Echtzeitalarmierung bei Viren/Trojanerfund
Zum 15.05.21 startet cubewerk die Echtzeitalarmierung bei Viren- und Trojanerfunden. Haben Sie dauerhaft den Status Ihrer IT-Landschaft im Überblick ohne zusätzliche Software oder Verwaltungs-Tools installieren zu müssen.
Bei jedem Fund erhalten Sie eine aufbereitete Alarmierung per E-Mail. Interessiert? Sprechen Sie uns an.
UCS synchronisiert keine Änderungen aus AD – Fehlersuche & Debugging
Heutiger Fall: Ein UCS-System mit Kopano und AD-Anbindung, synchronsiert keine Änderungen mehr aus dem Active-Directory.
Log-Datei auf dem UCS tail -f /var/log/univention/connector.log zeigt keine Fehler und schreibt nur fortlaufend:
05.05.2021 09:07:31.978 LDAP (INFO ): Search AD with filter: (uSNCreated>=195380954)
05.05.2021 09:07:31.979 LDAP (INFO ): Search AD with filter: (uSNChanged>=195380954)
05.05.2021 09:07:36.982 LDAP (INFO ): Search AD with filter: (uSNCreated>=195380954)
05.05.2021 09:07:36.983 LDAP (INFO ): Search AD with filter: (uSNChanged>=195380954)
Obige Logs sieht man nur, wenn Debug-Flags aktiv sind mit
ucr set connector/debug/level=4
Zum groben Ablauf sei gesagt, dass UCS intern einen Zähler hat, der um eins hochgezählt wird, wenn es im AD eine Änderung gibt. So weiß UCS jederzeit, ob es „nachsynchronisieren“ muss, oder alle Einträge aktuell sind.
In unserem Fall hat durch einen Wechsel von Server 2008R2 auf Server 2012, Microsoft die Nummern durchgewürfelt.
Ergebnis war, dass der UCS der Meinung war, er sei bei obiger Nummer/Änderung ‚195380954‘, das Microsoft-AD jedoch weit dahinter lag. So konnte man im AD noch so viele Änderungen machen, für den UCS, waren diese nicht neu.
Wie findet man raus, auf welchem Stand das AD ist? Man wählt einen Benutzer im AD, ändert dort irgendwas und befrägt das AD vom UCS aus (exemplarisch Benutzer Administrator)
root@kopano01:/var/lib/univention-ldap# univention-adsearch CN=Administrator uSNChanged | grep uSNChanged
uSNChanged: 12829381
Und so sehen wir, das AD ist bei Änderung ‚12829381‘ – der UCS wie oben gezeigt, schon bei ‚195380954‘.
Da man jetzt nicht einfach die IDs im UCS zurückdrehen kann, da all diese auch LDAP-Commits sind, muss lediglich ein interner Zähler geändert werden, der angibt, auf welcher ID der letzte AD-Sync steht.
Dieser aktuelle Wert kann abgefragt werden mit:
root@kopano01:~# sqlite3 /etc/univention/connector/internal.sqlite „select * from AD;“
lastUSN|12829381
Dieser Wert kann jetzt mit folgendem Skript von UCS geändert werden:
https://help.univention.com/t/problem-ad-connector-stops-syncing-if-windows-ad-was-replaced/12525
Achtung: In obigem Skript ist noch ein Tippfehler. Die Variable ‚$hcusc‘ muss natürlich ‚hcusn‘ sein.
Ändert man jetzt im AD etwas für einen Benutzer, erscheint die Änderung im connector.log:
05.05.2021 10:06:49.227 LDAP (PROCESS): sync to ucs: [ user] [ modify] uid=administrator_sb,ou=benutzer,ou….
EMOTET-Trojaner ergatterte Liste von 4 Millionen E-Mail-Postfächern
der weltweit operierende Trojaner EMOTET wurde kürzlich durch ein internationales Team aus BKA, FBI und weiteren europäischen Behörden lahmgelegt. Hierbei entdeckten die Ermittler eine umfangreiche Liste von mehr als 4 Millionen E-Mail-Adressen, die der Trojaner bei seinem Streifzug abgegriffen hat.
Wie kann ich prüfen, ob (m)eine Adresse in der Liste enthalten ist oder schon früher durch ältere Angriffe abgegriffen wurden?
