BotNetzProvider.de Ein Security Blog über Honig-Töpfe (honeypots) , Bots und Bitcoin

25Jul/121

Plesk startet nicht mehr – Plesk wurde gelöscht

Mein Plesk wurde gelöscht?!

Nach einem automatischen Update ist Plesk 10.4.4 nicht mehr zu erreichen.
Es lässt sich sowohl über die Weboberfläche unter

https:://meine-domain.de:8443

als auch über SSH nicht mehr aufrufen bzw. starten.

Was ist passiert?

Bei näherer Betrachtung der Plesk autoupdate Logfiles unter /tmp/plesk_10.4.4_installation.log

**** problem report *****

ERROR while trying to chown root:psaadm /opt/psa/admin/sbin/wrapper Check the error reason(see log file: /tmp/plesk_10.4.4_installation.log), fix and try again STOP Bootstrapper 10.13.4 post-install for BASE AT Tue Jul 17 07:07:07 BST 2012 To complete product installation one should run bootstrapper script: /opt/psa/bootstrapper/pp10.13.4-bootstrapper/bootstrapper.sh repair

sieht man, dass etwas definitiv schief gegangen ist!

Zu diesem Zeitpunkt funktionieren zwar die meisten Webseiten noch auf dem Server, doch man erkennt, weitere Probleme:

  • /usr/local/psa Verzeichnis fehlt
  • /opt/psa/admin/sbin/ hier fehlen Dateien z.B. der oben genannte wrapper
  • Über 80% der Plesk Dateien sind gelöscht worden auf dem Server.

Ist der Fehler bekannt?

Laut Plesk ist der Fehler am 20.Juli.2012 behoben worden. Link
Hier wird bestätigt, dass es bei einem Mikroupdate zum Verlust von Plesk Dateien kommt.

Wir kann ich das Problem lösen?

Vorbereitung:
  • Erstellen eines Backups der Datenbank (mySQL)
  • Webseiten Daten Backups erstellen
  • Mailboxen backupen.

 

Es wird empfohlen auf die aktuelle Version 11 zu updaten (siehe http://blog.botnetzprovider.de/2012/07/25/sicherheitlucke-plesk-und-deren-folgen/

Der Plesk Installer:

Downloaden des Plesk Installers unter: http://www.parallels.com/de/download/plesk/

Dieser wird benötigt, um Plesk 11 auf Ihrem System zu installieren oder ggf. ein Upgrade auf Version 11 durchzuführen . Bitte beachten Sie, dass Sie den Plesk-Installer für Ihre Distribution downloaden.

Nun startet man den Plesk-Installer mit

./parallels_installer_v3.12.0_....

sollte dies nicht funktionieren, müsssen Sie die Datei noch ausführbar machen.

Dies geschieht mit

chmod +x parallels_installer_v3.12.0_....

Bitte folgen Sie nun den Anweisungen des Plesk-Installers.
Nach einem erfolgreichen Upgrade sollte Ihr Plesk wie gewohnt unter

https://meine-domain.de:8443

zu erreichen sein. Alle Ihre bisherigen Einstellungen sollten nun auch in Plesk 11 vorhanden sein. Passwörter und andere Einstellungen sind nicht verändert worden.
Sollten Sie Hilfe benötigen bei der Installation oder beim erstellen von Backups:

 

ITS Netzwerk Services

Unser Service umfasst:

  • Schnelle Hilfe bei akuten Sicherheitsproblemen und Hackerangriffen
  • Sicherheitslücken in CMS (z.B. Joomla,Wordpress,etc) schließen
  • Langfristige Wartung und Administration Ihrer Systeme
  • Angriffsanalysen und Auswertungen der Angriffe
  • Bedrohungsanalysen
  • Sicherheitsüberprüfung Ihrer Systeme

Wenn Sie ein individuelles Angebot einholen möchten, schicken Sie uns eine E-Mail an: service@its-netzwerk.com oder besuchen Sie uns www.its-netzwerk.com

 

 

24Okt/110

Findmyhash.py – Hashwerte online berechnen lassen

Ich bin kürzlich über ein kleines Tool gestolpert, dass es einem ermöglicht folgende Hashwerte online zu überprüfen:

Akzeptierte Hash Werte

Dazu wird der Hashwert automatisch bei diversen Hash-Cracking Webseiten hoch geladen und dann gegen deren Datenbanken geprüft. Es kann natürlich vorkommen, dass der eingegebene Hashwert nicht gefunden wird. Dann ist es hilfreich seine lokalen Rainbowtables zu verwenden. Das Skript und die Rainbowtables sollten nur dazu verwendet werden, seine eigenen Passwörter auf Schwachstellen zu untersuchen.

