Aus dem Leben eines Szlauszafs

Mein treues - inzwischen etwas verbeultes ... - vierrädriges Gefährt begleitet mich inzwischen über 10 Jahre, und das nach längerer Standzeit während meiner Bahnpendler-Jahre in den letzten Jahren auch wieder intensiver, so daß es sogar das gefährliche Abwrackprämienjahr 2009 überstanden hat. Da muß man für dieses Bild doch einfach anhalten, egal wo:

Wer zum Netz hin Dienste anbietet - SMTP, HTTP, NNTP, SSH, ... -, kennt das Problem: irgendjemand versuchtimmer gerade, Paßworte zu erraten, Schwachstellen in gebräuchlichen (aber konkret gar nicht installierten) Webapplikationen auszunutzen oder sonstigen Unfug zu betreiben. Bereits vor Jahren war es üblich, Brute-Force-Angriffe gegen SSH-Paßworte zu fahren; nachdem auf den meisten Systemen ein Login ohnehin nur noch mit SSH-Key möglich ist, nicht mehr mit Paßwort, war das größte Ärgernis daran das vollgemüllte Logfile; dagegen half es, den SSH-Dienst schlicht auf einem anderen als dem gewöhnlichen Port anzubieten. Das ist natürlich kein Sicherheits-Feature, weil durch einen simplen Portscan feststellbar, aber durchaus bequem. Irgendwann hatte ich das noch um fail2ban ergänzt, nachdem ein besonders hartnäckiges (offenbar geknacktes) System tagelang auf dem richtigen Port versuchte, nicht vorhandene Paßworte durchzuprobieren, und der Provider auf E-Mails nicht reagierte. Ansonsten war es aber immer einigermaßen ruhig an dieser Front.

In den letzten Tagen und Wochen hat sich das dann doch geändert. Angefangen hat es bereits in den letzten Juni-Wochen mit Brute-Force-Angriffen gegen SMTP-Auth-Paßworte, die tagelang offensichtlich von einem Botnetz aus liefen (Zugriffe von einer gut dreistelligen Anzahl von IPs, ständig wechselnd) und dabei immerhin auf einem Host einen Konfigurationsfehler aufdeckten, der es tatsächlich kurzfristig erlaubte, vier oder fünf Mails zu versenden. Danach lief derselbe Versuch dann auch bei anderen Maschinen beim selben Hostinganbieter und danach bei Maschinen bei einem anderen Hoster, während ich mit fail2ban dann hinterherkonfiguriert habe; sinnvoll ist das dann nur, wenn man die Ban-Zeiten ausreichend hoch ansetzt. Sperren für 10 oder 15 Minuten bringen nur wenig, weil man dann immer noch alle 10 oder 15 Minuten entsprechende Versuche im Logfile hat; zielführend scheinen da eher Zeiten im Stundenbereich zu sein.

Als es sich an der SMTP-Front beruhigte, waren dann plötzlich Brute-Force-Angriffe gegen SSH dran (und zwar offensichtlich nach einem Portscan, nämlich gegen den richtigen Port): erst auf den Maschinen beim einen Hoster, dann, einige Tage später, bei den Maschinen beim anderen Hoster. Irgendjemand macht sich also derzeit die Mühe, systematisch die IP-Bereiche großer Anbieter von Mietservern durchzugehen, Portscans laufen zu lassen und dann gezielt Angriffe gegen die angebotenen Dienste zu starten. Insgesamt keine neue Sache, aber die Intensität ist zumindest in diesem Bereich für mich neu.

Man darf wohl davon ausgehen: besser wird es nicht mehr ...

Vor einem knappen Vierteljahr habe ich von den Apps auf meinem Smartphone berichtet. Mittlerweile sind einige kleine Helfer hinzugekommen:

Kommunikation

Hier habe ich mit Groundhog inzwischen einen Newsreader ergänzt, der sich ganz gut anläßt. Sehr schön gelöst ist das Zitieren: für jeden Absatz kann man wählen, ob er zitiert werden soll oder nicht, das erleichtert die Angelegenheit deutlich, weil das Markieren größerer Textteile sonst ja nicht so wirklich handlich funktioniert. Dafür ist der Zeilenumbruch sein schwacher Punkt, und SSL kann er leider auch nicht. Etwas besseres habe ich allerdings noch nicht gesehen.

hilfreiche Tools

• Rote Liste (“Medikamente”) - Sehr praktisch, wenn man mal ein Medikament nachschlagen oder zu einem Wirkstoff die Handelsnamen finden will! Benutzerfreundlich gelöst.
• AK Notepad - Naja, für Notizen zwischendurch ... So richtig überzeugt bin ich allerdings noch nicht. Kennt jemand eine bessere Applikation für simple Notizen?
  
• Zeiterfassung - Anwenderfreundliche Lösung, um zu erfassen, wann man - für welches Projekt - etwas tut. Verschiedene Tätigkeiten, Ein-/Ausstempeln “jetzt” oder zu einem bestimmten Zeitpunkt, automatische Pausenfunktion, Sollzeiten, Stundensätze.

