Ich hatte bereits früher schon berichtet, wie man OMD auf ein Ubuntu-System installiert. Grundlage war dabei Oneiric Oncelot.

Nun habe ich ein Betriebssystem-Upgrade durchgeführt, wodurch das mit gdebi installierte Paket deinstalliert wurde:

$ more /var/log/dpkg.log.1 | grep omd
2012-04-26 15:28:54 status installed omd-0.52 0.oneiric
<strong>2012-04-26 15:28:54 remove omd-0.52 0.oneiric </strong>
2012-04-26 15:28:54 status half-configured omd-0.52 0.oneiric
2012-04-26 15:29:07 status half-installed omd-0.52 0.oneiric
2012-04-26 15:29:10 status half-installed omd-0.52 0.oneiric
2012-04-26 15:29:10 status half-installed omd-0.52 0.oneiric
2012-04-26 15:29:16 status config-files omd-0.52 0.oneiric
2012-04-26 15:29:16 status config-files omd-0.52 0.oneiric
$ sudo dpkg-reconfigure omd-0.52
/usr/sbin/dpkg-reconfigure: omd-0.52 ist kaputt oder nicht komplett installiert

Ursache wird sein, dass dem Paket gewisse Abhängigkeiten mitgegeben wurden, die nun vor allem in den Versionen nicht mehr erfüllbar sind.

Leider findet man auf http://omdistro.org keine Pakete zur aktuellen Ubuntu-Version. Probiert man einen Download aus dem GIT, wird man gewarnt:

$ git clone http://git.mathias-kettner.de/omd.git/
Cloning into 'omd'...
$ cd omd
$ ./configure 
You are running on UBUNTU_12.04.
This distribution is not supported. You might succeed anyway.
Good luck!

Daher: Bitte kein Upgrade von Oneiric nach Precise durchführen, wenn ihr OMD installiert habt. Sollte jemand Infos haben, wie man dennoch updaten kann, wäre ich über einen Kommentar erfreut. Ich werde den Artikel aktualisieren, wenn man OMD auf Precise laufen lassen kann.

Verwandte Posts:

• Check_MK-Agent für Ubuntu installieren
• OMD: Site auf anderen Server kopieren
• Eigene DNS-Zone mit BIND
• Private Cloud-Dienste
• KVM beschleunigen

Radio-Sender verzichten auf gut gepflegte Online-Auftritte und pflegen ihre Hörerschaft per Facebook. Bierhersteller bieten Gewinnspiele nur noch über Facebook an:

Jetzt bei Facebook anmelden, Freund werden und gewinnen!

Nun rief mich ein Kumpel an, dass er sich nicht mehr bei Facebook anmelden könne. Um seinen PC auszuschließen bat er mich vertrauensvoll es auch mal zu probieren. Nach dem Login erscheint: “Bitte nimm dir einen Moment Zeit, um dein Facebook-Konto zu sichern”. Befolgt man die Schritte (sein Geburtstag kenne ich ja…, Passwort wurde auch geändert) erscheint eine Abschlussmeldung und eine Weiterleitung zur Startseite mit dem Login-Feld. Und danach? Das selbe wieder; eine Facebook-Schleife. Das ganze Ding heißt wohl ROADBLOCK.

Weiter hieß es:
“Es gab kürzlich einen Sicherheitszwischenfall auf einer anderen Webseite, die nicht mit Facebook in Zusammenhang steht. Facebook war von diesem Zwischenfall nicht direkt betroffen, aber dein Facebook-Konto könnte gefährdet sein, falls du dasselbe Passwort an beiden Stellen benutzt.
Als Sicherheitsmaßnahme, werden wir mit dir einige Schritte durchlaufen, um dein Konto zu sichern. Es wird nur einige Minuten dauern.
Zunächst werden wir dir einige Sicherheitsfragen stellen, um zu bestätigen, dass dir dieses Konto gehört. (Sollten wir deinen Computer erkennen, kannst du diesen Schritt überspringen.)”

Um ihn beruhigen zu können, habe ich mal danach recherchiert. Mir sind fast die Augen rausgefallen, was ich da in manchen Foren gelesen habe…

Fakt ist, dass dieses Problem seit Samstag Vormittag (28.04.2012) anfing und Stück für Stück weitere Nutzer ergriffen hat.

In den deutschen Foren habe ich u.a. Forderungen nach rechtlichen Schritten gegen Facebook, hysterische Wutanfälle wegen dem verhinderten Login, Jammern wegen gewerblich notwendigen sozialen Engagements und Forderungen nach “meinen Daten” gelesen.

Absolute Abhängigkeit

Mal ehrlich, wenn Facebook einfach dicht macht, dann hat man so gut wie keine Handhabe. Die Seite heißt nicht Facebook.de – man nutzt eine Social Platform, die rechtlich nicht mal auf unserem Kontinent liegt.

Ich verstehe nicht, wie Firmen ihr gesamtes Marketing einzig und allein auf Facebook konzentrieren können. Das Argument, dass per Facebook enorm viele Menschen, potentielle Kunden und Interessenten relativ einfach erreicht werden können, lasse ich gelten. Auch dem Argument, dass man dort Hinz und Kunz erreichen kann, stimme ich zu. Doch erreicht man Facebook – aus welchen Gründen auch immer – nicht mehr, vergisst man Geburtstage und verliert Leute aus den Augen.

Horrorszenarien

Eine Online-Firma baut sich eine ordentliche Community bei Facebook mit mehreren Tausend Freunden auf. Die Marketing-Machinerie läuft auf Hochtouren. Auf eine extra Website wurde verzichtet, da es zu viel Geld kostet. Weitere Social Networks werden nicht genutzt, da “sich keine anderen lohnen. Wäre doppelte Pflege, ähnlich wie eine Website”. Da stellt Facebook auf einmal fest, dass die Kommentare von “netten” Nutzern gegen die AGBs verstoßen und nach der 10. Abmahnung sperrte Facebook den Account unwideruflich – aus die Maus!

