Diese Woche im Netz

Clever: Generalschlüssel in AVM’s Kabelsmodems „vergessen“.

Quelle: Golem.de

Viele IT-Sicherheitslösung liefern keine Lösungen und sind komplett überflüßig. Ein IT Insider packt aus..

Quelle: Golem.de

Facebook erklärt Millionen für tod 🙂

Quelle: TheHackerNews

Wird es neue Netzwerkkabelstecker geben ?

Quelle: Golem.de

Lepraerreger bei Eichhörnchen gefunden.

Quelle: Bild der Wissenschaft

Alles was Android ist, kann mit DirtyCow gerooted werden.

Quelle: Golem.de

20% der Wahltweets im US-Wahlkampf sollen von Meinungsbildungsbots gekommen sein.

Quelle: Spektrum.de

Ein bericht über EMail.Überwachung in Deutschland.

Quelle: Golem.de

Taucher entdecken eine 1950 abgeworfene Atombombe der US-Armee.

Quelle: Focus.de

Neues TCP Protokoll sollauch gleich verschlüsseln.

Quelle: Golem.de

 

PANIC: fatal region error detected; run recovery

Ok, vorweg, es geht nicht um GeoIPs, Zeitzonen oder andere Sachen die mit geografischen Regionen zutun hat 🙂

PANIC: fatal region error detected; run recovery

Das ist eine Meldung der BerkeleyDB, einer filebasierten einfachen Datenbank, die Programme gern benutzen, wenn Sie keinen richtigen Datenbankbackend brauchen/wollen. Eins der Programme ist der Webalizer, ein Analysetool , das jedem statistiksüchtigen  Apachenutzer  ein Begriff sein dürfte.

Es kann vorkommen, daß diese Datenbank beschädigt wird. Die Anwendung gibt dann die obige Fehlermeldung aus, oder auch nicht, weil nach >dev/null umgeleitet.

Woran merkt man das also, wenn dieser Fehler auftritt ?

Zunächst mal, macht Webalizer nichts mehr, er kommt nicht mehr voran, weil … keine Ahnung wie man so fehlerintolerant programmieren kann, ich weiß es nicht. Also das Teil bleibt einfach stehen. Das sieht dann so aus:

           |-sshd(878)-+-sshd(3593)---sshd(3619)---bash(3631)---webalizer(13066)---java(13074)-+-webalizer(16621)-+-webalizer(16623+
           |           |                                                                       |                  |-webalizer(16624+
           |           |                                                                       |                  |-webalizer(16625+
           |           |                                                                       |                  |-webalizer(16626+
           |           |                                                                       |                  |-webalizer(16627+
           |           |                                                                       |                  |-webalizer(16628+
           |           |                                                                       |                  |-webalizer(16629+
           |           |                                                                       |                  |-webalizer(16630+
           |           |                                                                       |                  |-webalizer(16631+
           |           |                                                                       |                  `-webalizer(16632+

im TOP und IOTOP sieht man Webalizer kann auch nicht mehr auftauchen, weil die Prozesse in einem QuasiSleep sind.

Wenn man jetzt auf den Hauptprozess (oben die PID 16621 ) ein strace anwendet mit „strace -s 1024 +f +p 16621“ bekommt man das zu sehen:

strace: Process 16621 attached
write(2, "BDB0060 PANIC: fatal region error detected; run recovery", 56

und nichts passiert mehr. In dem Fall kann man strace einfach abbrechen und getrost die dns_cache.db löschen:

rm -f /var/lib/webalizer/dns_cache.db

Dann bricht man den Webalizer Hauptprozess mit kill ab, und startet das Ganze von vorn. Fertig.

WordPress: Let’s Encrypt Zertifikate und PHP CURL

Let’s Encrypt Zertifikate und PHP CURL sind wie es scheint eine unheilige Verbindung, denn sie wollen nicht zusammen arbeiten. Aber der Reihe nach:

Am Anfang war das Update…

… und nach dem WordPressupdate, kommt auch die WordPress-Netzwerk-Updatefunktion, die, wenn man wie Bloggt-in-Braunschweig.de eine MultiSite betreibt, alle Blogs auf Stand bringt. Das war bislang kein Problem, weil die ohne SSL im Spiel zu haben, updated WordPress die Subinstallationen per HTTP aufruf. Nun, wenn man wie unsere Admins aber ein Lets Encrypt Zertifikat für die WordPressseite benutzt, ruft man den WP-Admin auch mit HTTPS auf, weil sonst das Zertifikat vollkommen umsonst wäre.

