Enrico Tenivella

Rilasciata la prima release di MysqlQuickAdmin, interfaccia grafica per l’iterazione con Mysql.

Il tool è scritto in php e si avvicina al celeberrimo phpmyadmin

L’interfaccia è graficamente molto curata e piacevole, purtroppo le funzionalità sono molto ridotte rispetto al MyAdmin.

Elenco delle funzionalità:

• Simple upload-and-use design ( No need for setup on most servers! )
• Config file or session based login
• Multiple server support
• View multiple databases
• View table status
• CREATE, DROP, EMPTY, and OPTIMIZE multiple tables
• VIEW, EDIT, and DELETE multiple fields
• Supports all standard MySQL fields
• Run batch queries
• Load and edit MySQL query files
• Export databases to textarea, file
• Error handeling

Requisiti

• PHP v4.3.1 +
• MySQL v4.0.27-standard +

Adatto agli sviluppatori che non necessitano il pieno controllo di MySql, o per i fornitori di hosting che desiderano offrire ai clienti la possibilità di interagire con il database. Considerando la giovane età del prodotto aspettiamo le prossime release per iniziare a fare paragoni sulle performance.

La nuova versione di Debian, la 4.0 chiamata “etch” uscirà a Dicembre di quest’anno. Rimpiazzerà Sarge, la versione 3.1, ma verranno ancora rilasciati gli aggiornamenti di sicurezza per un breve periodo. Il supporto dell’architettura a AMD64 bit è ufficiale, salgono a 11 le diverse archietetture supportate dal sistema Linux Debian.

Novità signitificative il passaggio al kernel 2.6.17 come default, kernel che potrebbe essere “rimpiazzato” prima del rilascio ufficiale (ottobre) con una versione più recente

Il kit di compilazione passa alla versione 4.1

X.Org prende il posto di XFree86

SecureAPT fornirà strumenti per download di pacchetti crittografati.

Esistono innumerevoli sistemi IDS, molti a pagamento, molti con funzionalità totalmente inutili, alcuni troppo “permissivi” e proporzionalmente altri troppo “aggressivi”.
In questo articolo, primo di una lunga serie tempo permettendo, cerco di mostrarvi le tecniche per costruirsi le basi per mettere in piedi un IDS casalingo utilizzando gli strumenti che bash ci offre.

Potrebbe essere un ottimo esercizio mirato ad affinare le tecniche di scripting bash, vi ricordo che potet raggiungere lo stesso obiettivo con altri linguaggi stile php / perl ma quasi sicuramente otterrete a parità di risultati un utilizzo più massiccii in termini di cpu.

Iniziamo con il postprocessing dell’analisi del file access.log di apache con l’opzione “combined”

Lo scopo è avere a portata di mano una utility che ci permetta al volo di capire quali determinati IP hanno effettuato richieste verso il nostro sito.

awk '{print $1}' /var/log/apache/access.log

Possiamo contare il numero di hits totale

awk '{print $1}' /var/log/apache/access.log|wc -l

e passare a qualcosa di più utile: ordinamento e conteggio

awk '{print $1}' /var/log/apache/access.log|
sort|uniq -c|sort

Sono bastati un paio di comandi per fare qualcosa che via php/perl (senza usare CPAN!) vi sarebbe costato qualche ciclo… ora togliamo anche le “” virgolette che contornano l’indirizzo IP

awk '{print $1}' /var/log/apache/access.log|
sort|uniq -c|sort|sed s/\"//g

Se volessimo sapere quante sono in tutto le richieste e ip unici aggiungiamo un awk

awk '{print $1}' /var/log/apache/access.log|
sort|uniq -c|sort|sed s/\"//g|
awk '{print $0;tot+=1;sum+=$1}
END {print "HITS: "sum "|IP: " tot}'

Lo script è “corto” quanto basta per essere ancora scritto a video e richiamato via history e relativo !ID_CMD. Ovviamente ha le sue limitazioni in quanto la funzionalità è relativa ai settaggi del vostro logrotate. Nel prossimo articolo inserirò il metodo per potere parsare solo gli ultimi X minuti del file access.log e rendere lo script più performante nella sintassi

./hits ARG1

Notizia recente i creatori dei mitici PSTOOLS e del celeberrimo tcpview sono stati inglobati dalla Microsoft. In questo momento sul sito di winternal la home si presenta così

mentre il sito della sysinternal è down

OPENDNS

Nameserver:

• 208.67.222.222
• 208.67.220.220

OpenDNS è un progetto appena nato e dovrebbe teoricamente migliorare la navigazione in materia di velocità e sicurezza.

Non è nè un firewall nè un proxy, solo un “risolutore di nomi”.

Un ottimo motivo per utilizzare OpenDns: SICUREZZA
La funzionalità più interessante risiede nel meccanismo di correzione automatica delle url. Scrivere ad esempio www.craigslist.or verrà correttamente interpretato come www.craigslist.org. Ho provato il meccanismo utilizzando texilee.grupoinfo.it o texilee.gruppoinfo.t e purtroppo non ancora funziona.