Noch lange bevor Facebook das allumfassende Medium war, beschlossen drei Freunde eine Seite für ein kleines Örtchen zu erschaffen, um mehr Leben, Touristen und Arbeitsplätze in die Stadt zu holen. Durch’s “liken” des witzigen, aber fiktiven Namens der fiktiven Stadt “Kleinstaat” (entstand, weil dem Geschichtsschreiber der Stadt beim “d” die Tinte ausging…), entstand ein gigantischer Hype. Die drei Freunde gründeten die Firma “Kleinstaat Portal GmbH” und kassierten Geld für Werbeflächen von Firmen, die sich dank des Facebook-Portals dort ansiedelten. Nun klagte die Stadt Kleinstaat den Account ein und bekam Recht…

Der lange Arm der Justiz

Das haben viele gar nicht mitbekommen: Im Februar 2012 wurde ein Facebook-Account von der deutschen Justiz beschlagnahmt, um die Nachrichten zu lesen.

Fazit

Bilder, Nachrichten und Kontakte – darauf hat man kaum einen Anspruch. Sich einzig und allein auf Facebook zu verlassen halte ich für fahrlässig. Außerdem ist man permanent einer gewissen geldmachenden Willkür ausgesetzt (siehe Timeline). Hierbei sei noch auf ein Chaosradio zum Thema dezentrales social networking hingewiesen – für alle, die denken, dass Facebook alternativlos ist.

Nutzt Facebook, soviel ihr wollt,
Macht euch aber nicht abhängig davon!

Verwandte Posts:

• Keine verwandten Posts…

Da es auch noch kostenlos ist, ist es sehr lukrativ für Vereine, Privatpersonen und kleine Unternehmen. Allerdings kommt doch nach der Installation sehr oft die Aktualität und die Sicherheit zu kurz.

Joomla! selbst wird relativ häufig aktualisiert, da die Community sehr groß ist, jedoch kann man das nicht für jede third-party Erweiterung sagen.

Daher stelle ich heute joomscan vor. Dieses Perl-Programm hat derzeit über 600 Schwachstellen gelistet, die es gegen die gewünschte Joomla!-Installation checkt. Bereits vor kurzem habe ich einen solchen Scanner für WordPress vorgestellt.

Denn: gibt es Schwachstellen im System kann das zu Angriffe gegen das CMS, gegen die Datenbank, gegen die Webserver-Software oder gegen das Betriebssystem selbst führen. (Auf einem schlecht konfigurierten Server ist per SQL-Injection ein Herunterfahren des Servers machbar.)

Joomscan ist Bestandteil der Sicherheitsdistribution Backtrack oder kann auf Sourceforge kostenfrei heruntergeladen werden.

Die Benutzung ist sehr einfach und erfordert keine besonderen Kenntnisse, um sich Sicherheitslücken in Joomla aufzulisten:

root@root:/pentest/web/scanners/joomscan# ./joomscan.pl -u http://www.example-domain.de/
 
 ..|''||   '|| '||'  '|'     |      .|'''.|  '||''|.
.|'    ||   '|. '|.  .'     |||     ||..  '   ||   ||
||      ||   ||  ||  |     |  ||     ''|||.   ||...|'
'|.     ||    ||| |||     .''''|.  .     '||  ||
 ''|...|'      |   |     .|.  .||. |'....|'  .||.     
 
=================================================================
OWASP Joomla! Vulnerability Scanner v0.0.4
(c) Aung Khant, aungkhant]at[yehg.net
YGN Ethical Hacker Group, Myanmar, http://yehg.net/lab
Update by: Web-Center, http://web-center.si (2011)
=================================================================
 
Vulnerability Entries: 623
Last update: April 4, 2012
 
## Checking if the target has deployed an Anti-Scanner measure
[!] Scanning Passed ..... OK 
 
## Detecting Joomla! based Firewall ...
[!] No known firewall detected!
 
## Fingerprinting in progress ...
~Unable to detect the version. Is it sure a Joomla?
## Fingerprinting done.
 
Vulnerabilities Discovered
==========================
 
[..]
# 2
Info -> Generic: Unprotected Administrator directory
Versions Affected: Any
Check: /administrator/
Exploit: The default /administrator directory is detected. Attackers can bruteforce administrator accounts. Read: http://yehg.net/lab/pr0js/view.php/MULTIPLE%20TRICKY%20WAYS%20TO%20PROTECT.pdf
Vulnerable? N/A
 
# 3
Info -> Core: Multiple XSS/CSRF Vulnerability
Versions Affected: 1.5.9 < =
Check: /?1.5.9-x
Exploit: A series of XSS and CSRF faults exist in the administrator application.  Affected administrator components include com_admin, com_media, com_search.  Both com_admin and com_search contain XSS vulnerabilities, and com_media contains 2 CSRF vulnerabilities.
Vulnerable? N/A
 
# 4
Info -> Core: JSession SSL Session Disclosure Vulnerability
Versions effected: Joomla! 1.5.8 < =
Check: /?1.5.8-x
Exploit: When running a site under SSL (the entire site is forced to be under ssl), Joomla! does not set the SSL flag on the cookie.  This can allow someone monitoring the network to find the cookie related to the session.
Vulnerable? N/A
 
# 5
Info -> Core: Frontend XSS Vulnerability
Versions effected: 1.5.10 < =
Check: /?1.5.10-x
Exploit: Some values were output from the database without being properly escaped.  Most strings in question were sourced from the administrator panel. Malicious normal admin can leverage it to gain access to super admin.
Vulnerable? N/A
 
[..]
 
# 8
Info -> Core: Authentication Bypass Vulnerability
Versions effected: Joomla! 1.5.3 < =
Check: /administrator/
Exploit: Backend accepts any password for custom Super Administrator when LDAP enabled
Vulnerable? N/A
 
[..]
 
# 13
Info -> CoreComponent: com_content SQL Injection Vulnerability
Version Affected: Joomla! 1.0.0 < =
Check: /components/com_content/
Exploit: /index.php?option=com_content&task=blogcategory&id=60&Itemid=99999+UNION+SELECT+1,concat(0x1e,username,0x3a,password,0x1e,0x3a,usertype,0x1e),3,4,5+FROM+jos_users+where+usertype=0x53757065722041646d696e6973747261746f72--
Vulnerable? No
 
[..]
 
