ITrig

Zum kleinen Freitag mal wieder leichte Kost.

Linux Logos in ASCII Art im Terminal darstellen sind eigentlich ein alter Hut. Da ich diese hier im Blog noch nie erwähnt hatte, wird es Zeit es nachzuholen.

Im Prinzip gibt es mehrere Möglichkeiten, zwei davon stelle ich hier vor, da diese auch mit einem aktuellen System (Ubuntu 14.04) gut funktionieren.

ASCII Art auf der Konsole mit Linux Logo

Dieses alte Paket ist schon eine Weile bei Ubuntu mit dabei und lässt sich dementsprechend einfach installieren

sudo apt-get install linuxlogo

Der Start erfolgt mit linuxlogo -L "Option", so lässt sich beispielsweise das Ubuntu Logo mit Systemwerten ausgeben.

linuxlogo -L ubuntu

Ein Liste mit alle verfügbaren Logos lässt sich ebenfalls auflisten.

linuxlogo -L list

Available Built-in Logos:
        Num     Type    Ascii   Name            Description
        1       Classic Yes     aix             AIX Logo
        2       Classic Yes     bsd             FreeBSD Logo
        3       Banner  Yes     bsd_banner      FreeBSD Logo
        4       Classic Yes     irix            Irix Logo
        5       Banner  Yes     solaris         The Default Banner Logos
        6       Banner  Yes     banner-simp     Simplified Banner Logo
        7       Banner  Yes     banner          The Default Banner Logo
        8       Classic Yes     classic-nodots  The Classic Logo, No Periods
        9       Classic Yes     classic-simp    Classic No Dots Or Letters
        10      Classic Yes     classic         The Default Classic Logo
        11      Classic Yes     core            Core Linux Logo
        12      Banner  Yes     debian_banner_2 Debian Banner 2
        13      Banner  Yes     debian_banner   Debian Banner (white)
        14      Classic Yes     debian_old      Debian Old Penguin Logos
        15      Classic Yes     debian          Debian Swirl Logos
        16      Classic Yes     gnu_linux       Classic GNU/Linux
        17      Banner  Yes     mandrake_banner Mandrake(TM) Linux Banner
        18      Banner  Yes     mandrake        Mandrakelinux(TM) Banner
        19      Banner  Yes     mandriva        Mandriva(TM) Linux Banner
        20      Banner  Yes     pld             PLD Linux banner
        21      Banner  Yes     redhat          RedHat Banner (white)
        22      Banner  Yes     slackware       Slackware Logo
        23      Banner  Yes     sme             SME Server Banner Logo
        24      Banner  Yes     sourcemage_ban  Source Mage GNU/Linux banner
        25      Banner  Yes     sourcemage      Source Mage GNU/Linux large
        26      Banner  Yes     suse            SUSE Logo
        27      Banner  Yes     ubuntu          Ubuntu Logo

Das Tool bietet noch weitere Zusatzoptionen wie s/w oder einbinden der aktuellen Auslastung. 

Sollte ein Befehl falsch eingegeben werden erscheint ein ASCII Teufel, probiert es aus.

Linux Logo beim Login anzeigen

Damit das ASCII Logo beim Login angezeigt wird, genügt ein Eintrag in der bashrc.

nano .bashrc

if [ -f /usr/bin/linux_logo ]; then
        linux_logo -L ubuntu;
fi

Archey - Linux ASCII Art im Terminal

Eine andere Möglichkeit diverse Logos mit Systemwerten im Terminal darzustellen bietet Archey. Das ebenso betagte Paket, arbeitet auch heute noch einwandfrei.

wget https://github.com/downloads/djmelik/archey/archey-0.2.8.deb
sudo dpkg -i archey-*
archey

Archey Logo beim Login anzeigen lassen

Auch hier lässt sich das Logo einfach über die bashrc in den Login mit einbinden.

nano .bashrc

if [ -f /usr/bin/X11/archey ]; then
        archey;
fi

Beim Web Security Dojo handelt es sich um eine fertig eingerichtete virtuelle Maschine, welche sich an werdende Penetrationstester oder Web Security Experten richtet. 
Das virtuelle System bietet sich aber genauso als allgemeine Trainingsgrundlage für Anwendungssicherheit an.

