OSDC 2013 | The truth is in the logs by Jan DobersteinNETWAYS
The ability to read and understand log files is very important for a system administrator. But what if, he is so busy in interpreting and analyzing them that he has no time for something else? How can the lazy system administrator hand this task over to somebody else, without providing access to the server?
This talk will show, by means of examples, the evolution of self-written CGI scripts, which worked directly on the log files, to the first data based systems until today, where techniques from Web 2.0 are used.
Nagios Conference 2007 | Aufbau eines hochverfügbaren Nagios Clusters by Mart...NETWAYS
Nagios auf eine HA Clusterinfrastrukur mit Clusterfilesystem- warum macht man so etwas. Vorteile und Nachteile gegenüber einer Master-/Slave- Konfiguration. Wodurch kann ein solcher Konstrukt erzwungen werden? Was ist beim Aufsetzen zu bedenken? Und was mach ich mit Cronjobs?
OSMC 2016 - Take care of your logs by Jan DobersteinNETWAYS
Jan hat mehr als 15 Jahre Berufserfahrung als System Administrator und Support Engineer. Er arbeitete sowohl in StartUps als auch Konzernen. Derzeit ist Jan ein Teil des Graylog Teams, welches die gleichnamige Software entwickelt. Er ist verantwortlich für den Support der Enterprise Kunden und trägt zur Open Source Community bei.
Nagios Conference 2006 | NagiosOnCD – eine linux-basierte Live-CD mit Nagios ...NETWAYS
NagiosOnCD ist eine Linux-Live-CD, basierend auf Debian/Sarge, die eine komplette Nagios-Installation einschließlich der Standard-Plugins enthält. Mit dem Stackable Filesystem Unionfs überlagert NagiosOnCD die nicht veränderbare CDROM mit schreibbaren Filesystemen. So ist es möglich, Konfiguration, Nagios-Datenbank und Logdateien trotz des CDROM-Prinzips permanent zu speichern.
Ursprünglich wurde NagiosOnCD für den Einsatz in verteilten Nagios-Systemen als dezentraler Nagios-Sensor entwickelt: ein standardisiertes System, das Betriebssystem und Software streng von der eigentlichen Konfiguration trennt. Die Konfiguration kann zentral erstellt und gepflegt werden. Verteilt man die Konfiguration per Diskette, lässt sich Nagios vor Ort ohne Linux- und Nagios-Kenntnisse in Betrieb nehmen, solange dort jemand in der Lage ist, einen Standard-PC von CDROM zu booten.
NagiosOnCD deckt aber insbesondere in Kombination mit VMware auch viele andere Anwendungsfälle ab, bei denen eine standardisierte Installation oder ein leichter Zugang zu Nagios erwünscht ist, ohne gleich perfekte Kenntnisse in Linux mitzubringen. Hierzu zählt auch der Einsatz in Schulungen.
Der Vortrag erklärt Aufbau und Funktionsweise von NagiosOnCD, dabei wird auch auf das Stackable Filesystem Unionfs und dessen Möglichkeiten eingegangen sowie das Build-System zu NagiosOnCD erklärt. An einigen Beispielen werden schließlich unterschiedliche Einsatz- und Konfigurationsmöglichkeiten aufgezeigt.
NagiosOnCD ist OpenSource (GPL) und auf http://www.monitoringexchange.org verfügbar.
Presentació de la xerrada d'Enric Queralt a l'institut CubellesAntonio Tinajas Ruiz
Conferència d'Enric Queralt amb el títol "Temps de lectura a l'institut. Una oportunitat a l'hàbit lector" donada a l'Institut Cubelles el dimecres 12 de març de 2014.
El documento establece las pautas de identidad corporativa para Mueblería José Martínez Guzmán, permitiendo cambiar el color del logotipo a blanco siempre que no sea visible sobre superficies verdes, y manteniendo la estructura del logotipo sin alteraciones. También menciona el uso permitido del logotipo en elementos como hoja membretada, carpeta, sobre y tarjeta de presentación.
