Archiv

Archiv für die Kategorie ‘Codes/Configs’

Kurz notiert: MariaDB, Galeracluster auf Ubuntu 14.04 LTS

4. Februar 2016 2 Kommentare

galera_replication1Beginnen wir mit dem Setup welches wir brauchen. Fuer einen Galera Cluster benoetigen wir mind. 2 Maschinen, wenn man jedoch Split Brain Conditions vermeiden/verhindern Enden moechte, muessen es 3 Nodes sein, 2 laufen aber durchaus.
Meine 3 Nodes haben die IP Adressen: 10.13.37.2, 10.13.37.3, 10.13.37.4 und auf diesen Kisten installieren wir nun die notwendigen Pakete, da Ubuntu die passenden Repos nicht mitbringt, koennen wir uns hier dem Repo Konfigurator MariaDB von MariaDB bedienen oder einfach den Schnipseln folgen.
Bitte darauf achten, dass MariaDB 5.5 installiert wird, die 10er Trees haben noch das ein oder andere Problemchen gemacht, daher gehe ich auf die stable Varianten ein. Neben Mariadb brauchen wir noch RSync und Galera als solches, also fuehren wir auf allen Nodes folgendes aus: Mehr…

nginx serviert nun mit http2 statt spdy

27. Oktober 2015 Keine Kommentare

Wie der Titel schon verraet, laeuft ghcif.de nun via HTTP/2 statt dem SPDY Modul von Google.
NGinx spricht ab der Version 1.9.5 HTTP/2 im Betatest und kann in meinen Augen relativ problemlos eingesetzt werden, in den Tests die wir fahren konnten, zeigten sich keine Probleme oder Schwaechen in der Implementation von HTTP/2.
Viel musste in der Konfigurtaion der VHosts auch nicht gemacht werden, wichtig sind 2 Dinge:
HTTP/2 erforderte eine sichere Verbindung, sprich HTTPS ist verpflichtend, neben der sicheren Verbindung ist auch die Wahl der Cipher wichtig, geblacklistete Cipher in der Config und HTTP/2 werden nicht funktionieren.

Am Beispiel der Config welche fuer ghcif genutzt wird, moechte ich schnell aufzeigen, wie einfach sich http/2 implementieren laesst:

server {

listen 185.115.176.240:80;
listen [2a02:74a0:a008::e:1]:80;
server_name ghcif.de;
return 301 https://$server_name$request_uri;

} Mehr...

Udopi serviert nun mit nginx und spdy

2. Februar 2015 Keine Kommentare

Nginx-logoImmer oefter bin ich an Ecken und Kanten gestossen in denen mit der Lighttpd einfach nicht ausreichend war, eigentlich hatte es selten wirklich gestoert, aber dennoch wollte ich dem nginx eine Chance geben.
Das ist nun schon ein paar Monate her und irgendwie hatte ich ihn schnell wieder verworfen, wieso weiss ich heute nicht mehr, auf jeden Fall habe ich mich in den letzten Tagen etwas mehr mit nginx beschaeftigt nun nun laeuft die Maschinerie die Udopi serviert auf nginx.
Die Umstellung von php-fcgi auf fpm-php mit Sockets stellte sich als recht schmerzfrei heraus, jedoch fehlen mir ein wenig die eigenen php.ini Files.
Nachdem das Geruest nun lief sollte man der Meinung sein, das bisschen Software was hier laeuft wird auch keine Probleme machen, so hatte ich auch keine mit WordPress oder dem Mediawiki und auch der andere Kram der so in irgendwelchen Testecken verweilt laeuft problemlos, aber klar, irgendwas ist immer, diesmal heisst es mal wieder Gallery3.
Naja die „Entwickler“ schreiben ja schon: Only support for Apache… Mehr…

Debian Squeeze zu Wheezy Update mit Confixx *UPDATE #1!*

28. Mai 2013 12 Kommentare

logo_confixxKurz notiert die Leidensgeschichte der Debian Upgrades.
Da wir viele Kundensysteme im Haus haben die nun gerne ein Debian Upgrade haben moechten und davon einige hundert Installationen mit Confixx laufen, hier ein Snippet wie so ein Upgrade von Debian 6 auf 7 inkl Confixx durchgefuehrt werden kann, danke an Anton Dollmaier fuer die Unterstuetzung mit dem Patch, bitte beachten der Patch ist weder von ghcif.de noch von Anton. Weiterhin wird dieser nicht von Parallels supported.

cd /opt/confixx/admin/CPAN
wget https://www.ghcif.de/~t4c/confixx/Updater-1.0.11.tgz
tar xvfz Updater-1.0.11.tgz
cd Updater-1.0.11
perl Makefile.PL
make
make install
cd /opt/confixx/
mv admin admin.distupgrade7 Mehr...

