Wie wird Kippo installiert, ein SSH Honeypot, auf Debian 7?

Kippo ist ein Tool, welches einen SSH-Server simuliert, um nach einem erfolgreichen Login alle Aktivitäten des Angreifers aufzuzeichnen.
Kippo arbeitet dabei in einer virtuellen Umgebung in der kaum Befehle ausführbar sind. Genauer gesagt, führen Kommands wie „mount“, „dmesg“ usw. nur zur Ausgabe eines lustigen Satzes. Der einzige Befehl, welcher „korrekt“ simuliert wird „wget“. (Es ist nicht wget, sondern eine Nachimplementierung in Python) Alle vom Angreifer heruntergeladenen Dateien werden in einem gesonderten Verzeichnis gesammelt, sodass man sich diese später genau anschauen kann. Versucht der Angreifer eine heruntergeladene Datei auszuführen, passiert nichts und er bekommt nur einen lustigen Satz zu lesen.

Alle Befehle, welche vom Angreifer ausgeführt werden, werden in einer Logdatei gespeichert, welche man sich später beliebig oft anschauen kann.

1.) Debian auf den neuesten Stand bringen

apt-get update
apt-get upgrade

2.) SSH Port ändern:

Port 8925
reload ssh

3.) Abhängigkeiten zu Kippo installieren
apt-get install python-dev openssl python-openssl python-pyasn1 python-twisted

in Sub Version gehen und kippo installieren
apt-get install subversion

4.) Ein Kippo User solte angelegt werden:
useradd -d /home/kippo -s /bin/bash -m kippo -g sudo
passwd kippo

5.) Ändern der Portnummer von Kippo auf 22

apt-get install authbind

Dazu eine neue Datei erstellen:
touch /etc/authbind/byport/22

Zugriffsrechte auf diese Datei anpassen:
chmod 777 /etc/authbind/byport/22

6.) Kippo herunterladen und konfigurieren
cd  (Stammverzeichnis kippo)
svn checkout http://kippo.googlecode.com/svn/trunk/ ./kippo
cd kippo
mv kippo.cfg.dist kippo.cfg
vi kippo.cfg
ssh_port = 2222 –> ssh_port = 22

7.) Startskript für Kippo erstellen
vi start.sh

echo -n „Starting kippo in background…“
von:
twistd -y kippo.tac -l log/kippo.log –pidfile kippo.pid
in:
authbind –deep twistd -y kippo.tac -l log/kippo.log –pidfile kippo.pid

./start.sh

Logs liegen in: /home/kippo/kippo/log/
vi kippo.log

8.) Grafisch aufgewertet wird es mit Kippograph:
apt-get update && apt-get install -y libapache2-mod-php5 php5-mysql php5-gd php5-curl
/etc/init.d/apache2 restart

wget http://bruteforce.gr/wp-content/uploads/kippo-graph-1.5.tar.gz
mv kippo-graph-VERSION.tar.gz /var/www/html
cd /var/www/html
tar zxvf kippo-graph-VERSION.tar.gz
mv kippo-graph-VERSION kippo-graph
cd kippo-graph
chmod 777 generated-graphs
cp config.php.dist config.php
nano config.php #enter the appropriate values

Testen
http://your-server/kippo-graph

Plesk 12.x wie lassen sich Statistiken für eine bestimmte Domain neu berechnen

Plesk Panel ruft das Dienstprogramm statistics (im Verzeichnis ${PRODUCT_ROOT_D}/admin/bin) auf, um im Rahmen der täglichen Wartungsaktivitäten die Statistiken der Webseiten-Zugriffe, Traffic-Nutzung und Speicherplatzauslastung neu zu berechnen. Mit der Option –calculate-one des Dienstprogramms statistics kann die Neuberechnung der Statistiken für eine bestimmte Domain gezielt von Hand gestartet werden:

~# /usr/local/psa/admin/sbin/statistics –calculate-one –domain-name=yourdomain.com

Weitere Informationen zur Verwendung des Dienstprogramms statistics können mit der Option –help abgerufen werden:
:
~# /usr/local/psa/admin/sbin/statistics –help
Usage: statistics [OPTIONS]…

Without options – calculate statistics for all domains
–calculate-all
        calculate statistics for all domains
  –calculate-one –domain-name=<domain_name>
        calculate statistics for <domain_name>
  -h, –help
        display this help and exit
~#

Passcode-geschütztes 4S iPhone zurücksetzen

Ich habe den Passcode meines 4S iPhones vergessen. Der Versuch, es über iTunes wiederherzustellen, scheiterte, weil es mit „Find My iPhone“ verknüpft ist. Diese Verbindung lässt sich aber nur am iPhone selbst wieder lösen. Gibt es auch einen anderen Weg, das iPhone in den Ursprungszustand zu versetzen?

