ROOT ON FIRE » Tools

Eigener WebProxy mit PHProxy und Lighttpd

Moritz TANZER — Sun, 20 Jun 2010 12:54:28 +0000

WebProxy Server erfreuen sich immer größerer Beliebtheit, da man als User ohne Konfiguration z.B. anonym surfen (IP-Adresse wird verborgen), andere Proxy / Web Sperren umgehen und den HTTP-Verkehr verschlüsseln kann. Zusätzlich wird der URL / Browser Verlauf verschleiert, da nur die Adresse des WebProxy Server gespeichert wird. Einige WebProxy Server bietet zusätzliche Security Features wie z.B. Cookie Filtering, OS & Browser Shielding, Script Blocking, Referrer Blocking. Kostenlose öffentliche WebProxys finanzieren sich leider sehr oft durch sehr viel (zu viel) Werbung, was beim Surfen erheblich stört. Ein weiterer negativer Punkt bei öffentlichen Proxy Servern ist, dass zu bestimmten Tageszeiten eine sehr hohe Auslastung der Bandbreite zu beobachten ist und deshalb das Surfen extrem langsam ist. Zusätzlich sollte man bedenken, dass man nie genau weiß welche Daten der Betreiber des WebProxy Servers sammelt bzw. auswertet. Aus diesen Gründen habe ich beschlossen einen eigenen privaten WebProxy zu installieren und zu betreiben. Eine Rücksprache mit meinem Webspace Anbieter hat ergeben, dass es nicht erwünscht es auf deren Webspace einen Proxy wie z.B. PHProxy zu betreiben.
Deshahlb habe ich hier eine Anleitung geschrieben, wie man mit Lighttpd und PHProxy einen eigenen WebProxy installiert & konfiguriert.

I. Installation
Lighttpd kann bei den meißten Distributionen über die Paketverwaltung installiert werden. Zusätzlich werden bei Debian folgende PHP Pakete benötigt: php5-common & php5-cgi

r-o-f:/# aptitude install lighttpd lighttpd-doc php5-common php5-cgi

PHProxy kann direkt bei SourceForge heruntergeladen werden und anschließend mit z.B. unzip entpackt werden.

r-o-f:/# wget http://downloads.sourceforge.net/project/poxy/PHProxy/0.5%20beta%202/poxy-0.5b2.zip
....
r-o-f:/# unzip poxy-0.5b2.zip

II. Lighttpd Konfiguration
In der Konfigurationsdatei (etc/lighttpd/lihgttpd.conf) muss bei den Server Modulen das fastcgi Modul aktiviert werden:

server.modules = (
.....
"mod_fastcgi",
....

Am Ende der Konfig Datei muss man dann noch folgende Zeilen eintragen und anschließend den Lighttpd Server neustarten

fastcgi.server = ( ".php" => ((
"bin-path" => "/usr/bin/php5-cgi",
"socket" => "/tmp/php.socket"
)))

III. PHProxy einrichten
Die Dateien index.php, index.inc.php & style.css in das WWW-Verzeichnis kopieren, unter Debian ist das standardmäßig /var/www

Das Standardverzeichnis für Lighttpd wird mit folgender Zeile definiert:

server.document-root = "/var/www/"

IV. Letzte Schritte
In der mitgelieferten README Datei stehen einige Optionen und Variablen, die man sich aus Sicherheitsgründen anschauen sollte. Desweiteren macht es Sinn den Zugriff auf den WebProxy mittels Passwort zu schützen, wenn man nicht will dass Unbefugte darauf Zugriff haben. Wie man das macht, habe ich hier beschrieben: Lighttpd – HowTo: Passwort geschütze Verzeichnisse
Man sollte bedenken dass mal als Betreiber des Proxy verantwortlich ist, wenn illegale Sachen darüber gemacht werden.

Anschließend kann der PHProxy einfach aufgerufen werden:

Liste mit kostenlosen WebProxy Servern: http://www.root-on-fire.com/web-proxy-liste/

Windows Start mit Soluto analysieren und optimieren

Moritz TANZER — Thu, 03 Jun 2010 16:55:03 +0000

Soluto ist ein Windows Programm mit dem man den Windows Boot Vorgang detailliert analysieren kann. Wenn Soluto dauerhaft aktiviert ist, werden die Daten gespeichert und man kann die Optimierungen und Veränderungen am System überachen und über einen längeren Zeitraum auswerten.
Nach der Installation mit anschließendem Neustart, erhält man genaue Informationen über alle Programme die automatisch gestartet werden. Soluto stellt die Informationen grafisch dar und unterscheidet dabei in 3 Kategorien: Required (kann nicht entfernt werden), Potentially removeable (kann auf Grund fehlender Informationen nicht kategorisiert werden und sollte deshalb nur vom Startup entfernt werden, wenn man genau weiß was man macht), No-brainer (diese Programme können ohne Probleme aus dem Autostart entfernt werden).