# 16
Info -> CoreComponent: com_content Blind SQL Injection Vulnerability
Versions effected: Joomla! 1.5.0 RC3
Check: /components/com_content/
Exploit: /index.php?option=com_content&view=%' +'a'='a&id=25&Itemid=28
Vulnerable? No
 
[..]
 
# 24
Info -> CoreComponent: com_search Memory Comsumption DoS Vulnerability
Versions effected: Joomla! 1.5.0 Beta
Check: /components/com_search/
Exploit: N/A
Vulnerable? No
 
[..]
 
# 31
Info -> Component: Component com_newsfeeds SQL injection
Versions Affected: Any < =
Check: /index.php?option=com_newsfeeds&view=categories&feedid=-1%20union%20select%201,concat%28username,char%2858%29,password%29,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30%20from%20jos_users--
Exploit: /index.php?option=com_newsfeeds&view=categories&feedid=-1%20union%20select%201,concat%28username,char%2858%29,password%29,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30%20from%20jos_users--
Vulnerable? No
 
[..]
 
There is a vulnerable point in 33 found entries!
 
~[*] Time Taken: 20 min and 40 sec
~[*] Send bugs, suggestions, contributions to joomscan@yehg.net

Leider erkennt das Programm (noch) keine 2.5er Version von Joomla, eine 1.5er Version wurde mit Minor-Release korrekt erkannt.

Den Output habe ich für eine bessere Übersicht gekürzt. So werden Schwachstellen und mögliche Angriffsvektoren aufgelistet, auch wenn sich joomscan nicht ganz sicher ist. Lieber eine Schwachstelle zur viel als zu wenig vermuten. Dazu stellt der Output meist einen Check bereit, um beispielsweise eine SQL-Injection selbst zu testen (siehe Nummer 32).

Bei gemeldeten Schwachstellen sollte man alle Updates einspielen, ggf. Erweiterungen abschalten oder bei kritischen Anwendungen eine Web Application Firewall vorschalten.

Achtung:
Die Durchführung eines Scans gegen eine Webseite, deren Besitzer man nicht selbst ist oder deren Erlaubnis man nicht besitzt, fällt in den Geltungsbereich des §202c StGB.

Disclaimer:
Ich gebe diese Informationen nur zu Zwecken der Forschung, des Selbstschutzes, der Weiterbildung und aus Interesse an IT-Security weiter. Ich bin nicht verantwortlich, sollten Nutzer diese Informationen unrechtmäßig oder unethisch einsetzen.

Verwandte Posts:

• Sicherheit-Scanner für WordPress
• Joomla! von 1.5 nach 2.5 migrieren
• Vulnerable Target: Metasploitable
• WLAN-Sicherheit
• Umstellung von Joomla auf WordPress

Anmerkung: watcher01 ist der neue Server, alterServer ist der alte Server, vom dem die Site kopiert werden soll. Die Sitenamen sollten für die Migration erstmal identisch sein. Die kopierte Site kann hinterher mit dem Befehl sudo omd move [alterName] [neuerName] umbenannt werden.

Schritt 1: alte Site herunterfahren

OMD[xentity]:~$ omd stop

Schritt 2: neue Site anlegen

dennis@watcher01:~$ sudo omd create xentity

Schritt 3: Daten kopieren, warten und starten

dennis@watcher01:~$ sudo su xentity
OMD[xentity]:~$ scp -r root@alterServer:/omd/sites/xentity/* .
# Kaffee trinken
OMD[xentity]:~$ omd start

Troubleshoot

Doch Achtung, wechselt ihr die Prozessorarchitektur (32bit zu 64bit oder andersrum), dann haben die rrdtools damit ein Problem. Ich musste meine RRAs wegwerfen, da die neue VM auf meinem N40L MicroServer 64bittig ist:

OMD[xentity]:~$ cd var/pnp4nagios/perfdata/
OMD[xentity]:~/var/pnp4nagios/perfdata$ rm -rf ./*

Danach hat PNP4Nagios wieder Graphen gemalt, jedoch ohne die alten Daten.

Verwandte Posts:

• Mit WATO Hosts einpflegen
• OMD: Nagios ganz einfach
• OMD: Benutzermanagement
• Check_MK-Agent für Ubuntu installieren
• Check_MK Konfiguration

qTranslation

Dieses Plugin hat mich von der Einfachheit überzeugt. Dort, wo man zwischen Visuell und HTML wechseln kann, werden dann auch noch die Sprachen aufgelistet. Der Titel erscheint auch mehrfach, für jede Sprache einmal. Super, keine Sprach-Tags im Artikel.

Nachdem ich den ersten Artikel ordentlich übersetzt und gespeichert hatte, war alles in Ordnung. Beim Editieren fingen die Probleme an: alles, was vor dem “more”-Tag stand, war weg. In der englischen Übersetzung war auf einmal der deutsche Text. In Internetforen fand ich diese und weitere dieser Fehler, aber keine wirkliche Lösung.

Weiterhin werden die Kommentare nicht nach der Sprache sortiert.

Hinter dem Plugin steht nur ein Entwickler, das Tempo ist langsam, der Support ist nicht gut. Schade, das Plugin ist definitiv nicht für den produktiven Einsatz geeignet, es drohen Artikel überschrieben zu werden, die getrennten Kommentare wären ein “nice to have”.

WPML

Hinter WMPL dagegen steht eine Firma, Support gibt es in mehreren Sprachen, jedoch wollen sie jährlich 29 USD (derzeit 22 Euro). Das Plugin scheint sehr gut zu sein, jedoch wirft meine Werbung nicht mal annähernd Serverkosten + WPML ab. Wären die Gebühren einmalig oder bei 5 Euro im Jahr, hätte ich mich aus Neugier durchgerungen, aber nicht jedes Jahr knapp 30 USD!

Früher war WPML mal kostenlos, das habe ich verpasst. Mich wundert es jedoch, dass niemand das Projekt ernsthaft geforkt hat.