La mappa della rete OpenDNS

Altra assoluta novità l’introduzione di un “filtro” anti phishing via

http://www.phishtank.com

che presto inizierà a blacklistare siti truffa come avviene da anni nella guerra allo spam.

Potrebbe rivelarsi più corretto parlare di dns + url content filtering? Giusto per tornare all’articolo su come bypassare proxy / firewall… provando a collegarsi al sito dimostrativo www.internetbadguys.com allestito dal team di OpenDNS (utilizzando i loro nameserver) mi appare un messaggio di errore che mi avverte della pericolosità del sito.
http://google.com/gwt/n?u=http%3A%2F%2Fwww.internetbadguys.com

Via google il problema non sussiste. Considerando il numero di doorway che mettono in piedi i simpatici truffatori online ecc…ecc… il meccanismo non può considerarsi una valida alternativa alla navigazione “proxata”.

In termini di sicurezza ( se il progetto phistank prende piede ) nulla ci impedirebbe di affidare le nostre risoluzioni ai loro server. Bisogna tener conto della reattività del servizio in termini di performance.

Utilizzo di dig per testare le velocità (ns.interbusinnes.it). Le prove sono state fatte nella stessa fascia oraria dallo stesso pc interrogando simultaneamente i 2 name server.

$ time dig @ns www.qualchesito.it

HOST                ns.interbusinnes   ns.opendsn
www.ferrero.it     0.25s                  0.93s

www.bmw.de        0.38s                  0.45s

www.bakeca.it    0.28s                   0.37s

www.cnn.com       0.27s                   0.38s

www.easybit.it    0.23s                   0.76s

www.gov.us         0.35s                   0.42s

I risultati parlano da soli, non è ancora arrivato il momento di metter mano al resolv.conf, attendiamo con ansia il server in Inghilterra!

Volete provarla su IPCOP? editate il file /etc/resolv.conf e aggiungete le righe relative ai nameserver di opendns dopodichè lanciate da root “restartsquid”

Google può venirci incontro per quanto riguarda la navigazione “proxata”.

Se le ACL sono opprimenti provate a navigare via google

http://www.google.com/gwt/n?u=texilee.gruppoinfo.it 

Sono finiti i tempi del multiproxy? A giudicare dai log di apache le richieste provengono da

216.239.58.136 -> gv-out-f136.google.com

Le immagini / fogli di stile non vengono processate.

Potrebbe sempre essere utile in ambienti “protetti”

Quando viene a mancare il server di backup e rsync è solo la sigla di una Yamaha ecco le 10 regole d’oro per ripristinare il ripristinabile:

• 1) Niente panico!

Non agitarsi è un buon punto di partenza, anche se il sangue inizia a ribollire nelle vene non disperare

• 2) Via dalla rete!

Stacca il cavo di rete / Disabilita la scheda WireLess

• 3) Come hanno fatto?

Da qualche parte saranno entrati, inizia con tcpdump a vedere cosa esce/entra di buono/cattivo e preparati ad analizzare qualche file di log, ps aux e netstat -nap sono comandi utili

• 4) Ferma il malware!

Individuata la minaccia non rimane che fermarla. Sarebbe utile anche spostare tutti i binari compromessi su una bella chiavetta/fuori dal sistema. O se non hai tempo da dedicarci appuntati qualche particolare per analizzarlo attentamente più avanti.

• 5) Ripristino dei servizi

Qualsiasi “server” ha la sua indiscussa utilità, altrimenti avrebbe un altro nome come client o workstation. Ripristina i servizi non interessati dalla minaccia.

• 6) Analizza tutti i file / moduli compromessi

Capisci come e cosa hanno interessato i servizi compromessi. Analizza (gli script con un editor) i binari prima cercando su google casi simili, poi con un’altra macchina monti una distro Live (niente RETE!!) e prosegui l’analisi lanciando script/binari

• 7) Caffè / Siga

Giusto per non scrivere PAUSA 10 MINUTI…

• Fix dei problema

Trovato il problema e appurata la bontà dei binari e dei moduli possiamo ripristinare i servizi interessati dal problema, riattaccare la rete!

• 9) Monitor sui servizi

Il fatto di aver eliminato la minaccia non significa aver sviluppato gli anticorpi necessari per sconfiggerne una nuova dopo pochi minuti. Tail -f del syslog, tcpdump e controllo dei moduli in userspace. lsof -p del pid del servizio attaccato precedetemente.

• 10) Pensarci prima: backup firewall ids & co.

Quasi quasi …

Ha dell’incredibile la storia successa ad un ingegnere della PlusNet che per errore ha “cancellato” qualche GByte di posta. Il fattaccio è frutto del processo di inserimento di un nuovo device. Il sistemista si apprestava a finalizzare la sincronizzazione fra il server in produzione e il backup tramite 2 console. Security policy non permettevano l’apertura di più console sullo stesso device, il fatto vuole che questa limitazione venga a mancare per altrui decisione e l’incauto personaggio compia l’estrema cazzata: cancellare tutto.