Web Security Dojo 2.1 - hacken lernen

Gerade ist eine aktualisierte Version 2.1 des Dojos vom Maven Security Consulting erschienen, welche auf Xubuntu 12.04 LTS basiert. 

Dank der fertig installierten Umgebung kann der interessierte Anwender sofort loslegen.
Bekannte Übungen und Tools wie OWASPs WebGoat sind fertig installiert und müssen nur über den Browser aufgerufen werden. (lediglich der gewünschte Proxy muss selbst gewählt werden.)

Die erst vor wenigen Tagen erschienene Toolsammlung hat zwar Updates erhalten, alle Tools sind dennoch nicht auf dem aktuellen Stand ( Ich glaube WebGoat wurde schon in v6 veröffentlicht, im Dojo ist allerdings 5.3 installiert. Dem Lernerfolg tut dies allerdings keinen Abbruch, da die Änderungen meist nicht gravierend sind.

Folgende bekannte Trainings und Anwendungs Tools sind im Dojo vorkonfiguriert enthalten

• Damn Vulnerable Web Application (DVWA) (login: admin:password)
• Mutillidae/NOWASP
• WebGoat (login: guest:guest)
• Insecure Web App
• w3af test framework
• WAVSEP Scanner Testbench
• XSS Practice Cases (WAVSEP XSS w/ hints hidden)
• REST demos
• JSON demo
• DOM XSS demo
• Simple Maven PHP demos
• sqli-labs

Weitere hilfreiche Tools für den Umgang mit Sicherheitslücken sind ebenfalls mit an Bord

• Burp Suite (free version)
• w3af
• sqlmap
• arachni 
• metasploit
• Zed Attack Proxy 
• OWASP Skavenger
• OWASP Dirbuster
• Paros
• Webscarab
• Ratproxy
• skipfish
• websecurify
• davtest

Alle Anwendung sind im Startmenü hinterlegt und müssen nur aufgerufen werden. Webanwendungen sind im vorinstallierten Firefox als Bookmarks hinterlegt.
Einen guten Start ins Web Hacking bietet sicherlich das bereits erwähnte WebGoat oder DVWA. Gerade ersteres bietet eine Schritt für Schritt Anleitung mit Lösungshilfen wenn gewünscht.

Installation

Es genügt das OVA Image herunterzuladen und in VirtualBox zu importieren.

Das es sich bei der Testumgebung um sehr unsichere Übungsanwendungen handelt, empfiehlt es sich, die Netzwerkverbindungen der virtuellen Maschine zu kappen.

Nun aber viel Spaß beim Hacken ;)

 

Das könnte dich auch interessieren

• Ubuntu - OpenVAS 8.0 installieren, konfigurieren und ein Netzwerk scannen

• SSLyze - SSL Server Einstellungen per Kommandozeile überprüfen

• WPScan - Wordpress Schwachstellen Scanner auf Ubuntu installieren

• BackBox Linux 4.1 - Update für die Pentesting Ubuntu Distribution

• 7 IT-Forensik Linux Distributionen zur Datenrettung, Analyse, Beweissicherung oder für Penetrationstests

• Linux Tools zur IT Forensik - 3 neue Distributionen, sowie Updates für Kali Linux und DEFT

Heute ein Mini Tipp zum kleinen Freitag.