Navigation

• GoTraffic - Aktuelle Verkehrsmeldungen für den deutschsprachigen Raum, auswählbar nach Gebiet, Umkreis oder Straßenbezeichnung (Autobahn / Bundesstraße).

Spiele

Motiviert von Thomas Hühns Beitrag zu dem Thema habe ich mich auch einmal auf die Suche gemacht und Blow Up, Uniwar und Age of Conquest ergänzt. Die beiden erstgenannten habe ich noch nicht wirklich intensiv genutzt, aber das letztgenannte, so etwas wie eine aufgemotzte Risiko-Variante, hat sich zum wahren Suchtfaktor entwickelt.

Und, wie immer: Wenn jemand Kommentare u.v.a Vorschläge für weitere interessante Apps hat, die auf Android-Systemen laufen: Imme rnur her damit!

Wie vor rund drei Wochen schon angekündigt hat heute die “Woche der Justiz” in Baden-Württemberg begonnen. Noch bis Samstag können Interessierte in rund 800 Veranstaltungen verschiedenster Art hinter die Kulissen des Justizbetriebs schauen.

Ich kann nur - nochmals - dazu aufrufen, diese Chance auch zu nutzen.

Nach dem letztjährigen Rutter-Konzert war die gestrige Aufführung mit zwei Stücken von Felix Mendelssohn-Bartholdy schon das dritte Konzert des Solitude-Chors, das ich mir angehört habe - jedoch diesmal das erste Freilichtkonzertauf der Bühne im Höhenpark Killesberg. Leider spielte das Wetter gestern nach der wochenlange Hitzewelle nur begrenzt mit - schon in der Nacht gewitterte es, der Morgen war verregnet und das nachmittägliche Kinderkonzert auch, was dann wohl etliche potentielle Besucher abschreckte; jedenfalls war es doch eher leer, obschon das Wetter beim abendlichen Konzert dann stabil und trocken war.

Wer nicht kam, hat, so muß ich sagen, einiges verpaßt. Zuerst konnte man dem Sommernachtstraum lauschen, der nicht aufgeführt, sondern von Rufus Beck gesprochen wurde - aber nicht einfach gesprochen, sondern in sehr launiger Weise inhaltlich zusammengefasst. Ein Genuß! - Der eigentliche (musikalische) Höhepunkt war aus meiner Sicht aber das zweite Stück des Abends, die (mir bis dato völlig unbekannte) Kantate “Die erste Walpurgisnacht” als Vertonung der (mir gleichfalls bis dahin nicht bekannten) Ballade von J. W. v. Goethe. Das muß man gehört haben ...

... oder: How to unbrick your Linksys BEFSR41.

Wie bereits an anderer Stelle geschildert, kämpfe ich mit Verbindungsabbrüchen an einem DSL-Anschluß. In diesem Zusammenhang habe ich gestern auch den dort bislang eingesetzten Linksys BEFSR41 “EtherFast Cable/DSL Router with 4-Port Switch” durch ein Neugerät ersetzt und dann für das Altgerät ein Update auf die aktuellste Firmwareversion durchgeführt (und zwar über das Webinterface). Das ging aber offensichtlich schief - möglicherweise mag der Router nur den Internet Explorer und keinen Firefox auf seinem Webinterface dulden, oder es gab andere Probleme; jedenfalls mochte nach Abschluß des Firmware-Uploads der Router nicht mehr mitspielen. Nach jedem Reboot grüßte er mit einer blinkenden Power-LED, was eine defekte Firmware kennzeichnet; die Weboberfläche steht dementsprechend gar nicht erst zur Verfügung.

Wie ich dann längerer Suche bei Google entnommen habe, kann aber auch in diesem Fall ein erneuter, korrekter Upload der Firmware via TFTP erfolgen. Dazu muß der Router durch Powercycle rebootet werden und dann binnen der nächsten ~ 5 Sekunden ein Firmware-Image mittels TFTP aufgespielt werden. TFTP ist u.a. bei Windows bereits dabei; es gibt natürlich auch diverse Shell- und GUI-Clients für alle Betriebssysteme.

Allerdings genügt das nicht; der BEFSR41 möchte nämlich für den TFTP-Upload das Routerpaßwort mitgesendet bekommen, ansonsten verweigert er die Annahme einer neuen Firmware. Allerdings unterstützen gebräuchliche TFTP-Clients keine Paßwortübertragung (wohl deshalb, weil eine Authentifizierung via Paßwort gar kein Bestandteil des Protokolls ist, sondern eine firmenspezifische Ergänzung). Der im Netz häufig zu lesende Ratschlag, das Paßwort des Routers auf “” zu setzen, also zu leeren, hilft natürlich nicht weiter, wenn der Router gar nicht mehr ansprechbar ist ...

Die einzige Lösung ist daher die Verwendung eines TFTP-Clients, der sich mit Paßwort anmelden kann. Früher fand sich ein solcher (mit GUI, für Windows) wohl auf dem FTP-Server von Linksys, jetzt bedarf es einiger Suche, um dieses Programm oder ein vergleichbares zu finden. Erfolgreich war ich u.a. mit diesem Link zur Linksys-Webseite.