Das geht im Wartungsmodus (DFU). Dafür brauchen sie die Zugangsdaten zum verknüpften iCloud-Account und die aktuelle Firmware Ihres iPhones. Den Speicherort der Firmware-Datei zeigt Ihnen iTunes an, indem Sie in der Geräte-Übersicht mit gedrückter Alt-Taste auf „Nach Update Suchen“ klicken, wozu das iPhone am Rechner angeschlossen sein muss.

Fehlt die Firmware, können Sie diese aus dem Internet nachladen. Nun halten Sie Home- und Hauptschalter des iPhones gleichzeitig gedrückt. Lassen Sie den Letzteren los, sobald das Display erlischt. iTunes meldet sich, sobald sich das iPhone im Wartungszustand befindet. Klicken Sie dann bei gedrückter Alt-Taste auf „iPhone wiederherstellen“, um den Dateipfad zur Firmware anzugeben. Anschließend spielt iTunes das iOS neu auf.

Bei der Einrichtung müssen Sie einmalig die Zugangsdaten zu dem iCloud-Account angeben, mit dem das Gerät über Find My iPhone verknüpft ist. Anschließend lässt es sich mit einem beliebigen anderen iCloud-Account verknüpfen.

Quelle: http://www.heise.de

554 5.7.1 Service unavailable blocked using zen.spamhaus.org

Alles fing mit einem Restore von Plesk bei STRATO an. Danach konnten keine eMails mehr zugestellt und versendet werden. Die folgende Fehlermeldung wurde beim Versenden ausgegeben:

Fehler: 554 5.7.1 Service unavailable; Client host [123.456.789.012] blocked using zen.spamhaus.org; http://www.spamhaus.org/query/bl?ip=123.456.789.012

Grund: zen.spamhaus.org darf nicht zusammen mit anderen spamhaus.org DNSBL in der IP Blocklist Konfiguration genutzt werden. Nach der Korrektur (Entfernung von zen.spamhaus.org) in der Konfigurationsdatei von Postfix /etc/postfix/main.cf war der Mailversand zwar noch nicht funktionsfähig , aber die Fehlermeldung behoben.

Es folgten weitere Folgefehler in der Log-Datei: /var/log/mail.warn

Aug 13 01:32:08 h2318900 postfix/trivial-rewrite[14734]: warning: hash:/var/spool/postfix/plesk/transport lookup error for „00000147cc52f46a-60aa1c43-cf37-40d0-a570-411cc9fed61a-000000@amazonses.com“

451 Temporary lookup failure

postfix/smtpd[16432]: error: open database /var/spool/postfix/plesk/blacklists.db: Invalid argument

Ausschlaggebend war die letzte Fehlermeldung. Hierzu stellte Parallels/Plesk die Lösung bereit:
/usr/local/psa/admin/sbin/mailmng –stop-service
mv /var/spool/postfix/plesk/poplock.db /var/spool/postfix/plesk/poplock.db_
/usr/local/psa/admin/sbin/mchk –with-spam
/usr/local/psa/admin/sbin/mailmng –start-service

und:
/usr/local/psa/admin/sbin/mailmng –stop-service
 mv /var/spool/postfix/plesk /var/spool/postfix/plesk.backup
 /usr/local/psa/admin/sbin/mchk –with-spam
/usr/local/psa/admin/sbin/mailmng –start-service

Die Meldung: ==> Checking for: mail_drweb_restore… not found, skipped
konnte vernachlässigt werden, da nicht installiert.

Und siehe da, die eMails kamen und konnten wieder verschickt werden.

Bezug neuer Räume ab 01.11.2014

Ab 01.11.2014 beziehen wir neue Geschäftsräume. Unsere Server ziehen in ein besonders umweltfreundliches und zugleich hochmodernes Rechenzentrum mit einem gut durchdachtem Sicherheits- und Redundanzkonzept um.