Ipv6 auf einen Tomcat Server abschalten

Um einem Tomcat Server beizubringen, dass er nur auf einer IPv4 Adresse lauscht, muss unter Ubuntu (14.04) nur ein Startparameter gesetzt werden. Danach kann mit "netstat -tlpn" geprüft werden, wo der Tomcat lauscht. Ich gehe in diesem Beispiel davon aus, dass der Server über apt-get installiert wurde.

nano /etc/default/tomcat7

oder

nano /etc/default/tomcat6

Nun die vorhanden Zeile

JAVA_OPTS="-Djava.awt.headless=true -Xmx128m -XX:+UseConcMarkSweepGC"

um einen Zusatz ergänzen

JAVA_OPTS="-Djava.awt.headless=true -Xmx128m -XX:+UseConcMarkSweepGC  -Djava.net.preferIPv4Stack=true"

Das könnte dich auch interessieren

• Selbstsignierte Zertifikate mit Subject Alternative Names (SANs) für Apache, Nginx oder Tomcat erstellen

• Tomcat 7/8 absichern - SSLv2 und SSLv3 deaktivieren - PFS aktivieren

• 9 praktische Keytool Befehle - Zertifikatsmanagement unter Java

• Anleitung - Ubuntu 14.04 LTS Server - Tomcat 7 mit Apache Server in 15 Minuten installieren und konfigurieren

In virtuellen Umgebungen ist es sinnvoll VMware Tools auf den vorhandenen Systemen zu installieren.
Neben der offiziellen Version von VMware genügt es bei Linux Maschinen die freie Variante zu installieren.

Gibt es einen Unterschied zwischen den offiziellen VMware Tools und open-vm-tools?

Im Prinzip nicht. VMware hat seine Software als Open Source Software freigegeben. Diese wurde unter dem Namen open-vm-tools in viele Distributionen integriert.

---

 

VMware Tools auf Windows installieren

Für Windows Systeme genügt es einen Rechtsklick auf die VMware Maschine zu machen und die Auswahl VMware Tools installieren im Untermenü Gast zu wählen.

---

 

Vmware Tools auf Ubuntu (14.04) oder Mint installieren

Unter Ubuntu werden die Tools mitgeliefert, hier reicht es folgendes einzugeben:

sudo apt-get install open-vm-tools

Troubleshooting Vmware Tools Ubuntu Installation

Es kann vorkommen, dass Ubuntu den xorg Server installieren will, obwohl dieser nicht aktiv ist.

The following extra packages will be installed:
  cvs debhelper defoma diffstat ethtool fontconfig fontconfig-config gettext hicolor-icon-theme html2text intel-gpu-tools intltool-debian libatk1.0-0 libatk1.0-data libcairo2 libcairomm-1.0-1 libcroco3
  libdatrie1 libdirectfb-1.2-0 libfontconfig1 libfontenc1 libgl1-mesa-dri libglibmm-2.4-1c2a libgtk2.0-0 libgtk2.0-bin libgtk2.0-common libgtkmm-2.4-1c2a libice6 libicu42 libjasper1 libmail-sendmail-perl
  libpango1.0-0 libpango1.0-common libpangomm-1.4-1 libpciaccess0 libpixman-1-0 libsm6 libsys-hostname-long-perl libsysfs2 libthai-data libthai0 libtiff4 libts-0.0-0 liburiparser1 libxaw7
  libxcb-render-util0 libxcb-render0 libxcomposite1 libxcursor1 libxdamage1 libxfixes3 libxfont1 libxft2 libxi6 libxinerama1 libxkbfile1 libxmu6 libxpm4 libxrandr2 libxrender1 libxss1 libxt6 libxtst6 libxv1
  libxvmc1 module-assistant open-vm-source open-vm-toolbox po-debconf quilt shared-mime-info tsconf x-ttcidfont-conf x11-common x11-xkb-utils xfonts-base xfonts-encodings xfonts-utils xserver-common
  xserver-xorg xserver-xorg-core xserver-xorg-input-evdev xserver-xorg-input-mouse xserver-xorg-input-vmmouse xserver-xorg-video-all xserver-xorg-video-apm xserver-xorg-video-ark xserver-xorg-video-ati
  xserver-xorg-video-chips xserver-xorg-video-cirrus xserver-xorg-video-fbdev xserver-xorg-video-i128 xserver-xorg-video-intel xserver-xorg-video-mach64 xserver-xorg-video-mga xserver-xorg-video-neomagic
  xserver-xorg-video-nouveau xserver-xorg-video-nv xserver-xorg-video-openchrome xserver-xorg-video-r128 xserver-xorg-video-radeon xserver-xorg-video-rendition xserver-xorg-video-s3
  xserver-xorg-video-s3virge xserver-xorg-video-savage xserver-xorg-video-siliconmotion xserver-xorg-video-sis xserver-xorg-video-sisusb xserver-xorg-video-tdfx xserver-xorg-video-trident
  xserver-xorg-video-tseng xserver-xorg-video-v4l xserver-xorg-video-vesa xserver-xorg-video-vmware xserver-xorg-video-voodoo zerofree

