MySQL mit billigster Schleife angreifbar

Schneller Einwurf, weil ich das extrem kritisch und gleichzeitig amüsant finde:
Bei MySQL ist es unter bestimmten Bedingungen möglich, mit dem simplen Befehl

for i in `seq 1 1000`; do mysql -u root --password=bad -h 127.0.0.1 2>/dev/null; done

an einen Root-Zugriff zu gelangen. Dazu muss ein Benutzername bekannt sein (root ist da sehr wahrscheinlich) und MySQL muss mit bestimmten Parametern kompiliert worden sein. Mehr dazu kann man bei heise oder direkt bei Metasploit nachlesen.
Bei Metasploit stehen auch direkt die bisher bekannten betroffenen Pakete dabei. Momentan sind das:

  • Ubuntu Linux 64-bit ( 10.04, 10.10, 11.04, 11.10, 12.04 )
  • OpenSuSE 12.1 64-bit MySQL 5.5.23-log
  • Fedora 16 64-bit
  • Arch Linux (Version nicht spezifiziert)

Wenn ihr also eines dieser Pakete nutzt, solltet ihr ein Update auf eine nicht betroffene Version durchführen oder zumindest den Zugriff auf MySQL auf den localhost beschränken, wenn nicht sowieso schon eingestellt.

2012 06 11 mysql exploit 1024x137 MySQL mit billigster Schleife angreifbar

Meine MySQL-Installation war zum Glück nicht betroffen. icon razz MySQL mit billigster Schleife angreifbar

Erfahrungsbericht STRATO Domain

Vor einigen Monaten habe ich mir bei Strato eine Domain registriert, um mit dieser auf meinem vServer rumspielen zu können. Unter anderem wollte ich mich mit dem Domain Name System und der Einrichtung von Bind9 beschäftigen. Da ich absolut unzufrieden mit Strato war und diese Domain nach wenigen Monaten zu einem anderen Registrar umgezogen habe, will ich hier einen Erfahrungsbericht schreiben, damit andere nicht den gleichen Fehler machen wie ich.

Stratos “Domain”-Tarif kostet 0,49€ im Monat. Da die Mindestvertragslaufzeit 12 Monate sind, kostet eine Domain also 5,88€ pro Jahr. Strato bewirbt momentan das Wegfallen der Gebühren für die ersten 12 Monate, doch dafür zahlt man eine Einrichtungsgebühr von 6,90€, ein schlechter Tausch also. Preislich ist Strato im Mittelfeld der Domainregistrare anzusiedeln, die Leistungen, die man dafür bekommt, sind den Preis allerdings nicht wert.

Die Optionsübersicht in der Domainverwaltung sieht erstmal gar nicht so schlecht aus:

2012 05 30 strato domainverwaltung 300x168 Erfahrungsbericht STRATO Domain
Wenn man aber genauer hinschaut wird erkenntlich, dass das Domainpaket absolut unbrauchbar für Leute mit irgendeinem Anspruch ist.

2012 05 30 strato domainverwaltung uebersicht 186x300 Erfahrungsbericht STRATO DomainDas größte Problem ist das Fehlen jeglicher Subdomaineinstellungen. Das ist bei Domainhostingpaketen auch nicht unbedingt üblich und wäre auch nicht weiter tragisch, wenn man dafür eigene Nameserver eintragen könnte oder wenn zumindest ein Wildcard A-Record gesetzt wäre, damit auf jede Subdomain die Einstellungen der Hauptdomain angewandt werden. Nichts davon geht. Die Subdomains werden nicht aufgelöst und selbst so essentielle Standardsubdomains wie mail.domain.de sind nicht vorbelegt. Natürlich werden dementsprechend auch keine Subdomains aufgelöst, wenn man die Domain auf eine andere, korrekt funktionierende Domain umleitet. Dementsprechend laufen sämtliche Anfragen oder Pings an Subdomains ins Leere. Außerdem ist es auch nicht möglich C-Name Records zu setzen oder eigene Mailserver einzutragen. Das Fehlen jeglicher Standardfunktionen hat mich so überrascht, dass ich erstmal sicherheitshalber den Support anschrieb, da ich von einem Fehler meinerseits ausging.