Workaround: extra Site im Unterverzeichnis

Beispiel: man hat seinen Blog unter /var/www/wordpress/ und das entspricht auch der ServerRoot (vom Webserver), dann könnte man unter /var/www/wordpress/en/ noch eine weitere WordPress-Installation ablegen, Plugins und Templates abgleichen, die englischen Artikel unter der zweiten Installation veröffentlichen und die Artikel miteinander hart verlinken.

Nachteil: doppelte WordPress-Pflege, kein echter Multi Language Support, Dirty-Variante.

Fazit

Bin enttäuscht, dass WordPress das noch nicht out-of-the-box unterstützt, dabei ist die Software Quasi-Standard im Blogging-Bereich. Wenn schon WordPress das nicht kann, warum gibt es nicht ein quelloffenes Plugin unter (L)GPL, das das zuverlässig hinbekommt.

Die Wahl zwischen qTranslate und WPML scheint ein Weg vom Regen in die Traufe. Das ist auch bei MaD’s Blog zwischen den Zeilen zu lesen. Der WPMayor.com vergleicht beide Plugins miteinander. Ein anderer Leidgeplagter ist die Familie deyneko.

Ich werde wohl oder übel die letzte Variante in Angriff nehmen, die geplante Ausweitung auf die englische Sprache aber erst einmal aussetzen.

Verwandte Posts:

• Sicherheit-Scanner für WordPress
• Joomla! von 1.5 nach 2.5 migrieren
• Umstellung von Joomla auf WordPress

LTS-Versionen haben in der Regel den Charakter, dass sie nichts großartig verändern, sondern stattdessen lieber auf Funktionalität und Stabilität setzen. Dadurch werden sie gerne auf Server-Systemen eingesetzt, um nicht alle 6 Monate upgraden zu müssen. So ist das nur alle 2 Jahre notwendig.

Dennoch ist das nicht nur ein Pflege-Release, sondern mit einigen Änderungen bespickt. Ich habe auf meinem VM-Server die zweite Beta zum Testen installiert.

Ich muss hier mal eine Lanze brechen…

Ubuntu besteht aus vielen Tausend Paketen, Programmen und einer tollen Community. Nur wegen einem einzigen Meta-Paket, dass Unity genannt wird, kehren die Leute Ubuntu den Rücken. Unity ist meiner Meinung nach der richtige Weg, Canonical versucht einen Desktop zu entwickeln, der auf Netbooks, PCs, Smartphones und Fernseher gleichermaßen funktioniert. Es wäre aberwitzig, für jede Geräteklasse einen eigenen Desktop zu entwickeln. Statt zu meckern fände ich es wesentlich besser, wenn die Kritiker sich aktiv am Gestaltungsprozess beteiligen würden.

Verpasst Ubuntu diesen Schritt, wird es ewig ein Nischenprodukt bleiben und es wird für Programmierer nicht attraktiver, gute Programme dafür zu entwickeln.

Ich habe zwei Personen, die zuvor noch nie mit PCs gearbeitet haben, Ubuntu-PCs hingestellt und sie kamen intuitiv mit der Unity-Oberfläche zurecht. Die beiden Frauen sind 45 und 75! Es ist doch eher Meckern auf hohen Niveau, wenn jemand behauptet, dass man nichts mehr findet oder ineffektiv wird – da will jemand nur aus Prinzip dagegen wettern!

Ubuntu Desktop

Nervigerweise wurde Banshee wieder durch Rhythmbox als Musikplayer ersetzt. Rhythmbox gefiel mir schon immer besser, habe mich jetzt endlich mit Banshee angefreundet. Handfeste Gründe kann ich nicht nennen, Musik spielen sie schließlich beide ab und meine Podcasts laden sie auch runter.
Sehr toll finde ich die Privatsphäre-Einstellungen: Auf Wunsch veranlasse ich Ubuntu sämtliche Logs der letzten 30 Minuten, zwischen verschiedenen Daten oder komplett alles zu löschen oder einfach gar keine Logs mehr zu sammeln.
Unity kann man nun konfigurieren, in dem man die verschiedenen Punkte in den Systemeinstellungen bearbeitet, z.B. die Icon-Größe im Starter.

Neu ist die veränderte Startbildschirm vom Dashboard sowie ein HUD, ein Head-Up Display. Drückt man in einer Anwendung die Alt-Taste, kann man im HUD sagen, was man machen möchte. Das soll die Sucherei im Menü unnötig machen.

Besitzt der PC keine 3D-fähige Grafikkarte wird Unity im 2D-Modus ausgeführt. Im Gegensatz zu früheren Versionen erkennt man kaum noch Unterschiede zwischen beiden Modi.

Mit neuen Versionen werden Firefox, Thunderbird (je Version 11) und LibreOffice (Version 3.5.2) ausgeliefert.

Ubuntu Server

Wie bereits berichtet ist in dieser Version ownCloud Version 3 in den Repositorys enthalten. Da eigentlich “nichts” out of the box bei Ubuntu Server enthalten ist, folgen weitere Versionsinfos von Standardpaketen:

• Apache2 (v2.2.22)
• MySQL (v5.5.22)
• PHP5 (v5.3.10)
• Samba4 (v4.0.0~alpha18)
• Postfix (v2.9.1)
• Nagios3 (v3.2.3)

Weiterführende Informationen

Auf OMG! Ubuntu findet man weitere Infos zu den GUI-Veränderungen inkl. Screenshots. be-jo.net beschreibt ebenfalls sehr gut, was zu erwarten ist.

Verwandte Posts:

• Keine verwandten Posts…

Im Falle von Sicherheitslücken und Defacements wird der Inhalt verändert, so dass finanzieller Verlust (Website ist nicht errreichbar) oder rechtliche Konsequenzen (Einfügen von strafrechtlichen Inhalten) die Folge sein können. Weiterhin wäre Vertrauens- und Datenverlust möglich. Und natürlich den zeitlichen Aufwand eines Rollback, sofern Backups vorhanden sind.