Solange man selbst den Adminteil aufruft, ist alles ok, weil der Browser kennt das LE Root Zert schon. Will man jetzt aber das Netzwerk updaten, ruft WordPress die Subseiten auch per HTTPS auf, auch wenn die gar nicht per HTTPS erreichbar sind, weil sie mit Subdomains arbeiten, für die der Webserver auch konfiguriert sein muß. Ab 100 Subdomains spielt LE auch bei der Zertifikaterstellung nicht mehr mit, was bedeutet, MultiSites mit über hundert Blogs müssen ein Wildcard-Zertifikat kaufen und das kann ins Geld gehen.

Jetzt gibt es zwei Wege das Problem mit LE zu lösen, ohne Geld auszugeben :

Man wechselt unschön auf HTTP und aktualisiert die Blogs so, oder man manipuliert den ROOT.CA Speicher von PHP und parkt das LE Root CA dort. Der letztere Teil rein technisch nicht weiter tragisch:

  1. Firefox aufmachen -> Einstellungen -> Erweitert -> Zertifikate  und das LE ROOT unter DST suchen und als /home/username/LEROOTCA.cert abspeichern.
  2. im PHP Code vor das curl_exec() folgende Anweisung schreiben:
    curl_setopt ($ch, CURLOPT_CAINFO, ‚/home/username/LEROOTCA.cert‘);
  3. Dann sollte das PHP Script auch das LE Zertifikat akzeptieren

Hier ein paar Wege um an so ein Zertifikat zu kommen:

Im FireFox auf der Seite mit dem benötigten Zertifikat einfach die Seiteninformationen aufrufen, dann Sicherheit und Zertifikat ansehen ( Details ) :

Wie man Zertifikate Exportiert Ein Klick auf Export und

Und speichern...

Jetzt der Haken an der Sache: im WordPress sind einfach zu viele Curl Calls drin, als das man als Laie mal eben die obige Operation durchführen kann. Ergo: Melden wir WP-User uns jetzt mal bei WP, auf das die den Support für LE bei WordPress einfach mitbringen 🙂

 

 

Diese Woche im Netz

Wer wissen will, was „Doppelt Exotische Atome“ sind, dem wird der Beitrag im Spektrum der Wissenschaft gefallen.

Quelle: Spektrum

Und noch ein DDOS-Stresser aus dem Geschäft raus.

Quelle: Darknet

Vom Schrottplatz zur Hochleistungsbatterie, so gehts..

Quelle: SlashDot

Der Spiegel vom neuen James Webb Weltraumteleskope ist fertig, jetzt kann das neue Auge am Himmel gebaut werden.

Quelle: SlashDot

Zwei schwere „Root-Exploit“ Sicherheitslücken in Mysql und Derivaten enthalten.

Quelle: The Hacker News

Als Drucker getarnte Funkzelle kapert Handies im Büro.

Quelle: ArsTechnica

Im gleichen Bereich, u.a. als Hauswand getarnte Funkzellen 🙂

Quelle: rhizome.org

Millionenzahlungen an Beraterleistungen für den Breitbandausbau, ohne den Ausbau.

Quelle: golem.de

Möglicherweise gibt es in der Physik keine neuen Teilchen mehr mit exotischen Effekten zu entdecken, dumm nur, wenn man diese Effekte braucht.

Quelle: Spektrum

 

BND bekommt eigene VDS für 6 Monate ohne Beschränkungen

Wie einem Artikel von Heise zu entnehmen ist, hat der Bundesrat einem Gesetz zugestimmt, daß dem BND eine sechs monatige Vorratsdatenspeicherung aller Verbindung- und Standortdaten erlaubt. Der BND darf diese Daten nach eigenem Gutdünken durchsuchen, ohne daß es eine kontrollierende Instanz wie einen Richterbeschluß gibt. Die Daten dürfen sogar automatisch mit anderen Ländern getauscht werden.

