Hier ein paar Daten:

• vServer KVM Micro
• CPU: 1xvCPU
• RAM: 128 MB
• SWAP: Selbst Definierbar
• HD: 10 GB RAID 1
• Traffic: 500 GB / Monat

Viele Iso-Images z.B.:

• FreeBSD 9.0
• OpenBSD 5.0
• FreeNAS 8.0.4
• Ubuntu 11.04

Hier der Link zur Seite und zum Bestellen vServer KVM

Preis:Anstatt 3,99 Euro/Monat und mit Rabattcode 3,59 Euro/Monat

Einrichtungspauschale: 4,99 Euro Einmalig

Der Rabattcode: 10off wird während der Bestellung angegeben und ist pro Neukunde nur einmal gültig !

Die Updates werden Automatisch eingespielt und die Software lässt sich komfortable Verwalten. Das sind tolle Vorteile, allerdings gibt es auch Nachteile.

1. Der Kunde kann nicht selbst die PHP Version wählen, wenn mehrere zur Verfügung stehen.

2. Das Backup/Restore Konzept, von CPanel sollte nochmal stark überarbeitet werden.

3. PHP.Ini Editor sollte eingefügt werden über WHM.

Aber sonst mag ich’s sehr.

Als ich mir die eMails dann so anguckte, was da so drin stand, traute ich meinen Augen nicht. “ssh-scan” ! Dies deutet daraufhin, das der vServer gehackt wurde und für SSH-Brute-Force Attacken verwendet wurde. Naja, nicht so schön.

Wir informierten den Kunden, das sein vServer gehackt wurde. Dieser teilte uns dann mit, das er dies Untersuchen würde. Nach einer gewissen Zeit, kam dann eine eMail zurück, das er nichts finden konnte und wir bitte einmal gucken könnten.

Ok, das taten wir. Wir fanden auch einiges. Ein Script, welches genutzt wurde um bestimmte IP-Adressbereiche zu scannen. Hmm… Aber die Frage, wie die Hacker reinkamen blieb ungeklärt.

Wir sprachen den Kunden nochmals drauf an, ob er Irgendetwas gemerkt hat oder sonstige Auffälligkeiten. Er teilte uns dann mit, das dies nicht so wäre, aber er sein Passwort verändert hätte. Da das Kind sowieso schon in den Brunnen gefallen ist, fragten wir nach seinem Passwort.

Und ?!? Ratet mal !!!! Passwort = P@ssw0rd ! Au man

Das kann doch nicht sein. Jetzt war auch klar wie das passiert ist.

Die Nacht haben wir dann noch eine Rundmail an alle Kunden geschickt, mit der bitte, die Passwörter zu prüfen und gegebenenfalls zu Ändern in ein Sicheres.

CPU: Intel Core i7-920

Ram: 128 MB

Swap: 256 MB

HD: 10 GB SW Raid 1

Traffic: 250 GB

IPv4: 1

Preis: 2,99 Euro/Monat

Keine Einrichtungsgebühr !

Bestellen

Dieses Produkt ist nur für Blogleser vorhanden und nicht bei uns auf der Webseite erhältlich.

Doch dies wollte er nicht. Also Überwies er mir den Rechnungsbetrag von 40 Cent via PayPal. Jetzt kann sich ja jeder Ausrechnen wieviel davon Übrig blieb. 40 Cent – 35 Cent – 1,9% Blieben 4 Cent über. Daran sollte PayPal mal Arbeiten. Denn für mich ist das Wucher.

Diese Methode funktioniert aber meißt nur bei 80% der Angriffen, das die restlichen 20%, die wirklichen Schaden anrichten nicht davon Beeindruckt werden.

Am Glücksten wäre es deshalb erstmal in seinem Netz ein unabhäniges DMZ zu errichten, in dem später der HonePot installiert wird. Wichtig dabei, das DMZ darf zwar vom Internet aus Empfangen aber nichts Senden. Nachteil bei dieser Methode. Einige, das sind die 20%, erkennen dies sehr schnell, wobei die Restlichen erstmal das System infiltrieren und dann Tools verwenden wollen, um weiteren Schaden anzurichten.

Wer Mutig ist, kann gerne den Honeypot Port 80, 22 , 25 und 21 freigeben, sollte aber dabei im Blickfeld behalten, das er sich dabei auch Strafbar machen kann, da er in dem Moment Kenntniss von dem Treiben auf der Maschine hat.

Aber nun zum wesentlichen, wie Baue ich mir denn nun so ein Honeypot auf ? Für Anfänger ist dies nicht Leicht zu beantworten, deshalb gibt es das Projekt HoneyWall welches dafür extra eine Iso bereitstellt, mit welchem ein komplettes Honepot betrieben werden kann inkl. Auswertungstools usw.