WordPress selbst bietet einen Update-Service an, im Dashboard werden fällige Updates angezeigt und können per Klick installiert werden. Um sich zu überzeugen, dass der Blog auch wirklich sicher ist, kann man verschiedene Tools nutzen:

wpscan

In der Sicherheitsdistribution Backtrack ist wpscan bereits installiert, für alle anderen findet sich hier eine Anleitung für wpscan unter Ubuntu.

Die Nutzung ist sehr einfach. Es folgt eine exemplarische Ausgabe.

root@root:/pentest/web/wpscan# ruby wpscan.rb --url www.domain.de --enumerate p
____________________________________________________
 __          _______   _____                  
 \ \        / /  __ \ / ____|                 
  \ \  /\  / /| |__) | (___   ___  __ _ _ __  
   \ \/  \/ / |  ___/ \___ \ / __|/ _` | '_ \ 
    \  /\  /  | |     ____) | (__| (_| | | | |
     \/  \/   |_|    |_____/ \___|\__,_|_| |_| v1.1
 
  WordPress Security Scanner by ethicalhack3r.co.uk
 Sponsored by the RandomStorm Open Source Initiative
_____________________________________________________
 
| URL: http://www.domain.de/
| Started on Mon Apr  9 20:52:05 2012
 
[!] The WordPress theme in use is called "standard".
[!] The WordPress "http://www.domain.de/readme.html" file exists.
[!] WordPress version 3.3.1 identified from meta generator.
 
[+] Enumerating installed plugins...
 
Checking for 2394 total plugins... 100% complete.
 
[+] We found 3 plugins:
 
Name: add-to-any
Location: http://www.domain.de/wp-content/plugins/add-to-any/
Directory listing enabled? No.
 
Name: wp-syntax
Location: http://www.domain.de/wp-content/plugins/wp-syntax/
Directory listing enabled? No.
 
Name: easy-adsense-lite
Location: http://www.domain.de/wp-content/plugins/easy-adsense-lite/
Directory listing enabled? No.
 
[+] There were 1 vulnerabilities identified from the plugin names:
 
[!] ["Wordpress Plugin WP-Syntax

whatweb

Das Tool names whatweb analysiert sehr flott eine URL. Es ist ebenfalls bereits in Backtrack enthalten. Es sammelt Infos über die PHP-Version, den Webserver, versucht die CMS/Blog-Anwendung inkl. Version zu erraten. Erstaunlich, wie gesprächlich die Anwendungen sind… bspw. ein Test-Joomla von mir:

root@root:/pentest/enumeration/web/whatweb# ./whatweb 192.168.200.50/joomla
http://192.168.200.50 [301] RedirectLocation[http://192.168.200.50/joomla/], IP[192.168.200.50], Apache[2.2.20], Title[301 Moved Permanently], HTTPServer[Ubuntu Linux][Apache/2.2.20 (Ubuntu)], Country[RESERVED][ZZ]
http://192.168.200.50/joomla/ [200] MetaGenerator[Joomla! 1.5 - Open Source Content Management], X-Powered-By[PHP/5.3.6-13ubuntu3.6], probably Mambo[com_content,com_user], Joomla[1.5][com_content,com_user], IP[192.168.200.50], PHP[5.3.6-13ubuntu3.6], Apache[2.2.20], HTML5, Title[joomla.xentity.de], HTTPServer[Ubuntu Linux][Apache/2.2.20 (Ubuntu)], Cookies[a60c4baf0d7efb822c99becb26c22778], Country[RESERVED][ZZ]

Fazit

Nun hat man die Möglichkeit, die Schwachstellen zu prüfen, ggf. die Plugins temporär abzuschalten oder Updates durchzuführen.

Achtung:
Die Durchführung eines Scans gegen eine Webseite, deren Besitzer man nicht selbst ist oder deren Erlaubnis man nicht besitzt, fällt in den Geltungsbereich des §202c StGB.

Disclaimer:
Ich gebe diese Informationen nur zu Zwecken der Forschung, des Selbstschutzes, der Weiterbildung und aus Interesse an IT-Security weiter. Ich bin nicht verantwortlich, sollten Nutzer diese Informationen unrechtmäßig oder unethisch einsetzen.

Verwandte Posts:

• Schwachstellen-Scanner für Joomla
• WordPress: Multi Language Support
• Joomla! von 1.5 nach 2.5 migrieren
• Vulnerable Target: Metasploitable
• WLAN-Sicherheit

Die Server werden dann Namen wie mail01.xentity.lan, web01.xentity.lan oder dc01.xentity.lan haben, d.h. es sind keine weiteren Zonen unterhalb von xentity.lan geplant.

Ich erkläre nun kompakt, wie das bewerkstelligt werden kann…

Ausgangslage ist ein frisch installierter Ubuntu Server 11.10 (Oneric). DNS ist bei mir ein Bestandteil des Domain Controllers. Zuerst muss BIND installiert werden:

sudo aptitude install bind9

Forwarder oder “Ich hab keine Ahnung – frag den da!”

In der Regel wird bei der Installation von Ubuntu Server in der Datei /etc/resolv.conf der Nameserver eingetragen. Bei Heiminstallationen ist das meist der Router. Diese IP benötigen wir nun, da in der Datei /etc/bind/named.conf.local erstmal ein Forwarder eingetragen werden muss, sprich die IP, die der DNS fragen muss, wenn er selbst keine Antwort auf die DNS Query kennt:

[...]
forwarders {
192.168.100.1;
8.8.8.8;
};
[...]

Auf dem Heimrouter läuft auch kein DNS-Server, sondern ein Forwarder oder DNS-Proxy, der bei jeder PPPoE-Einwahl die DNS-Server des Providers in seine Forwarders-Datei einträgt.