OSDC 2013 | The truth is in the logs by Jan DobersteinNETWAYS
The ability to read and understand log files is very important for a system administrator. But what if, he is so busy in interpreting and analyzing them that he has no time for something else? How can the lazy system administrator hand this task over to somebody else, without providing access to the server?
This talk will show, by means of examples, the evolution of self-written CGI scripts, which worked directly on the log files, to the first data based systems until today, where techniques from Web 2.0 are used.
Nagios Conference 2007 | Aufbau eines hochverfügbaren Nagios Clusters by Mart...NETWAYS
Nagios auf eine HA Clusterinfrastrukur mit Clusterfilesystem- warum macht man so etwas. Vorteile und Nachteile gegenüber einer Master-/Slave- Konfiguration. Wodurch kann ein solcher Konstrukt erzwungen werden? Was ist beim Aufsetzen zu bedenken? Und was mach ich mit Cronjobs?
OSMC 2016 - Take care of your logs by Jan DobersteinNETWAYS
Jan hat mehr als 15 Jahre Berufserfahrung als System Administrator und Support Engineer. Er arbeitete sowohl in StartUps als auch Konzernen. Derzeit ist Jan ein Teil des Graylog Teams, welches die gleichnamige Software entwickelt. Er ist verantwortlich für den Support der Enterprise Kunden und trägt zur Open Source Community bei.
Nagios Conference 2006 | NagiosOnCD – eine linux-basierte Live-CD mit Nagios ...NETWAYS
NagiosOnCD ist eine Linux-Live-CD, basierend auf Debian/Sarge, die eine komplette Nagios-Installation einschließlich der Standard-Plugins enthält. Mit dem Stackable Filesystem Unionfs überlagert NagiosOnCD die nicht veränderbare CDROM mit schreibbaren Filesystemen. So ist es möglich, Konfiguration, Nagios-Datenbank und Logdateien trotz des CDROM-Prinzips permanent zu speichern.
Ursprünglich wurde NagiosOnCD für den Einsatz in verteilten Nagios-Systemen als dezentraler Nagios-Sensor entwickelt: ein standardisiertes System, das Betriebssystem und Software streng von der eigentlichen Konfiguration trennt. Die Konfiguration kann zentral erstellt und gepflegt werden. Verteilt man die Konfiguration per Diskette, lässt sich Nagios vor Ort ohne Linux- und Nagios-Kenntnisse in Betrieb nehmen, solange dort jemand in der Lage ist, einen Standard-PC von CDROM zu booten.
NagiosOnCD deckt aber insbesondere in Kombination mit VMware auch viele andere Anwendungsfälle ab, bei denen eine standardisierte Installation oder ein leichter Zugang zu Nagios erwünscht ist, ohne gleich perfekte Kenntnisse in Linux mitzubringen. Hierzu zählt auch der Einsatz in Schulungen.
Der Vortrag erklärt Aufbau und Funktionsweise von NagiosOnCD, dabei wird auch auf das Stackable Filesystem Unionfs und dessen Möglichkeiten eingegangen sowie das Build-System zu NagiosOnCD erklärt. An einigen Beispielen werden schließlich unterschiedliche Einsatz- und Konfigurationsmöglichkeiten aufgezeigt.
NagiosOnCD ist OpenSource (GPL) und auf http://www.monitoringexchange.org verfügbar.
Presentació de la xerrada d'Enric Queralt a l'institut CubellesAntonio Tinajas Ruiz
Conferència d'Enric Queralt amb el títol "Temps de lectura a l'institut. Una oportunitat a l'hàbit lector" donada a l'Institut Cubelles el dimecres 12 de març de 2014.
El documento establece las pautas de identidad corporativa para Mueblería José Martínez Guzmán, permitiendo cambiar el color del logotipo a blanco siempre que no sea visible sobre superficies verdes, y manteniendo la estructura del logotipo sin alteraciones. También menciona el uso permitido del logotipo en elementos como hoja membretada, carpeta, sobre y tarjeta de presentación.