Ein Klick auf ein Programm, zeigt detaillierte Informationen wie z.B. eine kurze Beschreibung oder Informationen über das was andere Benutzer gemacht haben.

Durch einen Klick auf Advanced bekommt man deutlich mehr Informationen über das entsprechende Programm wie z.B. Versionsnummer, prozentualer Anteil der Soluto-Benutzer die ebenfalls das Programm installiert haben, eine Empfehlung über die weitere Vorgehensweise, genau Zahlen was den Bootvorgang betrifft (Boot Anteil in Prozent, Zeit, Disk) und die zugehörigen Prozesse.

Soluo Webseite: http://www.soluto.com

Nmap 5.30 BETA1 released

Moritz TANZER — Tue, 30 Mar 2010 19:21:51 +0000

Zwei Monate nach der Veröffentlichung von Nmap 5.21 wurde gestern die Nmap Version 5.30BETA1 von Gordon “Fyodor” Lyon released. Die Installation funktioniert genauso wie bei der Version 5.00, siehe hier: NMAP 5.00 – Installation

Ein Auszug der neuen Features bzw. Änderungen:
- 37 neue offizielle NSE (Nmap Scripting Engine) Scripts (insgesammt 117)
- Nping Integration in einer Alpha Test Version
- neue Prüfsummen bzw. Payloads für verschiedene Service
- mehr als 100 weitere signifikante Veränderungen

Alle Änderungen findet man in der Nmap Hackers Mailing List
Weitere Informationen: nmap.org

Hping3 & Nmap 5 Cheatsheets

Moritz TANZER — Wed, 17 Mar 2010 19:53:29 +0000

gefunden bei: www.professionalsecuritytesters.org

…

Netzwerk und Service Discovery mit Fing

Moritz TANZER — Wed, 17 Feb 2010 16:58:25 +0000

Fing ist ein kostenloses Kommandozeilen Tool zur Netzwerk und Service Discovery. Die Ausgabe kann auf verschiedene Arten erfolgen: CSV, XML, Text oder HTML. Zur Zeit gibt es noch keine GUI, es wird jedoch ein Step-by-Step Assistent mitgeliefert. Der Nachfolger von Look@LAN ist für Linux, Mac OS und Windows verfügbar.

Beispiel:

C:\>fing -n 192.168.1.0/24 -o table,html,C:\test.html

Host Discovery HTML-Report:

Service Discovery HTML-Report:

Quelle: http://www.over-look.com

Netzwerk Pakete mit Nping generieren

Moritz TANZER — Tue, 02 Feb 2010 20:29:49 +0000

Nping ist ein Open Source Tool mit dem man Netzwerk Pakete generieren, Antwort-Pakete analysieren und Antwort-Zeiten im Netzwerk messen kann. Nping kann Pakete verschiedene Protokolle generieren und sämtliche Werte bzw. Flags im Protokoll-Headers manipulieren.

Die Ziele werden bei Nping genau wie bei Nmap auf verschiedene Arten bestimmt, alles was keine Option ist wird automatisch als Ziel definiert. Details zu den verschiedenen Möglichkeiten findet man in meinem Blog Post:
Nmap 5.0 – Howto Teil 1: Ziele richtig definieren.

Nping unterstützt verschiedene Paket Typen bzw. Test Arten: TCP Connect, TCP, UDP, ICMP, ARP und Traceroute.
Die Man Page liefert eine genaue Übersicht der verschiedenen Test Arten und der zahlreichen möglichen Funktionen.

Nping ist auf der Downloadseite für Linux, MAX OS X und Windows erhältlich.