Nach einen Neustart des Dienstes (sudo service bind9 restart) kann man auf seinem PC in der Datei /etc/resolv.conf und /etc/network/interfaces den Nameserver auf die IP des DNS-Servers umstellen, das Surfen im Internet sollte nach wie vor funktionieren, es ist lediglich ein weiterer DNS-Server in der Kommunikation, der alle Anfragen an den zuvor eingestellten Dienst leitet. Klappt die DNS-Auflösung Richtung Internet nicht, muss nachgebessert werden. Die Datei /etc/resolv.conf sollte nun folgendermaßen aussehen:

domain xentity.lan
search xentity.lan
nameserver 192.168.200.101
nameserver 192.168.100.1
nameserver 8.8.8.8
nameserver 8.8.4.4

Die zweite Zeile hängt an Hosts wie mail01 noch die Domain xentity.lan ran. Man kann daher eine SSH-Verbindung zu mail01 oder zu mail01.xentity.lan aufbauen, der Ziel-Host ist der selbe. Der Primäre Nameserver ist der DC, der zweite ist der Router ins Internet, so dass die Internet-Auflösung funktioniert, wenn der DC/DNS-Server down ist.

Zonenmaster

Nun erklären wir uns als Master einer neuen Zone, ein Eintrag in der Datei /etc/bind/named.conf.local sieht dann folgendermaßen aus:

[...]
zone "xentity.lan" {
type master;
file "/etc/bind/db.xentity.lan";
};
[...]

Für die eigene Zone sollte sowohl die erste als auch die dritte Zeile entsprechend angepasst werden, wobei der Zonenname in der Datei nur eine Konvention ist, um die Ordnung zu behalten.

Zonendatei

Nun fehlen eigentlich nur noch die “echten” DNS-Einträge, diese werden dann in der oben referenzierten Datei angegeben, bei mir wäre das /etc/bin/db.xentity.lan:

;
; BIND data file for zone xentity.lan
;
$TTL 604800
@ IN SOA dc01. dc01.xentity.lan. (
2 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS dc01 ;Name Server
@ IN MX 10 mail01 ;Primary Mail Exchanger
[...]
virt01 IN A 192.168.100.50 ; Virtualisierungserver
watcher01 IN A 192.168.100.60 ; Monitoring-Server
web01 IN A 192.168.100.61 ; Webserver
[...]
mail01 IN A 192.168.200.70 ; Mail-Server
dc01 IN A 192.168.200.101 ; Domain Controller
[...]

So, geschafft. Noch einmal den Dienst neustarten (sudo service bind9 restart) und der DNS-Server kann genutzt werden, bspw.:

PC “laptop1″, Nameserver 192.168.200.101, Search Domain xentity.lan :

$ nslookup web01
Server: 192.168.200.101
Address: 192.168.200.101#53
 
Name: web01.xentity.lan
Address: 192.168.100.61
 
$ dig xentity.lan mx
 
; <<>> DiG 9.7.3 <<>> xentity.lan mx
;; global options: +cmd
;; Got answer:
;; ->>HEADER< ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2
 
;; QUESTION SECTION:
;xentity.lan. IN MX
 
;; ANSWER SECTION:
xentity.lan. 604800 IN MX 10 mail01.xentity.lan.
 
;; AUTHORITY SECTION:
xentity.lan. 604800 IN NS dc01.xentity.lan.
 
;; ADDITIONAL SECTION:
mail01.xentity.lan. 604800 IN A 192.168.200.70
dc01.xentity.lan. 604800 IN A 192.168.200.101
 
;; Query time: 1 msec
;; SERVER: 192.168.200.101#53(192.168.200.101)
;; WHEN: Thu Mar 29 00:42:42 2012
;; MSG SIZE rcvd: 103

Der erste Abschnitt zeigt eine einfache Namensauflösung eines Hostnames, der zweite Befehl fragt, wer für die Domain xentity.lan die E-Mails annimmt, falls man an info@xentity.lan, postmaster@xentity.lan oder admin@xentity.lan eine E-Mail versenden möchte, jedoch klappt das nur innerhalb des lokalen DNS, da es im Internet-DNS die TLD .lan nicht gibt. Somit kann man aus Namen IP ermitteln.

Reverse Queries oder “Rolle rückwärts”

Spätestens wenn man einen Mailserver gewissenhaft konfiguriert kommt die Frage nach einer Rückwärtsauflösung auf. Jemand behauptet, er wäre mail12.example.com und wolle eine Mail absetzen. Der eigene Mailserver schaut nun, ob der Hostname mit IP-Adresse vorwärts und rückwärts plausibel erscheint. Oder man bekommt einen SNMP-Trap von der IP 10.68.28.17 und das Monitoring-System weiß nun nicht, welcher Switch den Trap abgesandt hat.

[...]
;; Zusaetzlicher Eintrag in der /etc/bind/named.conf.local
zone "200.168.192.in-addr.arpa" {
        type master;
        notify no;
        file "/etc/bind/db.192.168";
};

Beim Reverse Lookup wird die IP umgedreht und in-addr.arpa drangehangen, dann den DNS-Server gefragt, was er zu diesem Hostname zu sagen hat. So wird aus der Frage, wer sich hinter 10.20.30.40 verbirgt: 40.30.20.10.in-addr.arpa . Nun folgt die Definition der Reverse Zone-Datei. Wichtig sind die Punkte hinter der TLD. Vergisst man die, klappt die Auflösung nicht. Der Punkt ist die Wurzel des ganzen DNS’. (Der Punkt gehört da eigentlich immer hin, jedoch kann er auch weggelassen werden. So gibt es im Browser keinen Fehler, wenn man http://www.google.de. ansurft, es ist sogar die korrekte Form.)

;
; BIND reverse data file for 168.192.in-addr.arpa
;
$TTL    604800
@      IN      SOA     dc01.xentity.lan. dennis.xentity.lan. (
                          1         ; Serial
                          3h       ; Refresh after 3 hours
                          1h       ; Retry after 1 hour
                          1w       ; Expire after 1 week
                          1h )     ; Negative caching TTL of 1 day

	NS	dc01.xentity.lan.
61	PTR	mail01.xentity.lan.
[...]

So, dann probieren wir das mal aus:

$ nslookup 192.168.200.61
Server:		192.168.200.101
Address:	192.168.200.101#53
 
61.200.168.192.in-addr.arpa	name = mail01.xentity.lan.

Quellen und weiterführende Links

Auf linuxconfig.org wird neben der Forward Zone auch die Reverse Zone beschrieben. Auch Ubuntu bietet einen Leitfaden für die BIND-Konfiguration. Höchst offiziell ist auch die Doku unter tldp.org . Unter AdminWerk.de finden sich Hinweise zum sicheren Betrieb des BINDs. Eine englischsprachige Anleitung findet sich unter palethorn.wordpress.com.

