Apache – .htaccess: No comments are allowed here

Schock in der Morgenstunde. Apache Produktionswebserver ausgefallen.

„No comments are allowed here“

Was zunächst nach einer Anpassung an die EU Datenschutz Grundverordnung klingt, ist ein harter Apachefehler, der seit 2.4.33-4 auftritt. Zum Glück ist das ein echt seltener Fehler, der durch eine Änderung des Configparsers des Webservers ausgelöst wird.

Von so einen Kommentar in einer .htaccess wird es ausgelöst :

### Hijackenden Proxys sperren ###
order deny,allow
deny from 1.1.2.4 #Webseite klaut Inhalte
### Ende Hijackenden Proxys sperren ###

und so müßte das korrekt aussehen:

### Hijackenden Proxys sperren ### 
order deny,allow 
#Webseite klaut Inhalte
deny from 1.1.2.4  
### Ende Hijackenden Proxys sperren ###

Also wenn Euch seit neustem ein 500er Fehler Eurer Webseite entgegenblickt, dann denkt an diesen Beitrag 😉

Androids K9 Mail nutzt noch TLS 1.0

Au man, man darf echt nicht nachsehen, was seine Programme so tun 🙁

K9-Mail

Das auf Android beliebte K9-Mail setzt auch gebrochene Krypto und nur als Beispiel erdachte Cipher!

2018-05-07 08:52:17 1fFa0M-0004M4-PW <= AAAAAAAAAAAAAAA H=********.dip0.t-ipconnect.de (XXXXX) [XXXXX] P=esmtpsa X=TLSv1:AES128-SHA:128 CV=no … id=1baxr95b3gdd6225t9ggj1yy.1525675936562@email.android.com

Das 146 MB große Paket enthält allen Anscheins nach nicht mal eine aktuelle SSL Implementierung. Schlimmer wäre es nur noch, wenn Sie das an Android outsourcen würden, aber wofür dann die 146 MB ? Im Programm ist nur eine „größere“ Grafik enthalten , der Rest ist pillepalle und ansonsten auch recht trivial von der Funktion her.

Für ein „Advanced Email for Android“ Programm echt enttäuschend 🙁

Mal sehen ob Sie antworten 😀

Webseite: https://k9mail.github.io/

VW Mailserver mit falschem TLS Zertifikat

Hallo Volkswagen IT, guggt Ihr mal hier :

Server: smtp.vw-rd.de
Connection converted to SSL
SSLVersion in use: TLSv1_2
Cipher in use: DHE-RSA-AES128-GCM-SHA256
Certificate 1 of 1 in chain: Cert VALIDATION ERROR(S): unable to get local issuer certificate; unable to verify the first certificate
This may help: What Is An Intermediate Certificate
So email is encrypted but the recipient domain is not verified
Cert Hostname DOES NOT VERIFY (smtp.vw-rd.de != L1074104.vt-security.de | DNS:L1074104.vt-security.de)
So email is encrypted but the host is not verified
cert not revoked by CRL
cert not revoked by OCSP
serialNumber=8c:ec:8e:f6:b1:b5:4d:49
subject= /C=de/L=Berlin/O=VOLKSWAGEN Retail/CN=L1074104.vt-security.de
issuer= /C=de/L=Berlin/O=VOLKSWAGEN Retail/CN=VOLKSWAGEN Retail VPN CA

Selbstsignierte Zertifikate auf öffentlichen Mailservern sind sowas von 2010, aber dann nicht mal das richtige Zertifikat benutzen, das geht ja mal gar nicht 😀

Arbeitsanweisung: ASAP beheben Leute!

 

Mit was läuft Eure Desktopsession?

Wayland or Not-To-Wayland

Ich dachte bislang eigentlich, daß Wayland drin ist, wenn nicht X11 draufsteht. Aber wie erkennt man das eigentlich?

Indem man das hier eingibt :

[marius@eve ~]$ echo $WAYLAND_DISPLAY

Wie man sieht kommt da nichts. Wenn Wayland im Spiel wäre, müßte da laut Redhat’s AdminGuide für Fedora ( den gibts wirklich ) „wayland-0“ rauskommen.