I. Installation unter Debian

r-o-f:~# wget http://nmap.org/nping/dist/nping-0.1BETA2/nping-0.1BETA2.tar.gz
r-o-f:~# tar -xzf nping-0.1BETA2.tar.gz
r-o-f:~# cd ./nping-0.1BETA2
r-o-f:~/nping-0.1BETA2# ./configure
r-o-f:~/nping-0.1BETA2# make
r-o-f:~/nping-0.1BETA2# make install
r-o-f:~# nping --version

Nping version 0.1BETA2 ( http://nmap.org/nping )

II. Beispiel

Die Option -c: definiert die Anzahl der Durchläufe (=3), mit –tcp: wird der TCP Mode aktiviert und mit -p: werden die Ziel-Ports (80 & 443) bestimmt.

r-o-f:~# nping -c 3 --tcp -p 80,433 scanme.nmap.org

Starting Nping 0.1BETA2 ( http://nmap.org/nping ) at 2010-02-02 21:19 CET
SENT (0.0000s) TCP 10.0.0.10:63125 > 64.13.134.52:80 S ttl=64 id=7602 iplen=40 seq=1933904507 win=1480
RCVD (0.2080s) TCP 64.13.134.52:80 > 10.0.0.10:63125 SA ttl=44 id=0 iplen=44 seq=330730089 win=5840
SENT (1.0010s) TCP 10.0.0.10:63125 > 64.13.134.52:433 S ttl=64 id=5124 iplen=40 seq=1933904507 win=1480
SENT (2.0010s) TCP 10.0.0.10:63125 > 64.13.134.52:80 S ttl=64 id=37991 iplen=40 seq=1933904507 win=1480
RCVD (2.2420s) TCP 64.13.134.52:80 >10.0.0.10:63125 SA ttl=44 id=0 iplen=44 seq=332764473 win=5840
SENT (3.0040s) TCP 10.0.0.10:63125 > 64.13.134.52:433 S ttl=64 id=22002 iplen=40 seq=1933904507 win=1480
SENT (4.0050s) TCP 10.0.0.10:63125 > 64.13.134.52:80 S ttl=64 id=37289 iplen=40 seq=1933904507 win=1480
RCVD (4.2630s) TCP 64.13.134.52:80 > 10.0.0.10:63125 SA ttl=44 id=0 iplen=44 seq=334783067 win=5840
SENT (5.0060s) TCP 10.0.0.10:63125 > 64.13.134.52:433 S ttl=64 id=62138 iplen=40 seq=1933904507 win=1480

Max rtt: 257.629ms | Min rtt: 207.723ms | Avg rtt: 235.445ms
Raw packets sent: 6 (240B) | Rcvd: 3 (138B) | Lost: 3 (50.00%)
Tx time: 5.00633s | Tx bytes/s: 47.94 | Tx pkts/s: 1.20
Rx time: 6.00893s | Rx bytes/s: 22.97 | Rx pkts/s: 0.50
Nping done: 1 IP address pinged in 6.01 seconds

Nmap 5.20 stable released

Moritz TANZER — Wed, 20 Jan 2010 19:32:32 +0000

Gordon “Fyodor” Lyon hat soeben das erste Stable Release 5.20 seit der Version 5.00 (Juli 2009) freigegeben.
Es wurden seit der Version 5.00 mehr als 150 signifikante Verbesserungen integriert:
- 31 neue NSE (Nmap Scripting Engine) Scripts (insgesammt 80)
- verbesserte Performance und weniger Speicherverbrauch
- Protokoll spezifische Payloads für effizientere UDP-Scans
- komplett überarbeitete Traceroute Engine
- Erweiterung der Betriebssystem- und Versionserkennung Datenbank (insg. mehr als 10.000 Signaturen)

Nmap 5.2 Installation unter Debian:

r-o-f:~# wget http://nmap.org/dist/nmap-5.20.tar.bz2
r-o-f:~# bzip2 -cd nmap-5.20.tar.bz2 | tar xvf -
...
r-o-f:~# cd ./nmap-5.20
r-o-f:~/nmap-5.20# ./configure
...
r-o-f:~/nmap-5.20# make
...
r-o-f:~/nmap-5.20# make install
...
NMAP SUCCESSFULLY INSTALLED
r-o-f:~/nmap-5.20# nmap --version

Nmap version 5.20 ( http://nmap.org )

Alle Änderungen und Verbesserungen findet man in der Nmap Hackers Mailingliste
Weitere Informationen: nmap.org
Übersicht NSE-Scripts: http://nmap.org/nsedoc/
Download: http://nmap.org/download.html