Doch die Antwort, die immerhin zwei Werktage auf sich warten ließ, war ernüchternd:

Sehr geehrter Herr Wiese,
vielen Dank für Ihre Anfrage, die ich Ihnen gerne beantworte.
Diese Möglichkeit bieten wir bei den Hosting-Paketen nicht an.
Die STRATO AG bietet für das Webhosting nur Komplett-Pakete sowie -Versionen an. Hier können keine zusätzlich gewünschten Optionen realisiert werden.
Bei unseren Servern mit Root-Zugriff haben Sie die Möglichkeit beliebige Optionen einzustellen .

Wie bitte? Erstens hatte ich kein Webhostingpaket gebucht, sondern ein Domainhosting. Ich hatte nichtmal Webspace und brauchte auch keinen, da die Domain und alle Subdomains woanders liegen sollten. Zweitens ist es eine Unverschämtheit, dass eine so simple Einstellung nur bei Root-Servern möglich sein soll. Meine nächste E-Mail war nur noch die Bitte, mir das Kündigungsformular zuzuschicken.

Fazit: Stratos Domainhosting ist für Administratoren und auch alle anderen Kunden mit Standardansprüchen absolut ungeeignet. Dadurch dass selbst die simpelsten Funktionalitäten fehlen, ist dieses Paket eigentlich nur für eine simple Weiterleitung geeignet. Doch selbst die gibt es anderswo günstiger. Die Antwortzeit des Supports kann sich ziehen, meine längste Wartezeit waren drei Werktage (Wochenende dazwischen). Strato verschickt deswegen sogar E-Mails, die davor warnen, dass die Bearbeitungszeit von Supportanfragen lange dauern kann. Das finde ich unverschämt, da sollen sie lieber neue Mitarbeiter einstellen. Bestellungen können ja auch innerhalb eines Tages erledigt werden.

Ich kann niemandem Strato empfehlen und suche jetzt mein Glück bei InterNetworX und netcup. Nach einiger Erfahrung werde ich eventuell auch davon berichten, man soll ja nicht immer nur die schlechten Erfahrungen weitergeben. icon wink Erfahrungsbericht STRATO Domain

OT: Die besten Nerd- und Geekgeschenke im Juni 2012

Ich beschreibe mich selbst gerne als Nerd und/oder Geek. Wie ich letzten Monat selbst feststellen durfte, ist es anscheinend nicht so einfach, für diese Gruppe Mensch vernünftige Geschenke zu finden. Deswegen führe ich eine neue Kategorie ein, in der ich immer wieder die meiner Meinung nach 5 besten Geschenke beschreibe, die man zu diesem Zeitpunkt einem Nerd oder Geek schenken kann. Dabei werde ich einen gewissen preislichen Rahmen nicht überschreiten, immerhin reden wir ja von erschwinglichen Geschenken.

  1. Ein T-Shirt mit dem Android Maskottchen als die verschiedenen booleschen Funktionen? Definitiv ein Spitzengeschenk für jeden Androidnutzer.
    t2 booldroid OT: Die besten Nerd  und Geekgeschenke im Juni 2012
    Preis: ab 17,90€ bei getDigital.de
  2. Eine binäre Armbanduhr. Das reicht eigentlich schon als Beschreibung, dieses Ding ist sicherlich supergeil. Durch Zufall habe ich letzte Woche so ein Teil gewonnen, weswegen ich bald auch eine besitze. Einfach klasse!
    t2 binArmbanduhr main OT: Die besten Nerd  und Geekgeschenke im Juni 2012
    Preis: 19,95€ bei getDigital.de
  3. Ein T-Shirt mit dem Lila Tentakel aus Maniac Mansion und Day of the Tentacle. Nerdig, geekig, gut.
    781 1329320849.0 None False False True 14 1329320850.0 FRONT 2.00 2.00 3.30 4.00 524 389 OT: Die besten Nerd  und Geekgeschenke im Juni 2012
    Preis: 17,80€ bei 3D Supply
  4. Max Payne 3, der dritte Teil des grandiosen und atmosphärischen 3rd Person Shooters. Wer gerne Shooter mit düsterer und bewegender Story spielt, ist hiermit hervorragend bedient.
     OT: Die besten Nerd  und Geekgeschenke im Juni 2012 OT: Die besten Nerd  und Geekgeschenke im Juni 2012
    Preis: 48,90€ bei Amazon OT: Die besten Nerd  und Geekgeschenke im Juni 2012
  5. Zu Diablo 3 muss ich eigentlich nichts sagen. Seit 12 Jahren erwartet, nun erschienen. Ich habe es mir auch bereits bestellt und brenne darauf, erneut den Fürsten der Finsternis zu besiegen. Für jeden nerdigen oder geekigen Gamer ein Muss!
     OT: Die besten Nerd  und Geekgeschenke im Juni 2012 OT: Die besten Nerd  und Geekgeschenke im Juni 2012
    Preis: 49,90€ bei Amazon OT: Die besten Nerd  und Geekgeschenke im Juni 2012