Das verifizieren wir jetzt mal, in dem wir unsere Loginsession ansehen und befragen :

[marius@eve ~]$ loginctl
 SESSION UID USER   SEAT  TTY 
 c2       42 gdm    seat0 /dev/tty1 
 3      1000 marius seat0 /dev/tty2

2 sessions listed.

Ich habs mal aufgehübscht. Die 3 ist, was wir suchen, nämlich unsere SessionID. Mit der können wir das LoginControl lustige Sachen fragen:

[marius@eve ~]$ loginctl show-session 3 -p Type
Type=x11

Und das ist die Bestätigung, daß wir X11 fahren. Jetzt bin ich mal auf Redhats Antwort im Bugtracker gespannt, wie sie das erklären, wo doch Fedora auf Wayland umgestellt wurde und es im Sessionlogincontext auch EXTRA eine Auflistung der Desktopsessions gibt, die mit X11 laufen, was ja impliziert, daß die anderen es nicht tun ( so eine habe ich grade laufen).

Und so sieht die ganze Sessioninfo aus :

[marius@eve ~]$ loginctl show-session 3
Id=3
User=1000
Name=marius
Timestamp=Fri 2018-05-04 09:29:20 CEST
TimestampMonotonic=546595417
VTNr=2
Seat=seat0
TTY=/dev/tty2
Remote=no
Service=gdm-password
Scope=session-3.scope
Leader=7718
Audit=3
Type=x11
Class=user
Active=yes
State=active
IdleHint=no
IdleSinceHint=0
IdleSinceHintMonotonic=0
LockedHint=no

Die interessanten habe ich eingedickt. Bis auf wenige Ausnahmen ( Sessionid ) dachte ich mir schon, daß ich ein User bin 😀

richtig schlechtes Amazon Phishing

Phishing Mailversender geben sich auch keine Mühe mehr, da hatten wir schon fast die perfekte Amazon-Phishingmail, Ihr errinnert Euch, da kommt das hier um die Ecke :

„͏Be͏n͏a͏c͏h͏r͏i͏c͏h͏t͏i͏g͏u͏n͏g vom Sicherheitsdienst: #095-45948534-1161946“

Sehr geehrte/r Kundе/in,

bеi Ihrem Аmаzоn-Konto wurdеn vеrdächtige аktivitäten fеstgеstеllt. Wir bеi Amazоn.dе nеhmеn diе Kunden-Siсhеrhеit äußеrst ernst. аus Siсhеrheitsgründen müssen Siе bеi Ihrеm Nutzеrkоnto Ihrе pеrsönlichеn Dаten bestätigen. Bis dahin wurdе Ihr Nutzerkоnto еingeschränkt.

5455 Ein Bär im Zentrum eines Mosaikes wäre hochgradig ungewöhnlich. Bei dem Rahmen handelt es sich wahrscheinlich um die nicht verstandene Leier. Die Zeichner

Diesе Sicherhеitsmаßnahme schützt Siе vor Missbrаuсh durсh Dritte.

5582 Ein Bär im Zentrum eines Mosaikes wäre hochgradig ungewöhnlich. Bei dem Rahmen handelt es sich wahrscheinlich um die nicht verstandene Leier. Die Zeichner

Bei der Bеstätigung müssеn Siе alle nötigеn Informatiоnеn zu Ihrеm Nutzerkоnto und Zahlungsdаten eintrаgеn, da Siе sоnst nicht mеhr in der Lagе sind, wеiterе еinkäufe durchzuführеn.

Klicken Siе аuf dеn untеn angezeigten Link und folgеn Siе den Anweisungen.
Wird fеstgestellt, dass Siе fаlschе Informаtionen / fаlsche Zаhlungsdaten eingeben oder diese Bеstätigung ignоrieren, wird Ihr Nutzеrkontо vоllständig gespеrrt und Siе an unsеrе Siсherhеitsаbtеilung gеmeldet.

Wеitеr [Link zu einem URL Shortener] (übеr den Sichеrheitsservеr)

Nach der Bestätigung wird Ihr Account reaktiviert.
Wir danken Ihnen für Ihr Verständnis.