Verwandte Posts:

• Private Cloud-Dienste
• KVM beschleunigen
• Ubuntu: KVM Shutdown funktioniert nicht
• Warum ich Linux-PCs verkaufen würde
• Init-Script für NDO2DB unter Ubuntu/Debian

Eines haben alle die meisten Definitionen gemein: zentralisierte Dienste, und eine skalierbare Plattform. Dazu werden Clients benötigt, die die Daten medienbruchfrei in das jeweilige Betriebssystem integrieren. Welche Dienste das sind, das ist von der jeweiligen Zielgruppe abhängig.

Im Privatumfeld sind das in der Regel Kalender, Kontakte, Bookmarks, Bilder/Fotos, Filme und Musik. Das sind alles Daten, die ich ungerne außerhalb meines Hoheitsgebietes lagern möchte, geschweige denn in einem anderen Land oder einem anderen Kontinent, die sich möglicherweise nicht um Datenschutz scheren. Darum schaue ich mir ownCloud mal genauer an, das diese Funktionalitäten bieten soll und auf Ubuntu auf meinem Heimserver laufen kann.

Erreichbarkeit

Vorraussetzung für eine Cloud-Lösung, die auch reibungslos mit dem Handy oder Netbook von unterwegs funktionieren soll, ist entweder eine feste IP oder aber ein DDNS-Dienst. Früher war DynDNS sehr beliebt, doch ist dieser Dienst nicht mehr kostenlos verfügbar. Bevor man sich bei einem anderen Dienst anmeldet, sollte man abklären, ob sein DDNS-Client (im Router oder inadyn) auch entsprechende Dienste beherrscht.

Vor- und Nachteile von privaten Cloud-Diensten

Nachteile

• Aufwand für Einrichtung und Konfiguration
• Hoher Aufwand für IT-Sicherheit, wie z.B. Vandalismus, Datendiebstahl, Hopping ins private Netz, Diebstahl der Geräte, Feuer, Wasserschäden, etc.
• Aufwand für Datensicherung (oder Redundanzen)
• Keine Regressansprüche bei Softwarefehler
• Stromkosten
• nichts für IT-Laien

Vorteile

• kontrollierter Datenschutz
• Selbstkontrolle
• flexibel um Funktionen erweiterbar
• keine Gebühren
• wenn OpenSource und tolle Community: hohe Innovationskraft
• wenn OpenSource: eigene Plugins

ownCloud 1.1

Ich gehe hier von einem frisch aufgesetzten Ubuntu Server 11.10 aus:

sudo aptitude install owncloud

Nun erreicht man das Webinterface unter folgender URL: http://[ip-host]/owncloud/ . Ubuntu 11.10 bietet leider nur ownCloud v1.1 an, aktuell (03/2012) steht aber schon v3.0 zur Verfügung.

Hier startet nun der “First Run Wizard”, der Infos wie Nutzername, Passwort, Datumsformat und DB-Credentials abfragt. Diese Dinge sollte man also vorab bereithalten.

Nach dem erneuten Login erreicht man ein spartanisches Webinterface. Der Upload per Webinterface klappte bei mir nicht, aber dafür die WebDAV-Einbindung des Ubuntu Filemanagers. Trotz eines aktivierten Plugins für Musik-Wiedergabe spielte das Webinterface keine MP3s ab, bei WAV-Dateien hat zumindest ein Versuch stattgefunden.

ownCloud 3.0

Um die 3.0er Version zu testen griff ich zur Ubuntu 12.04 Beta (Codename Precise Pangolin), praktischerweise ließ sich so Ubuntu und ownCloud gleichermaßen testen.

Die Installation ist gleichermaßen einfach:

sudo aptitude install owncloud

Es wird ein Paketkonflikt festgestellt. Hierbei kann der erste Vorschlag mit Yes angenommen werden. Beim Aufruf der URL http://[ip-host]/owncloud/ wird wiederum ein Einrichtungsassistent gestartet. Die benötigten Informationen reduzieren sich auf Nutzername und Passwort für den ownCloud-Admin sowie für die Datenbank. Der DB-User sollte vorher bereits angelegt werden. Am besten installiert man sich phpmyadmin daher gleich mit.

Um das Upload-Maximum zu erhöhen und ownCloud per https erreichen zu können, müssen folgende Schritte durchgeführt werden:

sudo nano /etc/php5/apache2/php.ini
# Parameter upload_max_filesize und post_max_size auf
# gewünschten Wert setzen, z.B. 512M
 
cd /etc/apache2/sites-enabled/
ls -la # Zeigt die aktivierten Sites
sudo ln -s ../sites-available/default-ssl 000-default-ssl #Aktiviert SSL
cd ../mods-enabled/
sudo ln -s ../mods-available/ssl.load ssl.load # Aktiviert SSL-Modul
sudo ln -s ../mods-available/ssl.conf ssl.conf
sudo apache2ctl restart # Neustart, um Änderungen zu aktivieren

Spaß in der Cloud

Schon der erste Eindruck ist super. Viele liebevolle Effekte in den Dialogen, AJAX an allen Ecken und Enden, ein funktionierender MP3-Player, ein Text-Editor mit GeSHi zum Scripten, Uploads sind bequem per WebDAV möglich.

