der Dienst smtp/Qmail wieder ueber den Plesk-Panel zu starten.
Ein Update auf die Version 9.0 habe ich allerdings nicht mehr versucht. Erstmal bin ich froh, dass alles wieder laeuft.

also werde ich rpm fuer rpm die 8.6.0 installation wieder herstellen, und die finger von der 9.0 lassen. irgendwie erninnert mich das an die „glorreichen“ zeiten von confixx. ich dachte echt sowas waere geschichte. scheint ja nicht so.

*ironie*
Danke swsoft. Nett wenn ein immer aktuell gehaltenes plesk auf einem schnellen server mit einer standard SuSE 10.2, die auf zillionen servern im internetz so ein „reibungsloses“ update bietet.
*ironie

so long
arnd

Firefox 3.0.3 nervigen refresh Hinweis ausschalten

Seit dem update des FF auf die Version 3.0.3 taucht ein warnhinweis beim autoreload von Webseiten auf. Dieser Hinweis hat das onlinebanking und andere von mir verwendete Dienste z.B. die nagios Ueberwachung zu einem Geduldsspiel werden lassen. Denn diese Seiten laden per refresh Daten nach.

Nachdem ich das dritte Mal beim onlinebanking rausgeflogen bin nachdem ich den refresh Hinweis bestaetigt hatte, habe ich mich auf die Suche gemacht ob die Warnung zumindest fuer einige Seiten ausschaltbar ist.

Leider habe ich nur eine globale Einstellung im

about:config

gefunden.

die zu veraendernde Einstellung lautet:

accessibilty.blockautorefresh

sie ist auf „false“ zu setzen, dann tauchen die Meldungen nicht mehr auf.

Leider ist der refresh Hinweis damit global ausgeschaltet. Da dieser Warnhinweis m.E. sinnvoll ist, waere es schoen, wenn es eine „whitelist“ fuer bestimmte Seiten gibt, damit der redirect Hinweis auf „fremden“ Seiten wieder funktioniert. Vielleicht habe ich die Einstellung auch nicht gefunden 🙁

so long
Happy nag free browsing
so long
Arnd

Google chrome datenkrake per WordPress plugin blocken

Der Hype um den neuen google Browser chrome hat ja in den letzten Tagen das Netz der Netze beschaeftigt. Anfangs habe ich mich darueber geaergert, das nur eine m$-Version vorlag, zumal Alex schwer begeistert von der Geschwindigkeit der Javascript engine war. Auch andere Meinungen zu Geschwindigkeit und Interface liessen mich meine Virtuelle m$-Maschine anwerfen und fluchend feststellen das w2k leider nicht unterstuetzt wird. Besonders die Instanziierung der einzelnen Browsertabs hat mich interessiert.

Mittlerweile werden immer mehr kritische Stimmen zu dem Wunderbrowser bezueglich des Datenschutzes und der Sicherheit laut. Das BSI raet momentan von Benutzung des Browsers ab. Sicher ist es eine Beta Software und die diversen Lücken werden noch geflickt werden.

Das in meinen Augen groesste Sicherheitsloch allerdings, die Datensammelwut von google wird nicht „geschlossen“ werden. Es geht gegen die ureigensten Interessen von google so etwas wie adblock, noscript und Konsorten zuzulassen.

Ich hoffe das andere Browserprojekte die sinnvollen Konzepte wie die Instanziierung und Trennung der browsertabs uebernehmen werden. Eine neue Javascriptengine soll es fuer meinen Lieblingsbrowser ja auch bald geben. Ich werde chrome jedenfalls nicht verwenden, schon aus dem Grund, das die mir ans Herz gewachsenen extensions nicht funktionieren werden. Wenn es eine OSX Version gibt werde ich mir chrome sicherlich anschauen, aber firefox als standardbrowser werde ich nicht ersetzten.

Es gibt sogar ein block chrome plugin fuer wordpress. Via boocompany habe ich davon erfahren, und es installiert. Leider kann ich es mangels chromeinstallation nicht testen.

Hmmmm, ist schon komisch das ich per plugin Leser aussperre, aber indirekt tue das ja schon, denn ich habe netzturbine noch nicht fuer den m$-explorer optimiert. Im m$-explorer sieht die turbine grausig aus, aber meine browserpoll zeigt, das meine geneigte Leserschaft eh vernuenftige Browser verwendet 😉 .

Happy „chromeless“ browsing

frische Vaeter – Jojo bringt es mal wieder auf den Punkt

Dieser Comic beim meinem liebsten toonblogger beetlebum bringt es auf den Punkt 😉

Auch in meiner peergroup gibt es ja inzwischen diverse Eltern. Die Kleenen werden ab einem gewissen Alter hochspannend, und die Freuden des Vaters wenn dit kleene Wesen anfaengt einen wiederzuerkennen kann ich sogar als Quasi Patenonkel bei einem der neuen Erdenbuerger gut nachfuehlen.

Das „er riecht so gut, riech doch mal hier oder hier“ Spiel kenne ich auch und diverse Geruchsproben die ein frischer Vater als schoensten Geruch der Erde befindet musste habe ich schon genommen.

Es riecht ja auch meist gut, allerdings werde ich den olfaktorischen Overkill der Windeln weiterhin den Vaetern ueberlassen, so wie ich mich mit Haenden und Fuessen gegen den Wickelkurs wehre. Stichwort „BABYSITTERTRAINING“ 😉 , nicht wahr Tom?

so long
arnd