Geben Sie auf folgender Seite https://haveibeenpwned.com/NotifyMe Ihre E-Mail-Adresse ein und betätigen den Knopf „notify me of pwnage“. Sie erhalten eine Bestätigungsmail. Nach Bestätigung dieser, sehen Sie ob Sie in einer oder mehrerer Listen geführt sind.
Ich bin in einer Liste enthalten, was heißt das für mich?
Dies heißt, dass Ihre E-Mail-Adresse und häufig auch Ihr zu der Zeit gültiges E-Mail-Kennwort, abgegriffen wurde und u.U. ein oder mehrere Geräte von Ihnen durch den Trojaner befallen war oder noch Reste davon aktiv sind. Ändern Sie umgehend Ihr E-Mail-Kennwort bzw. alle Konten/Zugänge, wo Sie das selbe Kennwort verwendet haben und führen eine vollständige Virenprüfung Ihrer Geräte durch.
Wo finde ich weitere Informationen?
https://www.heise.de/news/Emotet-Gut-4-Millionen-kopierter-Mail-Adressen-bei-Pruefdienst-Have-I-Been-Pwned-6030480.html
Ich verstehe die Ausgabe der Ergebnisse nicht oder benötige weitere Unterstützung!
Gerne unterstützen wir Sie bei der weiteren Analyse.
Java ILO 3 – unknown ressource
Windows 10, altes HP ILO, beim Starten der JavaWS-Anwendung kommt nur unknown ressource.
Lösung ist, im IlO unter Administration -> Security > Encryption – Enforce zu aktivieren.
InnoDB: is in the future! Your database may be corrupt
Heutige Übung. Warum? Kunde hat im Betrieb die USV des Servers gewechselt.
Nach dem Wiederanlauf war die DB eines Kopano-Servers defekt. Was tun?
DB starten mit innodb_force_recovery=1. Wenn 1 nicht reicht, jeweils vorsichtigt hochzählen, bis die DB läuft.
DB abziehen, die vermutlich die defekte ist. mysqldump -u root -p kopano > sqldump.sql
Daumen drücken.
defekte DB löschen via mysql-Konsole mit drop database kopano;
Exportiere DB importieren mit mysql -u root -p kopano < sqldump.sql
innodb_force_recovery wieder deaktivieren (aus Konfig nehmen).
DB starten und hoffen.
Falls die DB meckert ala
ERROR 1813 (HY000) at line 25: Tablespace for table ‚kopano.abchanges‚ exists. Please DISCARD the tablespace before IMPORT.
in /var/lib/mysql/kopano/ alle Dateien löschen und erneut versuchen.
pfsense 2.4.5 to 2.5 vpn issue
Check the compression. PFsense 2.5 has a more secure compression setup by default.
HE ipfire ipv6 tunnel Ladeproblem von Webseiten, MTU
If you have a dual stack network you can have different MTU settings for ipv4 and ipv6.
Even though the adapter itself shows only one MTU, for ipv6 connections, the v6-MTU can be different.
As the hurricane electric tunnel has a maximum MTU of 1480, one needs to lower the interface MTU to a reasonable value.
If you have a pfsense firewall, simply set the LAN interface MTU to the value you would like to announce via radvd.
This leads to the following network/path-mtu for a linux system:
2: enp0s25: mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 3c:97:0e:eb:a1:c4 brd ff:ff:ff:ff:ff:ff
But thats only the IPv4 MTU. For ipv6 we see:
$ cat /proc/sys/net/ipv6/conf/enp0s25/mtu
1450
Ceph Disks erscheinen nicht in Proxmox
Fügt man über die Proxmox-GUI neue Ceph-OSDs hinzu, und sind oder waren diese schon einmal im Einsatz, sperrt sich ceph.