1. Netzwerk mittels eigener DMZ vorbereiten.
2. HoneyWall Iso runterladen.
3. HoneyWall auf dem Server installieren.
4. Firewall einrichten. Internet -> DMZ=OK. DMZ->Internet != OK
5. Lernen mit den Tools umzugehen.

Wenn die ersten 4 Punkte erledigt worden sind ist schon ein großer Schritt getan. Denn, ist die Firewall des Netzwerks noch so gut, ein guter Hacker kommt immer noch rein. Deshalb ein Täuschungsmanöver aufbauen mit einem HoneyPot.

Zu Punkt 5 werde ich demnächst kommen, aber jetzt erstmal viel Spaß mit der Installation und dem Ausprobieren.

Die Veränderungen in der neuen Version sind wirklich sehr Stark.

1. Ncat, eine Art Clone von netcat, welches ein Schweizer Armeemesser für die Analyse von Datentransfer un Debugging ist.
2. Ndiff, welches dazu Ausgelegt ist , periodisch Netzwerke zu scannen und diese Reports zu melden.
3. NSE, die Nmap Scan Engine, welches es ermöglicht kleine Scripte zu entwickeln und mit Nmap laufen zu lassen.
u.v.m.

Leider darf ich hier keinen Link setzen zu diesem Tool, weil das Deutsche Gesetz sich nunmal geändert hat, aber jeder kennt wohl die Seite. Ansonsten einfach “googlen”.

OK. Aber nun zum wichtigsten. Wie bringe ich denn nun eGroupware bei zu synchronisieren. Das ist eigentlich sehr Einfach. Denn das Modul syncml.php wir mit eGroupware schon ausgeliefert. Man muß es nur noch freischalten damit sich andere Geräte mit eGroupware verbinden können.
Wenn also alles installiert ist und richtig eingerichtet wurde, darauf will ich jetzt nicht näher eingehen. Dann braucht man nur noch aufpassen, welche Art von PHP5 mit Apache verwendet wird. Entweder PHP5 als Module oder PHP5 via CGI.
Sollte PHP5 als Modul aktiviert sein, müssen folgende Zeilen in der Apache Konfiguratiosndatei oder in der vhost.conf eingefügt werden.

< Location /egroupware/rpc.php >
php_admin_value mbstring.func_overload 0
Order allow,deny
Allow from all
< /Location >

Wenn PHP5 via CGI betrieben wird, wie z.B. bei ISPcP, dann muß folgender Code in der Konf-Datei landen.

< Location /egroupware/rpc.php >
Order allow,deny
Allow from all
AddHandler php5-script .php
Action php5-script /cgi-bin/php5
< /Location >

Danach muß der Apache einmal neugestartet werden. Prüfen kann man das ganze, indem man auf die Webseite http://xxxxx/egroupware/syncml.php geht. Wenn keine Fehler erscheinen, läuft alles und man kann sich mit seinen Clients verbinden.

Da auf eMails keine Reaktion erfolgt, habe ich dies nunmal Telefonisch Versucht. Allerdings gibt es laut Impressum nur eine Telefonummer in New York. Naja egal, also Angerufen. Und was kam mir entgegen, “Kein Anschluß unter dieser Nummer”. Ok wurde auf Deutsch übersetzt. Jetzt stehe ich ein bischen Ratlos dar. Hat einer von Euch noch eine Idee, wie man dieses Unternehmen erreichen kann. Denn solangsam werde ich das Gefühl nicht los, das das Prinzip der Firma ist, Daten sammeln auf Teufel komm raus. Vielleicht hat einer nen Tipp.

Mittlerweile weiß ich wie dies geht, dank der ausgezeichneten Mailingliste. In der Mailingliste hat ein User einen Patch veröffentlicht, mit welchem ein Sprachgesteuerte Menüführung möglich ist. Hier der Link.
Die Installation ist dabei recht simpel.

1. Patch nach /usr/src/patch-ivr entpacken und ausführen

cd /usr/src && tar -xzf ivr-patch.tar.gz
cd / && patch -b -p0 < /usr/src/ivr-patch/ivr.patch

2. Rechte für Datei e-ivr.ael.php setzen
chmod 755 /opt/gemeinschaft/etc/asterisk/e-ivr.ael.php

3. Datenbankstruktur erweitern

mysql asterisk -u root -p < /usr/src/ivr-patch/ivr.sql

4. Dialplan neu generieren

/opt/gemeinschaft/sbin/gs-ast-dialplan-gen
/opt/gemeinschaft/sbin/gs-ast-dialplan-reload

Gesagt getan. Allerdings funktioniert das ganze nicht sofort, da ich mich irgendwie durch Vorheriges ausprobieren bei der VoIP Anlage verdaddelt hatte. Die Konsequenz davon war, das ich das System nochmal neu Aufsetzen mußte. Naja zum Glück nur ein Test-System.