OSMC 2010 | Netzwerkmonitoring mit Argus by Wolfgang BarthNETWAYS
Für die Überwachung des Netzwerkverkehrs gibt es unterschiedliche Ansätze. Die bekanntesten sind wohl Ciscos Netflow, dessen Nachfolger IPFIX (Internet Protocol Flow Information Export) sowie sFLOW. Weniger bekannt, aber genauso interessant ist das Real Time Traffic Flow Measurement (RTFM) Framework nach RFC 2722. Als Open- Source-Implementierung für das RTFM steht Argus zur Verfügung.
Argus besteht aus einem Sensor und einem ganzen Zoo von Auswertungs- und Verabeitungsprogrammen, die neben „Argus“-Flows auch Netflows/IPFIX und tcpdump-Mitschnitte verarbeiten: Traffic Flows sammeln, verdichten, sortieren, splitten, Graphiken bauen oder in eine Datenbank wegschreiben. Der Daemon radium sammelt wie eine Spinne im Netz als Datenkollektor Daten von vielen Sensoren – darunter auch Netflows, um diese für die weitere Verarbeitung durch die Clientprogramme bereit zu stellen. Neben der Batchverarbeitung ist auch ein Livemontoring möglich: ratop zeigt analog zu zum Klassiker top, was aktuell auf einem Sensor gerade vor sich geht. Die Clientprogramme laufen auf vielen Betriebssystemen, der Argus-Sensor selbst benötigt die libpcap, läuft also auf vielen Unix-Systemen, Mac OS X und OpenWRT – mit der CYGWIN-Umgebung auch unter Windows.
Argus ist kein All-in-One-Programm mit einer schicken Weboberfläche wie NTOP oder Cacti, sondern eher ein Baukasten für die Kommandozeile. In der Praxis gibt es aber immer wieder Fragen zu einem zurückliegende Zeitraum, die mit Nagios, Cacti oder NTOP erzeugten Graphiken nicht zu beantworten sind.
Der Vortrag geht kurz auf die Grundlagen des Real Time Traffic Flow Measurement Frameworks ein und erklärt die Unterschiede zu Netflow/IPFIX und sFLOW. Danach stellt der Vortrag die Argus-Programme vor und erklärt einen möglichen Workflow für die Verarbeitung an Beispielen. Im dritten Teil veranschaulicht der Vortrag, wie der Referent mit Hilfe von Argus auf Linux-Firewalls den ein- und ausgehenden Verkehr überwacht und nach Problemen und Auffälligkeiten sucht.
Grundlegende Netzwerkkenntnisse von TCP/IP und dem OSI-Protokollstack sind für den Vortrag sehr hilfreich.
OSMC 2016 | Take Care of your Logs by Jan DobersteinNETWAYS
Warum soll ich diesen vergänglichen Daten Beachtung schenken? Ich habe genug zu tun, keine Zeit und kein Geld mich auch noch darum zu kümmern. Lerne warum Log Management wichtig ist und warum man es haben möchte - um einen tiefen Einblick in seine Systeme zu bekommen.
Oracle LDAP-Integration für SQL*Net
Ja, wo laufen Sie denn? LDAP-Integration für SQL*Net
Überblick SQL*Net
LDAP-Integration
Das `LDAP`-Prinzip
Oracle OID
Active Directory
OpenLDAP
Kleine Einführung in die Entwicklung von RESTful APIs mit Dart. Auskopplung eines Foliensatzes aus der Lehrveranstaltung Webtechnologien des Studiengangs Informatik/Softwaretechnik der Fachhochschule Lübeck.
OSDC 2011 | Automatische Netzwerkdokumentation mit NetDot und RANCID by Jens ...NETWAYS
Netzwerke sind ein Kernbestandteil eines jeden Datacenters. Neben den zahlreichen Monitoring-Lösungen wie Nagios oder Icinga gibt es aber auch für das Management von Netzkomponenten wie Routern und Switchen zahlreiche Open-Source-Tools die jedem Admin das Leben erleichtern können. Einige dieser Werkzeuge sollen in diesem Vortrag vorgestellt werden:
Dies ist der zweite Teil der Tour de Dart. Der erste Teil hat die Sprache Dart an sich betrachtet. Dieser zweite Teil betrachtet erweiterte Aspekte wie:
Das Library System von Dart und den zugehörigen Paketmanager pub. Die asynchrone Programmierung mittels Streams, Futures und Isolates. File I/O mit Dart. Zugriff auf den DOM-Tree mittels Selektoren sowie Event Handling (Client side). Server und Client side Programmierung unter Nutzung von HttpServer, dem Dart webframework Start und Websockets. Datenkonvertierungen (HTML escaping, XSS prevention, decoding and encoding of JSON, base64 encoding and decoding, hashfunction (CryptoUtils)).