Damit war die Sache dann einfach: Eingaben im Client (IP des Routers, Paßwort “admin”, Firmware-Datei) vorbereiten, Powercycle, abwarten, bis der Router auf “ping” reagiert, und dann den TFTP-Upload vornehmen. Voilà! Ein Reboot später spielt der Router dann auch wieder mit.

In der Woche vom 12.07.-17.07.2010 bieten sich den Bürgern in Baden-Württemberg die Möglichkeit, einmal einen Blick - oder auch mehrere - hinter die Kulissen der Justiz zu werfen: in diesem Zeitraum findet nämlich die (meines Wissens nach 2005) zweite Auflage der “Woche der Justiz” statt, in der eine Vielzahl von informatioven Veranstaltungen angeboten werden, von Vorträgen über Führungen und nachgespielte Gerichtsverhandlungen bis hin zur Kommentierung und Erläuterung “echter” Gerichtstermine (die ja in der Regel öffentlich sind, jedoch ohne daß dem interessierten Zuschauer eine Einführung geboten würde oder nachher Gelegenheit zu Fragen bestünde).

Neben örtlichen Aushängen und Ankündigungen kann man sich auf den Webseiten des Justizministeriums Baden-Württemberg auch eine landesweite Gesamtübersicht der Veranstaltungen herunterladen.

Für alle die, die in Baden-Württemberg oder in der Nähe der Landesgrenzen wohnen und am Rechtswesen interessiert sind, kann ich die Teilnahme an den Veranstaltungen nur empfehlen.

Man sollte es kaum glauben: schon 14 Tage, nachdem ich drei fehlzugestellte Sendungen in einem Fach “meiner” Packstation vorgefunden habe, sind diese (hoffentlich) auf dem Weg zu den richtigen Empfängern. Nicht etwas, daß DHL sich auf meine Fragen hin gemeldet hätte - nein, trotz Wiederholung meiner Anfrage vom 06.06. am 13.06. herrscht dort weiter Schweigen im Walde.

Vergangenes Wochenende hatte ich jedoch meine Rufnummer in der “Post”-Filiale hinterlassen, am vergangenen Dienstag hatte mich dann ein Zusteller von DHL zurückgerufen, der sehr hilfsbereit war und anbot, die Sendungen bei mir abzuholen und richtig einzulegen; da ich allerdings - wie der Großteil der arbeitenden Bevölkerung - tagsüber in der Regel nicht zuhause bin, wurde daraus nichts. Stattdessen sind wir so verblieben, daß ich am kommenden Samstag - also heute - die Sendungen in der o.g. Filiale abgebe, er sie dort bei nächster Gelegenheit einsammelt und dann in die Packstation verpackt, in der Hoffnung, daß die Empfänger das Warten noch nicht aufgegeben haben. So geschah es dann auch heute, und ich hoffe, daß dieses Kapitel damit abgeschlossen ist.

Von DHL bin ich schwer enttäuscht; es kann eigentlich nicht sein, daß ein Konzern für Probleme in diesem Bereich seiner Kernkompetenz offensichtlich keine Prozesse hat bzw. zwei Wochen lang nicht reagiert. Die Mitarbeiter sowohl der Post/Postbank - oder was auch immer - als auch bei DHL sind aber offenbar trotz vermutlich eher unschöner Arbeitsbedingungen überobligatorisch engagiert; das ist wenigstens ein Lichtblick.

(Übrigens habe ich von meiner eigenen vermißten Sendung natürlich noch nichts gehört und daher am vergangenen Sonntag bei Amazon den Verlust gemeldet. Antwort gab es am Sonntagnachmittag, die Ersatzlieferung traf Mitte der Woche ein. So geht das also auch.)

Nach dem gestrigen Release der praktisch komplett neu geschriebenen Version 0.3 von checkmail kann ich heute die Version 0.4 von checkmail ankündigen, die die eigentlich geplanten Änderungen enthält.

checkmail erkennt temporäre Fehler - bspw. auch beim Greylisting - jetzt als solche, statt diese E-Mail-Adressen als nicht zustellbar zu definieren; außerdem werden in jedem Fall die Antworten des Mailservers standardmäßig ausgegeben.

Überdies kann checkmail jetzt selbst eine tatsächlich zufällige - und damit mit hoher Sicherheit nicht zustellbare - E-Mail-Adresse erzeugen, wenn geprüft werden soll, ob der betreffende Mailserver überhaupt schon im SMTP-Dialog die Zustellbarkeit überprüft (ansonsten sind positive Antworten keine Garantie für die Existenz der geprüften Adresse). Die übrigen Konfigurationsangaben (der zu verwendende Absender und die Angaben für HELO/EHLO) können nun nicht nur im Script definiert, sondern auch auf der Kommandozeile übergeben werden.

Die Dokumentation wurde entsprechend aktualisiert.

Die aktuelle Version steht jeweils auf meiner Downloadseite zur Verfügung.