Damit ist faktisch ein Überwachungsstaat geschaffen worden, der ohne rechtsstaatliche Kontrollen alle Daten erfassen kann und wird. Offiziell dürfen natürlich nur Ausländer überwacht werden, aber an Datenströmen steht so selten dran, daß sie nicht aus oder nach Deutschland kommen.

Damit sollte eine rote Linie für alle Bürger überschritten sein, die bisher nichts zu verstecken hatten, denn jetzt sind auch sie betroffen und können jederzeit zum Ziel von Ermittlungen werden, nur weil jemand einen Zahlendreher bei der Eingabe einer IP Adresse gemacht hat. Das war zwar vorher schon möglich, aber wurde zumindest noch von einem Richter abgesegnet.

Für uns Linuxnerds heißt es jetzt natürlich zu handeln. Großflächige Überwachung können wir mit großflächigem Einsatz von VPNs und allgemeiner Verschlüsselung bekämpfen, denn wenn der Preis zum Entschlüsseln aller Verbindungen zu hoch wird, kann sich das der BND oder auch die NSA schlicht nicht leisten. Wenn das ganze Internet verschlüsselt ist, kann man nur noch die Datenströme verfolgen und dekodieren, die einem wirklich wichtig sind. Daran ändern auch die viel beschworenen Quantencomputer nichts. Die Überwachung der Standortdaten kann man ganz leicht umgehen, schaltet das Handy einfach mal aus!

Deswegen gibt es hier im Blog demnächst die Neuauflage der Anleitungen zum Aufbau von VPNs, Anweisungen zu Kryptomessangern, Anleitungen zum Aufsetzen von sicheren PCs und Webserverdiensten. Zukünftig an der eigenen Kategorie „Secure The Web“ zu erkennen.

 

Erstmals eine (fast) fehlerfreie Scammeremail

                                                             Datum: 02.11.2016

Guten Tag .......

aufgrund Aufgrund der steigenden Terrorgefahren und erhöhten Betrugsversuchen, 
hat Volksbanken Raiffeisenbanken die „Kenn deinen Kunden“ Strategie eingeführt. 
In regelmäßigen Abständen werden ihre persönlichen Daten erneut abgefragt um 
auf diesem Wege sicher zustellen, das Sie der rechtmäßige Eigentümer des 
Kundenkontos sind.

Über den unten angezeigt Button gelangen sie direkt zur erneuten Eingabe Ihrer
persönlichen Daten,Bitte achten Sie auf die korrekte Schreibweise und die 
Vollständigkeit Ihrer Daten. Sollten die angegebenen Daten nicht mit den bei 
uns hinterlegten übereinstimmen, sind wir dazu verpflichtet ihr Konto bis 
zur Verifikation ihrer Person über den Postweg zu sperren.

Weiter zur Bestätigung

Vielen Dank für Ihr Verständnis in dieser Angelegenheit.

Dies ist eine automatisch versendete Nachricht.

Bitte antworten Sie nicht auf dieses Schreiben, da die Adresse nur zur Versendung von E-Mails eingerichtet ist.

Auf den ersten Blick nicht schlecht 🙂 Wenn da nicht der unsachgemäße Einsatz eines „,“ wäre und ein „s“ statt „ß“ benutzt würde, man könnte glauben es wäre von einem Deutschen geschrieben.  Der Witz schlecht hin ist natürlich der Hinweis auf die korrekte Schreibweise 😀 Ja, Jungs, genau das moniere ich ja auch immer wieder 😀  In Grammatik haben Sie auch wieder nicht aufgepaßt:  Anreden immer groß Leute!

Die üblichen Checks greifen hier natürlich auch wieder:

Keine Anrede, außer der Emailadresse .. macht keine Bank.
Server steht irgendwo im Ausland, auch unwahrscheinlich.
Und natürlich wird genau das hier keine Bank per Email machen,
wenn doch ist das ein Grund die Bank zu wechseln !

Also wie immer: Ab in die digitale Mülltonne damit !

Noch keine Patches für MariabDB Root Exploits vorhanden

Für die u.a. bei The Hacker News gemeldeten Root-Exploits für MariaDB gibt es noch keine Patche im Fedora Repository, auch nicht im Unstable Bereich. Da hilft nur, den möglichen Exploit durch Verschleierung zuvermeiden.

