2009 Dezember | ROOT ON FIRE

30Dez/090

WAFP – Web Application Finger Printer V 0.01-26c3 released

WAFP (Web Application Finger Printer) ist ein Open Source Tool, das Dateien von einem definierten Web-Server downloaded und deren Checksumme gegen eine mitgelieferte SQLite3 Datenbank vergleicht. Auf diese Weise kann man mittlerweile über 600 verschiedene detaillierte Versionsnummern von Web-Applikationen herausfinden.

Beispiel:

r-o-f:~/.../wafp.rb http://www.root-on-fire.com
Collecting and fetching the files we need to identify the product ...
........................................................................................................................................................
Identified Product: wordpress (120.00 %)
Collecting the files we need to fetch ...
Fetching needed files (#833), calculating checksums and storing the results to the database:
..........................................................................................................................................................
Checking gathered/stored checksums (#833) against the selected product (wordpress) versions (#130) checksums:
....................................................................................................................................

found the following matches (limited to 10):
+-------------------------------------------------------------+
wordpress-2.8.6-beta1 446 / 450 (99.11%)
wordpress-2.8.6 446 / 450 (99.11%)
wordpress-2.8.4 444 / 450 (98.67%)
wordpress-2.8.5 444 / 450 (98.67%)
wordpress-2.8.5-beta1 444 / 450 (98.67%)
wordpress-2.8.3 444 / 450 (98.67%)
wordpress-2.8.2 443 / 450 (98.44%)
wordpress-2.8.1-RC1 443 / 450 (98.44%)
wordpress-2.8.1 443 / 450 (98.44%)
wordpress-2.8.1-beta2 874 / 900 (97.11%)
+-------------------------------------------------------------+
WAFP 0.01-26c3 - - - - - - - - - http://mytty.org/wafp/

Homepage: http://mytty.org/wafp/
Präsentation von Richard Sammet auf dem 26C3: hier

Tags: Tools, www keine Kommentare

26Dez/092

VirusTotal – Kostenloser online Viren- und Malwarescanner

VirusTotal bietet einen kostenlosen online Viren- und Malwarescanner, mit dem man verdächtige Dateien auf die Schnelle via Upload (auch SSL) oder per E-Mail überprüfen lassen kann. VirusTotal greift dabei auf die Kommandozeilenscanner vieler namhafter Anti-Virus Engines, wie z.B. Avira, ClamAV, Fortinet, F-Secure, Ikarus, Kaspersky Lab, McAfee, Symantec usw... zurück. Wenn der lokal installierte Viren-Scanner Alarm schlägt, kann man die entsprechende Datei online nocheinmal von c.a. 40 verschiedenen Anti-Virus Engines überprüfen lassen und dann entscheiden, wie man weiter vorgeht. Nach jedem Scan bekommt man einen ausführlichen Bericht wie welcher Virenscanner, die entsprechende Datei eingestuft hat.

Datei Upload:

Live Statistiken:

Ausführliche VirusTotal Statistiken: hier
Artikel von Jeffrey: http://infoblog.li/virustotal-uploader-dateien-online-auf-viren-ueberpruefen
Quelle: http://www.virustotal.com

Tags: Security, Virus, www 2 Kommentare

25Dez/090

Nmap 5.1 BETA2 released – Weihnachtsgrüße von Nmap

Gordon "Fyodor" Lyon hat gestern die Nmap Version 5.1 BETA2 freigegeben.

Ein Auszug der neuen Features bzw. Änderungen:
- 7 neue NSE-Scripts (insgesammt 79)
- Veränderter NSE-Script Output
- höhere Performance durch deutlich geringereren Speicherverbrauch
- Service-Detection: neue und aktuallisierte Fingerprints & Payloads
- Xmas-Scan: Weihnachtsgrüße im Verbose-Mode
- ...