Metasploit Hostdaten aendern kurz notiert

27. März 2013 Keine Kommentare

Eigentlich ist diese kleine Info kaum einen Blogeintrag wert, aber dennoch moechte ich es kurz notieren, in meiner Funktion als Pentester bin ich auf ein Problem beim Katalogisieren meiner Hosts gekommen welche ich zu testen hatte, die Grundlagen hierfuer sollten bekannt sein, aber ich schneide Sie schnell kurz und knapp an denn die Dokus sind weitreichend die man im Netz findet.
Mein MSF laeuft unter Kali Linux und hier ist soweit alles vorkonfiguriert so das man eigentlich nur schnell die PGSQL Datenbank starten muss und dann kann es eigentlich schon fast losgehen.
Mittels ‚db_nmap -A $HOST1 $HOST2…‘ habe ich meine zu pruefenden Hosts katalogisiert bin jedoch darauf gestossen das bei allen Hosts welche vor allem Debian System sind das „os_sp“ fehlt, hier wollte ich gerne die Debian Version stehen haben auch wenn es eigentlich kein SP als solches ist und dies eigentlich nur unter die Windows Welt gehoert. Mehr…

Komplette Facebook Timeline loeschen

13. März 2013 2 Kommentare

facebookdeleteWie es so oft ist, eigentlich wollte ich ja nicht zu Facebook und ich habe mich lange erfolgreich dagegen gewehrt doch 2009 habe ich mich breit schlagen lassen, als Direktkandidat der Piraten war Facebook einfach mehr oder minder notwendig und schon hatte ich einen Account.
Ueber die Zeit sammelt sich natuerlich hier einiges an und vieles moechte man vielleicht doch gar nicht mehr da sehen, ganz egal wie die Privatsphaeren Einstellungen waren also wollte ich alle Inhalte geloescht haben.
Die Fotoalben sind schnell entfernt, doch was macht man mit den Eintraegen auf der TL?
Diese sind ueber die Jahre doch relativ angewachsen und so begann die Suche, ich will Likes loeschen, ich will Posts loeschen.
Nach etlichen Versuchen bin ich am Ende mit 2 Tools an mein Ziel gekommen, einen grossteil der Likes konnte ich mit einem Greasemonkey Script fuer Firefox loswerden, manuell musste ich jedoch trotzdem nachhelfen. Mehr…

File Changes mit AuditD ueberwachen

6. Februar 2013 2 Kommentare

auditdWieder einmal das alte Spiel, ein Kunde aus unserem Haus hat einen Hacker auf dem System und benoetigt Hilfe um die Einbruchsspuren zu beseitigen und vor allem um die Luecken zu stopfen.
Wie so oft bot sich mit das uebliche Bild, eine veraltete Debian Installation, mod_php in einer ebenfalls veralteten Version und eine endlose Liste von Typo3 und Joomla Installationen auf dem System welche es hier jedem Angreifer leicht machen sich eine Backdoor zu installieren.
Bei dem Kunden wurden wild .htaccess Files veraendert und der Verdacht lag nah wie das passiert, Shell geoeffnet und schlecht gesetzte Permissions ausgenutzt und das Fehlen von php-cgi.
Nachdem die veraenderten Files bereinigt wurden, die Installation und Verzeichnisrechte angepasst und php-cgi auf einem sauberen, aktuelle Debian laufen sollten ja nur noch Files in verwundbaren Webs veraendert werden koennen und nicht fast Systemweit auf der Maschine.
Auftrag erledigt, Supporter und Kunde gluecklich! Mehr…

Bye MySQL, Willkommen MariaDB

4. Dezember 2012 Keine Kommentare

Gestern war es ueberall zu lesen, Oracle hat einmal mehr gepennt mit seinen Updates fuer MySQL und ‚kingcope‘ oeffnete seine Spielzeugkiste und hat hier einige Exploits fuer MySQL auf den Weg geschickt in die grosse weite Welt.
Unter anderem sticht ein Kommentar ins Auge welches von Sergei Golubchik verfasst wurde, dem MariaDB Security Coordinator:

MariaDB is not vulnerable as of 5.1.66, 5.2.13, 5.3.11, 5.5.28a.
Latest released MySQL versions are still affected, but Oracle knows
about this issue, so next versions won’t be.

Somit wurde das letzte Stueck Oracle von Udopi entfernt, Java hat es ja schon vor einiger Zeit getroffen. Mehr…

Verschluesselte Android Devices neu flashen via Custom Recovery ohne Sideload

14. November 2012 14 Kommentare

Mich ereilte erneut ein Problem mit meinem Droiden, aufgrund der Firmenpolicy war ich gezwungen mein Device zu verschluesseln und nun wird es mit dem Updaten schwer.
Clockwork in der aktuellen Version fuer mein Galaxy Nexus kann kein „adb sideload“, mit diesem ist es ueber das Stock Recovery moeglich ROMs einzuspielen.
Wenn man jedoch das Updatefile ueber das gebootete Mobile auf die SD Karte laedt, kann aufgrund der Verschluesselung Clockwork natuerlich nichts lesen und nun auf manuelle Updates verzichten?
Natuerlich nicht, der Weg ist recht simpel, Handy im Recovery booten, USB Kabel dran und ein wenig Spass mit adb:

adb shell mount -t tmpfs none /data
adb shell mkdir /data/media
adb push update.zip /data/media

Flashen wie gewohnt -> gut.

PHP Code/Backdoors in Bildateien verstecken *update*

17. Oktober 2012 2 Kommentare

Im Zuge meiner Taetigkeit bin ich auf eine neue Art gestossen einen Hack zu verbergen bzw durchzufuehren, der Erfolg des Hacks haengt jedoch von einigen Faktoren ab, ist jedoch sicherlich ein denkbares Szenario und gerade fuer den Fall einer forensischen Untersuchung eine Moeglichkeit die man im Kopf behalten sollte.
Durch folgende Umstaende kam es zu einem Hack, eine Uploadfunktion welche das Hochladen von Datein erlaubte, eine Debian Installation mit mangelhaft gesetzten Einstellungen fuer das Ausfuehren PHP Scripten, schlechte PHP.INI, ohne die passenden Excludes fuer exec und Co.

Die Debian Config welche ich meine sieht folgendermassen aus: Mehr…