Um diesen Zeitraum herum kann es vereinzelnd zu kurzen Ausfällen kommen, die wir aber rechtzeitig bekanntgeben. Wir sind bestrebt diese Ausfälle so kurz wir möglich zu halten.

Privater Schlüssel passt nicht zum SSL-Zertifikat

Geben Sie an der Bash mit dem command openssl das Zertifikat, den privaten key und die Zertifizierungsanforderung ein:

openssl x509 -noout -modulus -in dateiname.crt | openssl md5
openssl rsa -noout -modulus -in dateiname.key | openssl md5
openssl req -noout -modulus -in dateiname.csr | openssl md5

Alle drei Prüfsummen sollten gleich lauten, weicht eine der Prüfsummen ab, passt der jeweilige Bestandteil nicht zu den anderen. Hier ist dann auch der Fehler zu suchen. Sollte nur das Zertifikat nicht passen, muss geprüft werden, ob es sich bei der Zertifizierungsanforderung um diese Zertifizierungsanforderung handelt, die generiert wurde (.csr Datei).

Gilt für Confixx!

Zeitquelle für Windows Server 2008 R2/DC

Über die  Kommandozeile mit Administratorrechten sind folgende Befehle hintereinander einzugeben:

net stop w32time (den Zeitdienst anhalten)
w32tm /config /syncfromflags:manual /manualpeerlist:“ptbtime1.ptb.de, ptbtime2.ptb.de“ (Konfiguration der Zeitsourcen)
w32tm /config /reliable:yes (lokalen Server als zuverlässige Zeitquelle für die Clients deklarieren)
net start w32time (Zeitdienst neu zu starten)

Jetzt sollte die Zeitsynchronisation funktionieren.

MySQL und root Passwort vergessen

MYSQL root Passwort unter OpenSUSE 11.4 vergessen?

1.) Zunächst halten wir den Dienst an: /etc/init.d/mysql stop

2.) Dann starten wir mit dem Befehl /usr/bin/mysqld_safe den abgesicherten Modus (achten Sie auf die absolute Pfadangabe):

3.) Öffnen Sie mit ALT + F2  eine neue virtuelle Konsole und melden sich als Benutzer root an.

4.) Loggen Sie sich als Benutzer root ohne Passwort an der MySQL Shell an:

5.) Wechseln Sie die Datenbank „mysql“ und ändern das Passwort für root:Geben Sie in das leere Feld das neue Passwort ein.

6. Beenden Sie die 2. virtuelle Konsole und starten Sie den MySQL Dienst in der ersten virtuellen Konsole neu. Ideal wäre natürlich ein Neustart des Servers (ist aber oft in den meisten Fällen nicht möglich).

AD Papierkorb

AD Papierkorb mit Windows 2008 R2 nutzen

Leider sind beim Verwenden des AD Papierkorbs einige Bedingungen im Vorfeld zu berücksichtigen:
– das Betriebssystem muss auf allen DCs Windows 2008 R2 sein
– die Gesamtstrukturvertrauensstellung muss Windows 2008 R2 sein
– im default Zustand ist der AD Papierkorb deaktiviert, muss zuvor aktiviert werden und
und diese Aktion kann auch nicht mehr rückgängig gemacht werden.

Alle anderen Betriebssystemvarianten müssen den altbewährten Weg über Systemstatus  Rücksicherung – Verzeichniswiederherstellung – ntdsutil – authoritative Wiederherstellung gehen.

Erfüllen wir alle Bedingungen oben, können wir mit dem Aktivieren des AD Papierkorbs beginnen:

Wir starten die Powershell

und müssen zuvor das Modul „activedirectory“ importieren:

Jetzt aktivieren wir den AD Papierkorb:

PS AD:\> Enable-ADOptionalFeature „Recycle Bin Feature“ -Scope „ForestOrConfigurationSet“ -Target „england.local“ -server „london.england.local“
und beantworten die Frage mit „J“.