5610
Mit freundlichen Grüßen
Ihr Amazon Kundenservice

Mal von den falsch gesetzten „ss“, der falschen Groß/Klein-Schreibung, den völlig unsinnigen  Sätzen mit den Zahlen am Anfang und dem bereits gesperrten Phishinglink….. wenn die Email von der Sicherheitsabteilung käme, wieso solltet Ihr die dann nochmal informieren, die sind dann ja schon informiert !!!  AAAAAAAAAAAAARGGGGS!  😀

Soviel dazu,

wenden wir uns erfreulicheren Dingen zu : Dem Emailheader

Return-path: <www-data@farindas.ml>
Envelope-to: <################>
Delivery-date: Fri, 04 May 2018 00:35:16 +0200
Received: from mout.web.de ([212.227.15.3])
	by ####################### with esmtps (TLSv1.2:ECDHE-RSA-AES128-GCM-SHA256:128)
	(Exim 4.90_1)
	(envelope-from <www-data@farindas.ml>)
	id ###################
	for #####################; Fri, 04 May 2018 00:35:01 +0200
Received: from farindas.ml (localhost.localdomain [127.0.0.1])
	by farindas.ml (8.14.4/8.14.4/Debian-4+deb7u1) with ESMTP id w43MYsZ2016697
	for <##################>; Fri, 4 May 2018 01:34:54 +0300
Received: (from www-data@localhost)
	by farindas.ml (8.14.4/8.14.4/Submit) id w43MYsHL016696;
	Fri, 4 May 2018 01:34:54 +0300
Date: Fri, 4 May 2018 01:34:54 +0300
Message-Id: <201805032234.w43MYsHL016696@farindas.ml>

Die Angreifer machen es uns sehr leicht.  Wäre das von Amazon gekommen, wo ich überhaupt kein Konto habe, stände da überall was mit Amazon.com drin 😀 Ich tippe mal auf eine Adresse aus dem firmeneigenen Cloudcontainersystem. Was es aber wirklich weggegeben hat, ist das hier  und dafür verdienen die Jungs mal so richtig viel Applause :

völlig verkackte amazon phishingmailAlso Freunde, wenn schon HTML, dann richtig 😀

Wie immer, ab in die digitale Mülltonne damit 😉

Kleiner Nachtrag:

Bei der Durchsicht des HTML Codes wurde es dann klar, die Sätze mit den Zahlen sollten gar nciht angezeigt werden. Soviel zu dem Erfolg 😀

kleiner Spaß mit HowToForge

How To Forge .. kennt Ihr bestimmt. Ist so eine Webseite, wo Leute anderen Leuten zeigen, wie Dinge funktionieren. I.d.R. sind das spannende Sachen, wie man Webserver aufsetzt z.B.  . Es gibt aber auch Dinge, die nur eine Zeile lang sind, so wie der Artikel hier:  https://www.howtoforge.com/clear-bash-history/

Um was geht es überhaupt

„Das Löschen des BASH Kommandoarchives.“

Jeder der schon mal eine Bash-Shellkonsole benutzt hat, dürfte über die Bash-History gestolpert sein, als er ab- und unabsichtlich die Cursorsteuertasten benutzt hat. Damit kann man den vorherigen Befehl  nochmal sichtbar machen, Fehler beheben und wieder abschicken. Spart eine ganze Menge Tipparbeit.

Das lief dann auf … hinaus

Der Artikel lief dann auf diesen Einzeiler hinaus:

cat /dev/null > ~/.bash_history && history -c && exit

Und so schlicht das auch aussieht, da steckt doch glatt ein „Schönheitsfehler“ drin. Naja, ok, Fehler ist zu viel gesagt, ich würde es anders machen :

echo „“ > ~/.bash_history && history -c && exit

Bevor sich jemand zu Kommentarflames genötigt sieht, die eh gelöscht werden, was jetzt kommt ist rein akademisch.

Warum ?

Wir wollen die Datei leer haben, aber in einem definierten Zustand. Das Spezial-Device /dev/null erzeugt .. nichts.. Das ist aber weniger als „leer“ 🙂 Der Ansatz mit /dev/null funktioniert natürlich, weil cat solange was ausgibt, bis nichts mehr kommt und das passiert natürlich sofort. Also steht am Ende nichts mehr in der Datei, weil mit „>“ alles übergenagelt wird, was schon drin war.