Weihnachtsgrüße von Nmap:

r-o-f:~# nmap -sX --verbose -p 80 scanme.nmap.org

Starting Nmap 5.10BETA2 ( http://nmap.org ) at 2009-12-25 16:08 CET
Nmap wishes you a merry Christmas! Specify -sX for Xmas Scan (http://nmap.org/book/man-port-scanning-techniques.html).
Initiating Ping Scan at 16:08
Scanning scanme.nmap.org (64.13.134.52) [4 ports]
Completed Ping Scan at 16:08, 0.20s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 16:08
Completed Parallel DNS resolution of 1 host. at 16:08, 6.51s elapsed
Initiating XMAS Scan at 16:08
Scanning scanme.nmap.org (64.13.134.52) [1 port]
Completed XMAS Scan at 16:08, 1.97s elapsed (1 total ports)
Nmap scan report for scanme.nmap.org (64.13.134.52)
Host is up (0.19s latency).
PORT STATE SERVICE
80/tcp open|filtered http

Read data files from: /usr/local/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 8.74 seconds
Raw packets sent: 6 (232B) | Rcvd: 1 (28B)

Alle Änderungen findet man in der Nmap Development Mailingliste
Weitere Informationen: nmap.org

Tags: News, Nmap, Security keine Kommentare

17Dez/090

Quick & Dirty: Icinga 1.0 Installation

I. Folgende Pakete werden benötigt um Icinga zu installieren:
- Webserver: apache
- GCC-Compiler
- C/C++ development libraries
- GD -Development-Libraries für statusmap- und trends-CGIs

r-o-f:~# aptitude install apache2 build-essential libgd2-xpm-dev libjpeg62 libjpeg62-dev libpng12 libpng12-dev

II. Pakete herunterladen, validieren und entpacken

r-o-f:~# wget http://sourceforge.net/projects/icinga/files/icinga/1.0/icinga-1.0.tar.gz/download
r-o-f:~# wget http://sourceforge.net/projects/icinga/files/icinga/1.0/icinga-1.0.tar.gz.md5/download
r-o-f:~# md5sum -c icinga-1.0.tar.gz.md5
icinga-1.0.tar.gz: OK
r-o-f:~# tar xvzf icinga-1.0.tar.gz

III. Icinga Benutzer und Gruppe anlegen, Passwort definieren

r-o-f:~# useradd -m icinga
r-o-f:~# passwd icinga
Geben Sie ein neues UNIX-Passwort ein:
Geben Sie das neue UNIX-Passwort erneut ein:
passwd: Passwort erfolgreich geändert

r-o-f:~# ls -l /home/
insgesamt 24
drwxr-xr-x 2 icinga icinga 4096 17. Dez 19:18 icinga

Mit -m Parameter bei useradd wird gleichzeitig ein gleichnamiges Homeverzeichnis angelegt.

IV. Kompilieren und Installieren

r-o-f:~# cd icinga-1.0
r-o-f:~/icinga-1.0# ./configure
....
*** Configuration summary for icinga-core 1.0 12-16-2009 ***:

General Options:
-------------------------
Icinga executable: icinga
Icinga user/group: icinga,icinga
Command user/group: icinga,icinga
Embedded Perl: no
Event Broker: yes
Build IDOUtils: no
Install ${prefix}: /usr/local/icinga
Lock file: ${prefix}/var/icinga.lock
Check result directory: ${prefix}/var/spool/checkresults
Init directory: /etc/init.d
Apache conf.d directory: /etc/apache2/conf.d
Mail program: /usr/bin/mail
Host OS: linux-gnu

Web Interface Options:
------------------------
HTML URL: http://localhost/icinga/
CGI URL: http://localhost/icinga/cgi-bin/
Traceroute (used by WAP): /usr/sbin/traceroute
....
r-o-f:~/icinga-1.0# make all
....
*** Compile finished ***
....
r-o-f:~/icinga-1.0# make fullinstall

Mit make fullinstall wird das Hauptprogramm, CGIs, API, HTML Files, Init-Scripte (/etc/init.d/) installiert und die Berechtigungen für das External-Command-Verzeichnis gesetzt.
Unter /usr/local/icinga/etc wird eine Beispielkonfiguration angelegt. Zusätzlich wird unter /etc/apache2/conf.d/icinga.conf die Konfiguration für das Web-Interface plaziert. Danach muss der Webserver neu gestartet werden.