Damit wäre die erste Liste geschafft, ich hoffe, ihr konntet Inspiration finden. Falls euch noch was einfällt, könnt ihr das gerne in den Kommentaren erwähnen.

Linux Mint Debian: Live USB-Stick root Passwort setzen

Während meiner Linux Tests habe ich auch Linux Mint Debian probiert. Ein großes Problem, das ich während des Tests dieser Distribution hatte war, dass ich mit dem Live-USB-Stick, den ich mit dem Universal USB Installer erstellt hatte, das root Passwort nicht wie gewohnt ändern konnte und dadurch auch die Installation von LMDE nicht startete. Über ein normales Terminal konnte ich weder mit su noch mit sudo das Passwort ändern oder mir root-Berechtigungen beschaffen. Meine Lösung sah dann so aus:

  1. Mit Strg+ALT+F1 auf das tty1 wechseln und dort mit dem Benutzernamen mint einloggen.
  2. Mit su in die Root Shell wechseln
  3. Hier kann man nun mit passwd das root-Passwort setzen.
  4. Mit Strg+ALT+F7 wieder in den grafischen Modus wechseln.

2012 05 23 lmde root passwort 300x155 Linux Mint Debian: Live USB Stick root Passwort setzen

Nun konnte ich die Installation mit einem Rechtsklick und Open as administrator starten.

OT: Danke, Computerbild

Vor Kurzem ist Owncloud 4 erschienen und ich spiele momentan damit rum. Allerdings klappt einiges nicht, ich bekomme immer wieder die Fehlermeldung:

File does not exist: /var/www/owncloud/files/ajax, referer: http://owncloud.domain.de/?app=files

Und tatsächlich existiert die Datei ajax in dem angegebenem Pfad nicht. Also dachte ich mir, haben die Entwickler diese Datei eventuell beim Update vergessen. Dann ziehe ich sie mir halt aus dem letzten Release. Leider kann man das auf der Webseite von Owncloud nicht bekommen, hier kann man sich nur das letzte Stable Release und das neuste Entwicklerrelease herunterladen. Also habe ich mal frech nach Download Owncloud 3 gegoogelt und nicht schlecht gestaunt, als mir die Computerbild als eines der ersten Ergebnisse angezeigt wurde. Mit erfolgsversprechender Beschreibung sogar! Da ich schon bei WinSetupFromUSB die Erfahrung gemacht habe, dass Computerbild die veraltete Software zum Download anbietet, war ich hoffnungsvoll.
2012 05 25 cbild owncloud 3 276x300 OT: Danke, Computerbild
Deswegen klickte ich fix auf das Suchergebnis, kam auch tatsächlich auf eine Downloadseite, die Owncloud in der Version 3 beschrieb und lud mir die 344 KB große Datei runter.

Aber natürlich hatte ich die Rechnung ohne die Tatsache, dass der Download von Computerbild kommt gemacht. Als ich das Archiv öffnete, staunte ich nicht schlecht:

2012 05 25 cbild owncloud 3 archiv 300x227 OT: Danke, Computerbild

Bilder! In dem Archiv sind BILDER! Von einem Owncloudartikel zwar, aber nichtsdestotrotz absolut nutzlos. Die eigentliche Software lässt sich nirgends finden. SO eine Qualität bin ich von allem, was den Namen BILD enthält gewohnt. Danke, Computerbild, dass du mich nicht enttäuscht hast!

PS: Ich habe den Link zum Owncloud 3 Download dann bei Ubuntuusers gefunden. Die Datei liegt etwas versteckt noch auf den Owncloud Servern. Das Problem meiner Fehlermeldung konnte ich damit zwar beheben, aber viel besser funktioniert Owncloud 4 trotzdem noch nicht.