Der bereits verfügbare Testexploit, legt Dateien im /tmp/ Ordner an. Das kann man schon mal verhindern, indem beim Start mit Systemd ein privates Temp-Verzeichnis benutzt wird. Das verhindert den Hack nicht, aber die kleinen Scriptkids werden an der Hürde scheitern 😉

Wenn man sein mariadb.service File nicht geändert hat, kommt es in Fedora bereits mit der richtigen Einstellung:

[Unit]
Description=MariaDB 10.0 database server

# Place temp files in a secure directory, not /tmp
PrivateTmp=true

In der my.cnf sollte man sowieso immer das Benutzen von Symbolischen Links abschalten, eine Serverdatenbank braucht das i.d.R. nicht:

symbolic-links=0

Damit kann man auch ohne Patch CVE-2016-6662 nicht ausnutzen um seine Rechte zu eskalieren. Wer bislang „mariadb-10.0.27-1“ noch nicht eingespielt hat, sollte das trotzdem dringend nachholen.

Gegen die Lücken CVE-2016-6663 und CVE-2016-6664 sind die Patche bei Fedora noch in Arbeit. Leider ist auch im Koji noch keine Testversion ersichtlich. Die letzten Builds stammen vom Anfang des Monats, welche zudem die CVE Patche nicht enthalten. Dies kann natürlich daher rühren, daß diese Versionen nicht anfällig waren, da es sich um den 10.1.17/18 er Zweig von Mariadb handelt.

Fedora 24: Eine Woche Fedora 24

Seit fast einer Woche läuft jetzt Fedora 24 auf meinem Desktop und es Zeit zu beurteilen, was geht und was nicht. Das es bei dem Update Probleme gab, ist ja durch das Blog bekannt. Die Probleme sind noch in Arbeit, aber nur marginaler Natur.

Das erste was mir aufgefallen ist, die gesamte 2D und 3D Grafik ist schneller. Der Kartendienst ist super schnell geworden, 3D Games wie Eve Online liefern mehr FPS und auch die Reaktionszeiten der Graka im 2D Betrieb ist besser. FFMPEG ist jetzt in der Lage FULL HD mit 30 FPS zu capturen, was vorher nicht möglich war. Das kann jetzt natürlich auch an einem schnelleren Grakatreiber für die Nvidia liegen und somit außerhalb vom Fedorateam seine Ursachen haben, aber eben auch Änderungen von Fedora zu verdanken sein.

Die Gnome Shell 3.20 ist deutlich reaktiver, konnte aber den leidigen Bug mit der ruckenden Fensterbewegeung von einem Monitor auf den Anderen nicht komplett beheben. Das wäre aber auch schon alles negative.

Die Leistung von Cinnemon ist vorher schon gut gewesen, also auch hier keine Verschlechterung festzustellen .

Insgesamt, kann man mit dem Update zufrieden sein.

Fedora 24: Wenn Automount nicht mehr geht

Wenn man einen USB-Stick in seinen Rechner steckt, erwartet man eigentlich, daß er als Laufwerk auftaucht. Seitdem Update auf Fedora 24 passierte das bei mir nicht mehr.

Schuld dürfte das unterbrochene Upgrade von F23 auf F24 sein, aber wer weiß.  Erstmal die Lage feststellen…

Werden die Drives gefunden ?

Als erstens schauen wir ins .. ups.. das gibt bei Euch nicht ja gar nicht mehr… /var/log/messages (Pech, ich habs noch 🙂 ) Wenn Ihr /v/l/m nicht mehr habt, dann könnt Ihr z.B. „dmesg“ befragen.

Steckt man einen USB Stick rein, muß sowas im Log erscheinen:

Nov  2 15:51:07 eve kernel: usb-storage 3-2:1.0: USB Mass Storage device detected
Nov  2 15:51:07 eve kernel: scsi host4: usb-storage 3-2:1.0
Nov  2 15:51:08 eve kernel: scsi 4:0:0:0: Direct-Access     Intenso  Rainbow Line     8.07 PQ: 0 ANSI: 4
Nov  2 15:51:08 eve kernel: sd 4:0:0:0: Attached scsi generic sg4 type 0
Nov  2 15:51:08 eve kernel: sd 4:0:0:0: [sdd] 7907328 512-byte logical blocks: (4.05 GB/3.77 GiB)
Nov  2 15:51:08 eve kernel: sd 4:0:0:0: [sdd] Write Protect is off
Nov  2 15:51:08 eve kernel: sd 4:0:0:0: [sdd] Write cache: disabled, read cache: enabled, doesn’t support DPO or FUA
Nov  2 15:51:08 eve kernel: sdd: sdd1
Nov  2 15:51:08 eve kernel: sd 4:0:0:0: [sdd] Attached SCSI removable disk

Merkt GVFS, daß ein Gerät angeschlossen wurde ?