Testen wir nun den aktivierten AD Papierkorb, in dem wir ein Benutzerobjekt anlegen, löschen und wiederherstellen.
Erstellen wir ein Benutzerobjekt und wechseln zunächst in das Modul AD

und legen das Benutzerkonto an:

PS AD:\> New-ADUser -name „Muster Mustermann“ -SamAccountName „mMustermann“ -GivenName „Mustermann“ -Surname „Muster“ -DisplayName „Muster Mustermann“ -Path „CN=Users,DC=england,DC=local“

Nun löschen wir über das Snap-In dsa.msc das soeben erstellte Benutzerkonto mMustermann

um es dann wieder aus dem AD Papierkorb wieder herzustellen. Aber zunächst fragen wir nach gelöschten Objekten und erhalten folgende Ausgabe:

PS AD:\> Get-ADObject -Filter { sAMAccountName -like „*Muster*“ } -IncludeDeletedObjects

Jetzt stellen wir wieder in einem Schritt das Benutzerobjekt mMustermann wieder her:
PS AD:\> Get-ADObject -Filter { sAMAccountName -like „*Muster*“ } -IncludeDeletedObjects | Restore-ADObject

Nun sollte Ihr Benutzerobjekt wieder im dsa.msc Snap-In zu sehen sein.

Problem: Gesamtstrukturfunktionsebene wurde auf W2K8 herusfgestuft, jedoch ist das Aktivieren des Papierkorbs nicht möglich (wird im domain.msc korrekt angezeigt).

Lösung: Set-ADForestMode –Identity england.local -ForestMode Windows2008R2Forest

OpenSUSE bootsplash ändern

Wie kann man unter OpenSUE 11.1 die Auflösung des Bootbildschirms (bootsplash) GRUB1 ändern?

1.) Tarball file ‚bootsplash-slackware.tar‘ (nur ein Beipsiel) herunterladen und mit dem Befehl: ‚tar -xzvf bootsplash-slackware.tar -C /etc/bootsplash/themes/slackware‘ an diese Stelle entpacken.

2.) Achten Sie darauf, dass folgende ähnliche Struktur vorhanden ist:
/etc/bootsplash/themes/slackware/
/etc/bootsplash/themes/slackware/config/*.cfg (Pfade in der Konfigurationsdatei überprüfen)
/etc/bootsplash/themes/slackware/images/*.jpg

Wichtig: Die Farbtiefe 16 des jpg Bildes muss mit dem vga=0x317 (1024x768x16) im Einklang stehen.

3.) Folgende Datei ‚/etc/sysconfig/bootsplash‘ anpassen:
# SPLASH=no to disable the splash screen
#
# SPLASH=yes to show the splash screen
#
SPLASH=“yes“
## Path:        System/Boot
## Description: selects bootsplash graphics theme
## Type:        string
## Default:     „“
#
# Bootsplash theme. Should be based in /etc/bootsplash/themes/.
#
THEME=“slackware“

4.) Mit Benutzer ‚root‘ Rechten –> ‚/sbin/mkinitrd‘ eingeben und starten.

5.) Überprüfe den Menüpunkt: Bootsplash. Hier muss slackware stehen und die möglichen Auflösungen!
Kernel image:   /boot/vmlinuz-2.6.27.7-9-pae
Initrd image:   /boot/initrd-2.6.27.7-9-pae
Root device:    /dev/sda3 (mounted on / as ext3)
Resume device:  /dev/sda2
Kernel Modules: hwmon thermal_sys processor thermal dock scsi_mod libata ata_piix  scsi_transport_spi mptbase mptscsih mptspi ata_generic ide-core piix ide-pci-generic fan jbd mbcache ext3 edd crc-t10dif sd_mod usbcore ohci-hcd uhci-hcd ehci-hcd ff-memless hid usbhidFeatures:      
block usb resume.userspace resume.kernel
Bootsplash:     slackware (1024×768)disabled for resolution 1152×864
23472 blocks

6.) Zuletzt müssen Sie noch die ‚/boot/grub/menu.lst‘ anpassen:

title COFO openSUSE 11.1 – 2.6.27.7-9
root (hd0,0)
kernel /vmlinuz-2.6.27.7-9-pae root=/dev/sda3 resume=/dev/sda2 vga=0x317 splash=verbose showopts
initrd /initrd-2.6.27.7-9-pae

7.) Führen Sie nun einen ‚reboot‘ aus und dem neuen Splashscreen steht nichts mehr im wege …

Letzter Hinweis:
splash=silent -> Dieser Parameter schaltet den Bootscreen in den „silent mode“.
splash=verbose -> Dieser Parameter steht für den verbose Mode.
splash=0 -> Dieser Parameter schaltet den Bootsplash ab.