Anscheinend tritt dieser Fehler bei Ubuntu 12.04 Installationen auf. Hier hilft es den Installationsbefehl zu erweitern.

sudo apt-get install --no-install-recommends open-vm-tools

---

 

VMware Tools auf openSUSE installieren

Zunächst sollte geprüft werden, welches System in Betreib ist.

cat /etc/os-release

NAME=openSUSE
VERSION="13.1 (Bottle)"
VERSION_ID="13.1"
PRETTY_NAME="openSUSE 13.1 (Bottle) (x86_64)"

VMware Tools auf openSUSE 13.1 installieren

zypper addrepo http://download.opensuse.org/repositories/Virtualization:\
VMware/openSUSE_13.1/Virtualization:VMware.repo
    Adding repository 'VMware tools (openSUSE_13.1)' ................[done]
    Repository 'VMware tools (openSUSE_13.1)' successfully added
    Enabled: Yes
    Autorefresh: No
    GPG check: Yes
    URI: http://download.opensuse.org/repositories/Virtualization:/VMware/openSUSE_13.1/

zypper refresh
Retrieving repository 'VMware tools (openSUSE_13.1)' metadata -------------------------[\]
New repository or package signing key received:
Key ID: xxxx
Key Name: Virtualization:VMware OBS Project <Virtualization:VMware@build.opensuse.org>
Key Fingerprint: xxxxx
Repository: VMware tools (openSUSE_13.1)

Do you want to reject the key, trust temporarily, or trust always? [r/t/a/? shows all options] (r): a
Retrieving repository 'VMware tools (openSUSE_13.1)' metadata ..........[done]
Building repository 'VMware tools (openSUSE_13.1)' cache ...............[done]
All repositories have been refreshed.

zypper install open-vm-tools

VMware Tools auf openSUSE 13.2 installieren

Bei der neuesten Version kann auf die gleiche Weise vorgegangen werden.

zypper addrepo http://download.opensuse.org/repositories/Virtualization:VMware\
/openSUSE_13.2/Virtualization:VMware.repo
zypper refresh
zypper install open-vm-tools

---

VMware Tools auf CentOS 6.x (x64) installieren

Bei CentOS gilt es verschiedene Varianten zu wählen, dieses Mal wird aber nach ESXi Version unterschieden, da die offiziellen VMware Repos verwendet werden.

VMware Tools für ESXi 5.1

yum -y install http://packages.vmware.com/tools/esx/5.1/repos/vmware-tools-repo-RHEL6-9.0.0-2.x86_64.rpm
yum -y install vmware-tools-esx-nox

VMware Tools für ESXi 5.5

yum -y install http://packages.vmware.com/tools/esx/5.5/repos/vmware-tools-repo-RHEL6-9.4.0-1.el6.x86_64.rpm
yum -y install vmware-tools-esx-nox

VMWare Tools für EXSi 6.0

yum -y install http://packages.vmware.com/tools/esx/6.0/repos/vmware-tools-repo-RHEL6-9.10.0-1.el6.x86_64.rpm
yum -y install vmware-tools-esx-nox

VMware Tools auf CentOS 6 (x32) installieren

 