Ich persönlich, finde ‚echo „“ >‘ als Konstrukt schöner, weil eindeutiger formuliert.

echo „“ zeigt deutlich, daß wir keinen Inhalt haben wollen. Bei /dev/null ergibt sich das nur indirekt aus dem Verhalten von cat und dem Verhalten von /dev/null . Beides muß man kennen um es zu verstehen. echo „“ sagt auch einem unbedarften Leser, daß es hier um „keinen Inhalt“ geht.

Wem das jetzt zu pingelig war, hat wohl noch nie versucht fremden Programmcode zu entziffern. Da spielt die eindeutige Benennung der Methode/Funktion eine wichtige Rolle, wenn der Code schon nicht Kommentiert ist. Das gleiche Prinzip gilt auch für Bashbefehle.

Soweit zu Teil 1..  jetzt reduzieren wir das mal brutalst auf 2 Befehle 🙂

echo „“ > ~/.bash_history; killall -9 bash

Was passiert hier ?

Zunächst mal machen wir die History platt, genau wie vorher. Jetzt killen wir alle Bash Shells die laufen, was in der Regel nur die eine sein wird. Shells von Root und anderen Benutzern können wir so nicht beenden, außer wir sind root. Da die Bash hart beendet wird, kann sie Ihre History nicht mehr auf Platte schreiben, womit die Datei auch nach dem Logout noch leer ist, welcher implizit beim Killen der Bashshell passiert. Ziel erreicht, ein Befehl weniger 😀

Zu Ursachen und Nebenwirkungen, fragen Sie Ihren Arzt und Drogendealer

Keine Frage, die Methode kann Kollateralschäden in anderen Bashsessions des Users verursachen. Sie ist auch um keinen Deut „besser“ als die ursprünglich vorgestellte Methode, nur kürzer. Und nur darum ging es heute.

Quelle: https://www.howtoforge.com/clear-bash-history/

Mozilla FireFox ESR Exploit

Ok Leute, wer von Euch fährt noch eine FireFox ESR 52 Version ?  Zeit zu Updaten und zwar ZZ!

Bug 1557221 – (CVE-2018-5146) CVE-2018-5146 Mozilla: Vorbis audio processing out (Redhat)

Betroffene Software Versionen : ALLE vor  FF 59

Neue Logos scheint Mozilla, im Gegensatz zu grundlegenden Securityaudits, lieber zu mögen.

Quelle: https://www.securityfocus.com/bid/103432/info

Schau sich mal einer die Versionsliste an 😉 ALLE meint wirklich ALLE 😀

VW/AUDI Autos über WIFI-Infotainmentsystem gehackt

Was für ein 1. Mai.. Scheisswetter, aber geniale Nachrichten aus der Security-Szene:

VW/AUDI Autos über WIFI-Infotainmentsystem gehackt

Eine niederländische IT-Security Firma hat sich in 2016 mal VW und Audi Systeme vorgenommen und konnte prompt über den WIFI Zugang zum Bordcomputer in das System eindringen.
Am Ende hatten sie ROOT Zugriff auf das von Harman gelieferte Infotainmentsystem erlangt.  Aber damit nicht genug, dies erlaubte auch indirekten Zugriff auf Bremsen und Beschleunigungskontrolle des Wagens, aber da haben Sie aufgehört zu forschen, weils potentiell gefährlich würde. Ausforschen konnten sie das Fahrzeug auch, wo es war, wo es grad langfährt (in Echtzeit natürlich) und konnten das eingebaute Mikrofon vom HandyKit belauschen.

Ich persönlich fand es ja so gar nicht überraschend, daß dann auch noch TELNET im Spiel war. Überrascht war ich über QNX Neutrino als System. Da hatte ich schon seit Jahren nichts mehr von gehört, aber scheinbar wird das fleißig weiter benutzt, weil es ein RTOS ( Realtime OS ) ist. Das macht in einem Auto auch Sinn.

Damit … Herzlichen Glückwunsch VW & Audi … ich habe gerade eine Wette  gewonnen 🙂

Quelle: https://www.bleepingcomputer.com/news/security/volkswagen-and-audi-cars-vulnerable-to-remote-hacking/