In einer Bash als normaler User führt Ihr mal „gvfs-mount -o -i“ aus:

Da müßte dann sowas stehen :

Drive changed:      'Intenso Rainbow Line'
  Drive(0): Intenso Rainbow Line
    Type: GProxyDrive (GProxyVolumeMonitorUDisks2)
    ids:
     unix-device: '/dev/sdd'
    themed icons:  [drive-removable-media-usb]  [drive-removable-media]  [drive-removable]  [drive]
    symbolic themed icons:  [drive-removable-media-usb-symbolic]  [drive-removable-media-symbolic]  [drive-removable-symbolic]  [drive-symbolic]  [drive-removable-media-usb]  [drive-removable-media]  [drive-removable]  [drive]
    is_media_removable=1
    has_media=1
    is_media_check_automatic=1
    can_poll_for_media=0
    can_eject=1
    can_start=0
    can_stop=0
    start_stop_type=shutdown
    sort_key=01hotplug/1478096885644198

Volume added:       'Daten'
  Volume(0): Daten
    Type: GProxyVolume (GProxyVolumeMonitorUDisks2)
    ids:
     class: 'device'
     unix-device: '/dev/sdd1'
     uuid: '227C9F0E7E06FAF9'
     label: 'Daten'
    themed icons:  [drive-removable-media-usb]  [drive-removable-media]  [drive-removable]  [drive]
    symbolic themed icons:  [drive-removable-media-usb-symbolic]  [drive-removable-media-symbolic]  [drive-removable-symbolic]  [drive-symbolic]  [drive-removable-media-usb]  [drive-removable-media]  [drive-removable]  [drive]
    can_mount=1
    can_eject=1
    should_automount=1
    sort_key=gvfs.time_detected_usec.1478096885851240

d.b. das GVFS Kenntnis von dem neuen Gerät hat und nun an den Filemanager melden kann, daß DER es einhängen soll.

Wieso werden die dann nicht gemountet ?

Um das zu beantworten muß man etwas über Prozesskommunikation wissen. Die im OS dafür zuständige Komponente heißt D-BUS . Über den D-BUS kann Anwendung A Informationen an Anwendung B senden. Damit das auch bei Desktopanwendungen funktioniert, braucht es eine Spezialversion D-BUS X11 .

Die hatte es wohl bei meinem unterbrochenen Upgrade nicht sauber installiert, also holen wir das nach:

dnf reinstall dbus-x11

Reinstall simuliert das Entfernen und erneute Installieren in einem Rutsch. Danach noch Nautilus oder Nemo neu starten:

killall nautilus; nautilus --force-desktop

und schon tauchen die Laufwerke auch wieder auf dem Desktop und im Nautilus auf.

So leicht das hier auch klingt, in Realität hat es Stunden gedauert, bis ich das gefunden hatte.

RPM: wie man die Changelogs einsieht

Wenn man wissen möchte, was sich bei einem Update einer Software geändert hat, kann man auf die Herstellerseite gehen oder sich die von Fedora/RedHat zur Verfügung gestellten Changelogs eines Paketes ansehen.

In der Konsole geht das mit einem Befehl: „rpm -q –changelog pdfmod“ in diesem Fall für das Programm „pdfmod“

Schwieriger wird es, wenn der Kernel im Spiel ist. Davon gibt es auf jedem Linuxsystem i.d.R. mehrere Versionen, falls einer der Kernel mal nicht booten möchte. Gibt man als Paket also nur „kernel“ an, muß das nicht der Kernel sein, für den man das eigentlich wissen wollte. Daher muß man den kompletten Identifikationsstring angeben:

rpm -q --changelog kernel-4.8.4-200.fc24.x86_64

Mehr zum Thema RPM, gibts hier:

RPM Abhängigkeiten rausfindenDNF deinstalliert und nu ?