VMware Tools für ESXi 5.1

yum -y install http://packages.vmware.com/tools/esx/5.1/repos/vmware-tools-repo-RHEL6-9.0.0-2.i686.rpm
yum -y install vmware-tools-esx-nox

VMware Tools für ESXi 5.5

yum -y install http://packages.vmware.com/tools/esx/5.5/repos/vmware-tools-repo-RHEL6-9.4.0-1.el6.i686.rpm
yum -y install vmware-tools-esx-nox

VMWare Tools für ESXi 6.0

yum -y install http://packages.vmware.com/tools/esx/6.0/repos/vmware-tools-repo-RHEL6-9.10.0-1.el6.i686.rpm
yum -y install vmware-tools-esx-nox

Unter der gleichen URL sind ebenfalls die Repositories für CentOS 5.x zu finden, hierzu muss einfach "RHEL6" durch "RHEL5" ersetzt werden.

Linux Systeme gelten als relativ sichere Systeme, jedoch sind auch sie immer öfter von Backdoors oder Rootkits befallen (aktuelle Beispiele wären hier Jellyfish oder Ebury) 
Es kann somit nicht schaden die eigenen Systeme regelmäßig auf diverse Schädlinge zu untersuchen

Ein Tool, welches seit Langem für diesem Sektor zuständig ist, nennt sich Rkhunter (Rootkit Hunter).
Die OpenSource Software scannt nicht nur euer Linux System nach unerwünschten Gästen, sondern sucht das System auch nach veränderten Dateien oder offenen Ports ab. 

Auch diverse andere Sicherheitseinstellungen sind in den Tests enthalten. Eine Installation schadet somit sicherlich nicht.

Installation von Rkhunter auf Ubuntu 14.04 (Server)

Da Rkhunter in den Ubuntu Repositories enthalten ist, fällt ein Installation über die Paketverwaltung mehr als einfach aus.

sudo apt-get install rkhunter

In den Repositories von Ubuntu 14.04  ist die Version 1.4.0 enthalten, es kann aber auf die aktuelle Version 1.4.2 aktualisiert werden

Rkhunter auf Version 1.4.2 aktualisieren

wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.2/rkhunter-1.4.2.tar.gz

Test der Checksumme

md5sum rkhunter-1.4.2.tar.gz

Entpacken und installieren

tar xzvf rkhunter*
cd rkhunter
sudo ./installer.sh --layout /usr --install

            Checking system for:
             Rootkit Hunter installer files: found
             A web file download command: wget found
            Starting update:
             Checking installation directory "/usr": it exists and is writable.
             Checking installation directories:
              Directory /usr/share/doc/rkhunter-1.4.2: creating: OK
              Directory /usr/share/man/man8: exists and is writable.
              Directory /etc: exists and is writable.
              Directory /usr/bin: exists and is writable.
              Directory /usr/lib: exists and is writable.
              Directory /var/lib: exists and is writable.
              Directory /usr/lib/rkhunter/scripts: creating: OK
              Directory /var/lib/rkhunter/db: exists and is writable.
              Directory /var/lib/rkhunter/tmp: exists and is writable.
              Directory /var/lib/rkhunter/db/i18n: exists and is writable.
              Directory /var/lib/rkhunter/db/signatures: creating: OK
             Installing check_modules.pl: OK
             Installing filehashsha.pl: OK
             Installing stat.pl: OK
             Installing readlink.sh: OK
             Installing backdoorports.dat: OK
             Installing mirrors.dat: OK
             Installing programs_bad.dat: OK
             Installing suspscan.dat: OK
             Installing rkhunter.8: OK
             Installing ACKNOWLEDGMENTS: OK
             Installing CHANGELOG: OK
             Installing FAQ: OK
             Installing LICENSE: OK
             Installing README: OK
             Installing language support files: OK
             Installing ClamAV signatures: OK
             Installing rkhunter: OK
             Installing rkhunter.conf in no-clobber mode: OK
             >>>
             >>> PLEASE NOTE: inspect for update changes in "/etc/rkhunter.conf.22942",
             >>> and apply to either "/etc/rkhunter.conf" or your local configuration
             >>> file before running Rootkit Hunter.
             >>>
            Update complete
            