URLs

Wenn man die einzelnen Dienste der Cloud vom PC aus oder per Smartphone erreichen möchte, dann benötigt man die folgenden URLs:

WebDAV: https://[ip-host]/owncloud/files/webdav.php
CalDAV: https://[ip-host]/owncloud/apps/calendar/caldav.php
CardDAV: https://[ip-host]/owncloud/apps/contacts/carddav.php
Ampache: https://[ip-host]/owncloud/apps/media/

Weiterführende Links

• wiki.homelinux.de konzentriert sich vorrangig auf die Installation und Konfiguration
• “Mein Weg weg von Google” ist ein sehr zu empfehlender Artikel
• “Heute schnitzen wir uns ‘ne Cloud” befasst sich ebenfalls mit ownCloud

Verwandte Posts:

• Eigene DNS-Zone mit BIND
• KVM beschleunigen
• Ubuntu: KVM Shutdown funktioniert nicht
• Warum ich Linux-PCs verkaufen würde
• Init-Script für NDO2DB unter Ubuntu/Debian

• 64bit Prozessor
• “echte” Virtualisierung zwecks qemu
• kompaktes Gehäuse (kein 19”)
• geräuscharm, nicht mehr als ein Standard-PC
• erweiterbarer Haupt- und Festplattenspeicher
• ich darf entscheiden, welches Betriebssystem installiert wird
• für ein kleines Geld

Da auf eBay häufig Laptops ohne Bildschirm oder als komplett defekt verkauft werden, war das meine erste Anlaufstelle. Da im Serverbetrieb ohnehin kein Display notwendig ist hatte ich mir Schnäppchen erhofft. Das scheinen andere ebenfalls so zu sehen…

Da riet mir ein Kollege zum Kauf des HP MicroServer N36L, nach kurzem Suchen fand ich den N40L, quasi den größeren Bruder. Hab eine Weile den Preis beobachtet und zugeschlagen: den N40L mit 2 GB RAM, 250 GB HDD für 232€ .

 Ausstattung

Die groben Eckdaten, die man auch überall nachlesen kann, sind: AMD Athlon II Neo N40L, 2x 1.50GHz, kein optisches Laufwerk, 6 USB-Anschlüsse, Gigabit-Interface, eSATA, 4x 3,5” Festplatten-Einschübe. Es gibt Anbieter, beiden denen die Ausstattung hinsichtlich des RAMs und der HDDs schwankt.

CPU

Es folgt die Ausgabe, die Linux unter /etc/procinfo zur CPU vermerkt hat…
# cat /proc/cpuinfo
processor : 0
vendor_id : AuthenticAMD
cpu family : 16
model : 6
model name : AMD Turion(tm) II Neo N40L Dual-Core Processor
stepping : 3
cpu MHz : 800.000
cache size : 1024 KB
physical id : 0
siblings : 2
core id : 0
cpu cores : 2
apicid : 0
initial apicid : 0
fpu : yes
fpu_exception : yes
cpuid level : 5
wp : yes
flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush mmx fxsr sse sse2 ht syscall nx mmxext fxsr_opt pdpe1gb rdtscp lm 3dnowext 3dnow constant_tsc rep_good nopl nonstop_tsc extd_apicid pni monitor cx16 popcnt lahf_lm cmp_legacy svm extapic cr8_legacy abm sse4a misalignsse 3dnowprefetch osvw ibs skinit wdt nodeid_msr npt lbrv svm_lock nrip_save
bogomips : 2995.09
TLB size : 1024 4K pages
clflush size : 64
cache_alignment : 64
address sizes : 48 bits physical, 48 bits virtual
power management: ts ttp tm stc 100mhzsteps hwpstate
[...] Der zweite Core enthält die selben Werte

RAM

Zwar sind 2 GB ein wenig dürftig, doch steckt wenigstens ein Riegel mit ECC im Gehäuse. Sollte es doch nicht mehr ausreichen, lässt sich der Riegel austauschen oder mit weiteren Speicher erweitern.

CD/DVD

Der Einbau eines optischen Laufwerks (5,25”) ist grundsätzlich möglich, ein entsprechendes Fach ist dafür vorgesehen. Für die Installation benötigte ich kein Laufwerk, dafür habe ich einen Stick verwendet. Dafür ist UNetbootin empfehlenswert. Höchstens für Backups auf DVDs würde ich ein Laufwerk verbauen.

Lüfter/Geräuschpegel

Der Lüfter an der Rückseite des Gehäuses hat ungefähr einen Durchmesser von 10 Zentimeter und kann daher bei geringer Geschwindigkeit für ausreichend Kühlung sorgen. Dementsprechend leise und angenehm empfinde ich die Geräuschentwicklung, die von dem Gerät ausgeht – er ist nicht lauter als ein Standard-PC. Mit lmsensors kann ich einen Temperaturfühler per check_mk auslesen, der steht ziemlich konstant bei 35° Celsius bei einer Umgebungstemperatur von ca. 20° Celsius.

Stromverbrauch

Seltsamerweise verbraucht der N40L im ausgeschalteten Zustand satte 14 Watt. Vermutlich weil eine IPMS-Karte verbaut werden kann, die ILOM-ähnliche Funktionen bereitstellen kann, jedoch ist die nur separat erhältlich.
(Achtung, das ist möglicherweise ein Messfehler, siehe unter den Kommentaren)

Wenn der Server hochgefahren ist und bei mir 5 VMs laufen, verbraucht der Server zwischen 22 und 25 Watt. Im 24×7-Betrieb würde das folgende jährliche Kosten bei einem mittleren Verbrauch von 23,5 Watt und einem Strompreis 0,18 Euro pro KW/h ergeben:
23,5 Watt x 24 h x 365 Tage = 205,86 KW/h * 0,18 € = 37,05 €

Betriebssystem-Installation

Per UNetbootin habe ich problemlos Ubuntu Server 11.10 64bit installiert. Windows Home Server (WHS) ist ebenfalls möglich, wie dort die Installation abläuft, vermag ich aber nicht zu sagen. Mit Hilfe von KVM/qemu und dem Virt-Manager auf meinem normalen PC habe ich eine Virtualisierungsumgebung geschaffen, um einen Webserver, einen Domain-Controller, einen Mailserver und einen Monitoringserver bereitzustellen. Außerdem habe ich Opfer-PCs wie Metasploitable erstellt. Der Server selbst hat dabei eine Load von 0.50 .

Weiterführende Links

• N36L/N40L-Sammelthread auf HardwareLuxx
• N40L mit 12 TB
• N40L bei guenstiger.de

Verwandte Posts:

• KVM beschleunigen
• Eigene DNS-Zone mit BIND
• Private Cloud-Dienste
• Ubuntu: KVM Shutdown funktioniert nicht