Benötigt wird Python zum starten des Skriptes.

Beispiele:

python findmyhash.py MD4 -h "db346d691d7acc4dc2625db19f9e3f52"
python findmyhash.py MD5 -h "098f6bcd4621d373cade4e832627b4f6"
python findmyhash.py SHA1 -h "a94a8fe5ccb19ba61c4c0873d391e987982fbbd3"
python findmyhash.py SHA224 -h "90a3ed9e32b2aaf4c61c410eb925426119e1a9dc53d4286ade99a809"
python findmyhash.py LM -h "01fc5a6be7bc6929aad3b435b51404ee"
python findmyhash.py NTLM -h "0cb6948805f797bf2a82807973b89537"
python findmyhash.py MYSQL -h "*94bdcebe19083ce2a1f959fd02f964c7af4cfc29"
python findmyhash.py MYSQL -h "94bdcebe19083ce2a1f959fd02f964c7af4cfc29"
python findmyhash.py CISCO7 -h "12090404011C03162E"
python findmyhash.py JUNIPER -h "\$9\$90m6AO1EcyKWLhcYgaZji"
python findmyhash.py LDAP_MD5 -h "{MD5}CY9rzUYh03PK3k6DJie09g=="
python findmyhash.py LDAP_SHA1 -h "{SHA}qUqP5cyxm6YcTAhz05Hph5gvu9M="

Das Script Findmyhash.py kann man hier downloaden: LINK

veröffentlicht unter: Forensic, Skripte keine Kommentare
23Mai/110

Truecrypt-Container in Festplatten Backups aufspühren

Im Beitrag über "Truecrypt-Container auf Datenträger finden" hatte ich beschrieben, wie man Container auf der Festplatte finden kann.

Hier stelle ich euch ein neues Tool vor von Mr. Will Schroeder and Mr. Tyler Dean, die für PenTestIT TCDiscover geschrieben haben. Es handelt sich dabei um ein in Python geschriebenes Skript, welches Festplatten Images, die via "dd" erstellt worden sind, nach Truecrypt-Containern absucht.

Das Tool findet ihr hier: [download tcdiscover]

So startet man TCDiscover:

Usage: ./tcdiscover.py -i 
28Apr/110

Truecrypt-Container auf Datenträger finden

Als Forensiker, wünscht man sich oft, schnell und präzise TrueCrypt Container auf einer Festplatte zu identifizieren.

Auf die Frage der Entschlüsselung oder Herausgabe von Passwörtern auf Anordnung, möchte ich hier nicht weiter eingehen. (Denkt daran, wohin man verreist und welche Daten man mit nimmt!)

Durch die tägliche Arbeit mit TrueCrypt Container habe ich ein Interessantes Tool gefunden.

TCHunt - Erkennung von TrueCrypt Containern und TrueCrypt Bootloader

Dieses Tool, welches unter Windows und Linux läuft, hilft dem Anwender, mit ein paar Mausklicks die vorhandenen TrueCrypt Container, auf dem jeweiligen Datenträger zu finden. Dabei ignoriert TCHunt jegliche Dateinamen oder Dateiendungen bei der Suche.

Leider produziert dieses Tool auch false-positives. Es kann einen normalen Container nicht, von einer Datei mit Random-Daten unterscheiden. Ein einfacher Befehl, kann zu false-positives führen, wenn man TCHunt startet. Der Autor des Tools schreibt, dass er lieber ein paar false-positives erzeugt, anstatt false-negatives als false-positives zu erkennen!

False-Positiv erzeugen unter Linux:

cat /dev/urandom > mein-container.tc

Vielleicht ist es gar nicht so abwegig, sich anhand der gegebenen Forensik Software, ein paar "fake" Container an zu legen, um die Entdeckung seiner echten Container zu verzögern.

Ich versuche diese Liste mit Programmen zur Erkennung von TrueCrypt Containern zu erweitern, sobald ich Alternativen finde. Gerne könnt Ihr mir auch einen Kommentar mit Programmvorschlägen machen.

/* google like button API */