PHProxy – eigenen Web-Proxy betreiben

Moritz TANZER — Tue, 19 Jan 2010 17:59:48 +0000

Zu den großen Nachteilen von kostenlosen Web-Proxys zählt, dass sie oft sehr viel Werbung zeigen, je nach Tageszeit eine sehr hohe Auslastung aufweisen, zum Teil durch den Betreiber zensiert bzw. der Traffic limitiert ist z.B. bei größeren Downloads und man natürlich nie genau weiß, welche Daten der Betreiber sammelt und was er damit macht.
Je nach Anwendungsgebiet bietet es sich dehalb an, einen eigenen Web-Proxy zu installieren:
PHProxy ist ein kostenloser in PHP programmierter Web-Proxy, der ohne weitere Installation und Konfiguration läuft. Man benötigt lediglich einen Webspace mit PHP Unterstützung (mind. Version 4.3.0).
Um PHProxy einzurichten, lädt man einfach das Archiv proxy-0.5b2.zip herunter und entpackt es. Anschließend kopiert man die Files: index.php, index.inc.php, style.css auf den Webspace und kann jetzt über die definierte Adresse auf den Web-Proxy zugreifen.
Man sollte sich jedoch vorher gründlich überlegen, ob man den eigenen Web-Proxy veröffentlicht bzw. überhaupt bei seinem Webhostingpaket betreiben darf.

Weiterführende Links:
Liste mit kostenlosen Web-Proxys: http://www.root-on-fire.com/web-proxy-liste/
Artikel über Web-Proxys: Web Proxy: Anonym surfen, Filter umgehen
Blog-Post zum Thema von Nils auf webdomination.de

DNS Latency mit SmokePing messen

Moritz TANZER — Wed, 13 Jan 2010 19:54:57 +0000

Die Funktionen und Installation von SmokePing habe ich in einem älteren Post beschrieben.
Bei debian findet man die Konfigruationsdateien für SmokePing nach einer Installation mittels Paketmanager standardmäßig unter /etc/smokeping/config.d/. In der Konfigurationsdatei Probes kann man weitere Tests und Systemweite Standardeinstellungen bzw. Variablen definieren. Eine Übersicht der verfügbaren “Probes” ist auf der offiziellen Homepage zu finden: hier.

Konfiguration um die DNS Latency mittels dig und Smokeping zu überwachen:

/etc/smokeping/config.d/Probes

...
+ DNS
binary = /usr/bin/dig <------ Pfad zur dig Binary
forks = 5 <------ maximal gleichzeitig laufenden Prozesse
pings = 5 <------ Anzahl der Pings
step = 180 <------ Check-Intervall Dauer
timeout = 10 <------ Standard Timeout = 5
...

/etc/smokeping/config.d/Targets

...
+ Root-on-Fire
menu = Root-on-Fire
lookup = root-on-fire.com <----- aufzulösende Adresse
host = root-on-fire.com <----- DNS-Server
...

Beispiel: DNS-Check

Nmap 5.0 – Windows Version

Moritz TANZER — Wed, 06 Jan 2010 13:15:21 +0000

Nmap 5.0 für Windows gibt es auf der offiziellen Nmap-Homepage im Dowload Bereich als ausführbare EXE. Mittels des Nmap Windows-Installer kann man direkt alle benötigten und optionalen Komponenten wie z.B.: WinPcap, Registry Veränderungen und Performance Tweaks, Zenmap (grafisches Frontend) installieren.
Nmap unterstützt alle Windows Versionen seit NT, inklusive 2000, XP, Vista, Windows 7 und die Server Varianten 2003 und 2008.
Bis auf den Connect-Scan (-sT) gibt es keine großen Geschwindigkeitsunterschiede zur Unix-Variante. Mit dem Registry-Schlüssel nmap_performance.reg kann die Connect-Scan Geschwindigkeit deutlich verbessert werden. Standardmäßig werden diese Registry Änderungen bereits durch den Installer vorgenommen. Händisch können die Änderungen aus einem Command Prompt mit folgendem Befehl vorgenommen werden: regedit32 nmap_performance.reg Dabei werden folgende DWORD-Werte gesetzt:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
- MaxUserPort: 65534
- TCPTimedWaitDelay: 30
- StrictTimeWaitSeqCheck: 1

Der Installer erweitert automatisch die PATH Systemvariable um folgenden Eintrag: C:\Program Files\Nmap.
Dann muss man nicht den vollen Nmap-Pfad angeben, wenn man Nmap aus einem Command Prompt startet.

Folgende Einschränkungen gibt es zur Unix / Linux Variante:
- Man kann nicht einfach die Maschine (localhost, 127.0.0.1) von der Nmap ausgeführt wird scannen. Mann kann allerdings
einen TCP-Connect-Scan ohne Ping (-sT -PN) auf die lokale Maschine machen.
- Es werden nur Netzwerk Interfaces (inkl. 802.11 WLAN Karten und viele VPN Clients) bei Scans mit rohen TCP-Paketen
unterstützt. Einige VPN & RAS-Verbindungen werden nur dann unterstützt, wenn man einen TCP-Connect Scan ohne Ping
macht.

Intense Scan mit Zenmap:

Rechner Details:

Quelle: nmap.org