Manuell folgender Ablauf um den Fehler und die Lösung anwenden zu können:
Alle Partitionen der alten Disk löschen mit fdisk
Sicherheitshalber erneut Anfang überschreiben mit
dd if=/dev/zero of=/dev/sdh bs=1M count=1024
pveceph createosd /dev/sdh
ceph-disk activate –reactivate /dev/sdh1
command_with_stdin: Error EEXIST: entity osd.5 exists but key does not match
mount_activate: Failed to activate
‚[‚ceph‘, ‚–cluster‘, ‚ceph‘, ‚–name‘, ‚client.bootstrap-osd‘, ‚–keyring‘, ‚/var/lib/ceph/bootstrap-osd/ceph.keyring‘, ‚-i‘, ‚-‚, ‚osd‘, ’new‘, u’76f18359-8316-4c87-9d8c-347bc28b13e2′]‘ failed with status code 17ceph auth del osd.5
updated
ceph-disk activate –reactivate /dev/sdh1
creating /var/lib/ceph/tmp/mnt.RmzzZA/keyring
Hafnium Exchange Lücke – Was ist zu tun?
hiermit möchten wir Sie über ein kritisches IT-Sicherheitsproblem informieren, welches umgehenden Handlungsbedarf erfordert. Sicherlich wurden Sie bereits von Ihrem IT-Dienstleister darüber informiert. Wir möchten nur sicher gehen!
Worum geht es?
Derzeit findet ein großangelegter Hackerangriff auf Microsoft Mailserver statt. In Deutschland sind es bereits zehntausende betroffene Systeme.
Mit jeder Stunde werden weitere Systeme infiziert.
Bin ich betroffen?
Wenn Sie selbst einen Microsoft Exchange Mailserver besitzen, besteht der erhebliche Verdacht, dass Ihr Mailsystem bereits angegriffen wurde oder noch angegriffen wird. Dringendes und umsichtiges Handeln ist erforderlich. Ein reines Einspielen der von Microsoft bereitgestellten Updates reicht keineswegs aus.
Verwenden Sie ausschließlich Exchange online, sind Sie hiervon nicht betroffen.
Alle cubewerk-Installationen sind reine Linux-basierte Mailsysteme und von dieser Angriffswelle nicht betroffen.
Welches Ziel verfolgen die Angreifer?
Da die Lücke dem Hersteller seit mehreren Monaten bekannt ist, jedoch erst seit wenigen Tagen Updates zur Verfügung gestellt wurden, existiert ein zeitlicher Bereich von ca. 3 Monaten, die Hacker als Vorsprung besitzen.
In der Regel verschaffen sich die Angreifer vollen Zugang zum internen Mailsystem, installieren Hintertüren und leiten darüber Daten aus oder begehen über Ihr System als Sprungbrett, weitere Angriffe auf Systeme Dritter. Auch eine spätere Lösegeldforderung ist vorstellbar.
Was passiert, wenn ich nicht sofort reagiere?
Kann bei sofortiger Reaktion u.U. ein Angriff noch abgewendet werden, fällt mit jeder Stunde die Chance. Sind einmal interne Systeme durch Hacker übernommen, entstehen erhebliche Kosten für die Wiederinbetriebnahme Ihrer IT-Landschaft. Aber auch der Arbeits- und Produktionsausfall darf nicht unterschätzt werden.
Hinzu kommen datenschutz- und strafrechtliche Vergehen, falls personenbezogene Daten ausgeleitet wurden oder weitere Angriffe auf Unbeteiligte, über Ihre IT-Landschaft erfolgen.
Was sollte ich tun?
- Sprechen Sie umgehend mit Ihrem IT-Dienstleister
- Installieren Sie umgehend alle verfügbaren Updates
- Prüfen Sie alle Log-Dateien Ihrer Mail- und Domänenkontroller auf auffällige Einträge mit Ihrem IT-Dienstleister im 4-Augen-Prinzip
- Führen Sie umfangreiche Offline-Prüfungen der beteiligten Systeme durch
- Prüfen Sie Firewall- und IDS-Systeme auf Alarme
- Überwachen Sie Prozesse- und Benutzeranmeldungen an zentraler Stelle
Ich wurde erfolgreich angegriffen – was kann ich tun?
- Melden Sie den Vorfall umgehend der Datenschutzaufsichtsbehörde in Ihrem Bundesland
- Nehmen Sie infizierte Systeme sofort vom Netz
- Analysieren Sie den Vorfall im 4-Augen-Prinzip mit Ihrem internen oder externen IT-Dienstleister
- Führen Sie eine forensische Analyse durch und erstellen einen Notfallplan für die Wiederinbetriebnahme