Versionsprüfung der Installation

sudo rkhunter --version

Erster Scan mit Rkhunter

Ein erster Scan gibt Erkenntnisse über das System, aber auch über "false positive" Ereignisse oder ähnliches. Diese werden am Ende in einer ausführlichen Zusammenfassung ausgegeben und lassen sich später auch über die Logs abrufen.

sudo rkhunter -c --enable all

Konfiguration von rkhunter

Sollten Fehler auftreten oder Warnungen angezeigt werden, welche definitiv keine Gefahr darstellen, kann dies unter "/etc/rkhunter.conf" beispielsweise in einer Whiteliste hinterlegt werden.

sudo nano /etc/rkhunter.conf

Auch Emailoptionen und ähnliches lassen sich hier hinterlegen. So kann unter  "MAIL-ON-WARNING="mail@me.de" der gewünschte Ansprechpartner für Warnungen hinterlegt werden.

Alternativ können Prozesse und Verzeichnisse mit Hilfe einer Whitelist von der Suche ausgeschlossen werden.

Das ist in Bezug auf einzelne Systeme mit verschiedenen Konfigurationen immer sinnvoll.

Automatisieren mit Cron

Um den Scan regelmäßig auszuführen, bietet sich ein Script in Verbindung mit einem Cronjob an.

sudo nano /home/user/rkhunter-auto.sh

 #!/bin/sh
 (
 rkhunter --versioncheck
 rkhunter --update
 rkhunter -c --cronjob -report-warnings-only
 ) | mail -s 'rkhunter pruefung' mail@me.de

sudo crontab -e

0 20 * * 7 /home/user/rkhunter-auto.sh

Mit dieser Einstellung würde rkhunter jede Woche das System scannen und nur bei Warnungen eine Meldungen abgeben.

Troubleshooting

Wie bereits erwähnt, kann es vorkommen, das Systembereiche angemahnt werden, obwohl diese keine Gefahr darstellen. Hier ein Beispiel:

sudo rkhunter -c --enable all --disable none
Invalid SCRIPTWHITELIST configuration option: Non-existent pathname: /usr/bin/lwp-request
Invalid SCRIPTWHITELIST configuration option: Non-existent pathname: /usr/sbin/prelink

In diesem Fall auf die Konfiguration zurückgreifen und unter "/etc/rkhunter.conf" die beiden Einträge auskommentieren.

---

Installation von Chkrootkit auf Ubuntu 14.04 (Server)

Doppelt hält bekanntlich besser, darum ist die Installation eines zweiten Tools, welches auf ähnlich Art und Weise das System überprüft sicherlich sinnvoll. In diesem Fall handelt es sich um das Tool Chkrootkit, welches, wie der Name vermuten lässt, ebenso auf Rootkits aus ist.

Die Installation und Konfiguration ist hier ähnlich einfach.

Installation Chkrootkit

sudo apt-get install chkrootkit

Konfiguration von Chkrootkit (wöchentliche Prüfung und Mailbenachrichtigungen)

In der Konfiguration kann eingestellt werden, ob täglich ein Check laufen soll. Alternativ lässt sich dies auch über einen extra Cronjob, z.B. monatlich lösen, wie es bei Rkhunter schon gemacht wurden.

sudo nano /etc/chkrootkit

sudo crontab -e

0 20 30 * * /usr/sbin/chkrootkit | mail -s "chkrootkit pruefung" me@home.de

Fazit

Beide Tools erfüllen im Prinzip ihren Job. Sollte ein System befallen sein, ist es effektiver solche Tools von einer nicht infizierten Live CD laufen zu lassen.

Bei einem Befall ist die sicherste Variante sowieso das Neusaufsetzen des Systems, wenn möglich.