V. Web-User und Passwort definieren

r-o-f:~# htpasswd -c /usr/local/icinga/etc/htpasswd.users root-on-fire
New password:
Re-type new password:
Adding password for user root-on-fire

Mit dem -c Parameter legt htpasswd die htpasswd.users Datei neu an bzw. überschreibt ohne Nachfrage das alte File!
Weitere user können ganz einfach mit folgendem Befehl angelegt werden:

r-o-f:~# htpasswd /usr/local/icinga/etc/htpasswd.users another-user

VII. Nagios Plugins herunterladen, kompilieren und installieren

r-o-f:~# wget http://prdownloads.sourceforge.net/sourceforge/nagiosplug/nagios-plugins-1.4.14.tar.gz
r-o-f:~# tar xvzf nagios-plugins-1.4.14.tar.gz
r-o-f:~# cd ./nagios-plugins-1.4.14
r-o-f:~/nagios-plugins-1.4.14# ./configure --prefix=/usr/local/icinga --with-nagios-user=icinga
r-o-f:~/nagios-plugins-1.4.14# make
r-o-f:~/nagios-plugins-1.4.14# make install

VIII. Kontakt & Berechtigung definieren
Icinga regelt die Benutzerberechtigung wie Nagios über die Kontaktgruppen. Der Web-User muss in einer der definierten Kontaktgruppen sein. Sonst kann er sich zwar einloggen, wird aber nichts sehen.
Ein neuer Kontakt kann in der /usr/local/icinga/etc/objects/contacts.cfg definiert werden:

define contact{
contact_name root-on-fire
use generic-contact
alias ROOT ON FIRE
email r-o-f@localhost
}

Wenn bei dem Service bzw. Host definiert ist, dass eine Kontaktgruppe benachrichtigt werde soll, muss der Kontakt noch zu der entsprechenden Gruppe hinzugefügt werden. Das wird auch in der contacts.cfg definiert:

define contactgroup{
contactgroup_name admins
alias Icinga Administrators
members icingaadmin,root-on-fire
}

Weitere Web-Berechtigungen werden in der /usr/local//icinga/etc/cgi.cfg definiert.

VII. Konfiguration überprüfen und Icinga starten
Mit den folgdenen Befehlen kann die Konfiguration vor dem Start bzw. Restart überprüft werden.
Der erste Befehl ist deutlich ausführlicher...

r-o-f:~# /usr/local/icinga/bin/icinga -v /usr/local/icinga/etc/icinga.cfg
....
....
Things look okay - No serious problems were detected during the pre-flight check

oder

r-o-f:~# /etc/init.d/icinga checkconfig
Running configuration check... OK.

Wenn bei der Überprüfung keine Fehler gefunden werden kann Icinga gestartet werden:

r-o-f:~# /etc/init.d/icinga start
Starting icinga: done.

VIII. Screenshots

Quellen und weiterführende Links

Icinga Homepage: http://www.icinga.org/
Icinga Dokumentation: http://docs.icinga.org/
Deutsche Nagios & Icinga Community: http://www.nagios-portal.org
Nagios Homepage: http://nagios.org/
Nagios-Plugins: http://nagios.org/download/plugins

Tags: Icinga, monitoring keine Kommentare

16Dez/090

Icinga 1.0 Core und Icinga Web 0.9.1 alpha veröffentlicht

Das Icinga Team hat heute die erste Stable Version 1.0 und Icinga Web 0.9.1 alpha freigegeben. Icinga ist ein aus der deutschen Nagios Community enstandener Nagios Fork. Auf der Homepage von Icinga findet man neben einem Demo System auch ein Zugang zur Demo des neuen Web Interface, welches bereits im alpha Status der Nagios Weboberfläche um Welten voraus ist.