OSDC 2010 | What's new in Apache 2.4? by Rainer JungNETWAYS
Der Apache Web Server ist nach wie vor der am weitesten verbreitete Webserver. Dies wird immer wieder durch die Netcraft-Studie bestätigt. Doch der Markt ist in Bewegung. Nicht nur Microsofts Internet Information Server erobert Markanteile, auch andere Newcomer wie Nginx oder lighttpd liegen gut im Rennen.
Gleichzeitig steigen die Anforderungen an moderne Webserver. Neue Kommunikationsmuster wie „Hanging HTTTP“ auch genannt „Comet“ oder „Server Push“ skalieren nur noch bei Einsatz einer asynchroner Verarbeitungsarchitektur. Neue Sprachen und RIA-Frameworks bringen neue Anwendungsserver mit, die in Webserver eingebunden werden müssen. Soziale Netzwerke und andere neue Services im Internet verlangen nach sehr großen Farms bei gleichzeitig effizientem Betrieb und schließlich müssen Webserver nahtlos mit Virtualisierung und den aufziehenden Clouds harmonieren.
Das Apache HTTP Server-Projekt arbeitet seit einigen Jahren am Release 2.4. Nachdem der Wechsel von 2.0 auf 2.2 keine dramatischen Neuerungen mit sich brachte, stehen jetzt endlich wieder spannende Neuigkeiten an. Wir wollen einen Überblick über die wichtigsten Features und ihren Nutzen präsentieren.
This presentation covers the state of the syslog protocol and its standardization as of 2005. It was created for and held at Linuxtag in Germany (and as such is in German).
Evaluation des iSIPS IP Stack für drahtlose SensornetzePeter Rothenpieler
Vortrag auf dem IPv6-Kongress 2013 in Frankfurt/Main (6./7.06.2013, Cinestar Metropolis) zum Thema "Evaluation des iSIPS IP Stack für Drahtlose Sensornetze"
Making the internet faster HTTP/3 und QUICQAware GmbH
Linux-Stammtisch, Making the internet faster HTTP/3 und QUIC, 27. Juli 2021, online: Vortrag von Franz Wimmer, (@zalintyre, Senior Software Engineer bei QAware)
== Bitte Folien herunterladen, falls sie unscharf sein sollten! =
Abstract:
Mit QUIC und HTTP/3 das Internet beschleunigen. Erfahre mehr über die Entwicklung des WWW, Benchmarks und die Implementierung von HTTP/3.
Dual-Stack IPv6 Monitoring bei AWK - Member Anlass Swiss IPv6 Council Nov 2013Swiss IPv6 Council
● Anfang 2013
„Das Netzwerkmanagement erfolgt zukünftig ausschliesslich über IPv6. Alle
relevanten Netzwerkparameter (IPv4 und IPv6) werden über IPv6 abgefragt.
Konfigurationen der Netzwerkelemente sollen regelmässig automatisiert
gesichert werden. Der Transport erfolgt hier ebenfalls über IPv6“
● November 2013
… nun ja
für das hier vorgestellte Monitoring-Projekt
Erhöhte Anforderungen an das Netzwerk der AWK Group
Redundante Netzwerkkonfigurationen ohne Monitoring machen wenig Sinn
● … für diese Slides
Teilnehmer für Praxis-Versuche motvieren
In diesem Vortrag berichtete Gabriel Müller über seine Erfahrungen beim Aufbau der Monitoring-Umgebung bei der AWK Group. Das AWK Netzwerk besteht aktuell aus rund 30 Netzwerkelementen, darunter Cisco Catalyst Switchs und Aironet Accesspoints,
Juniper SSG und Juniper SRX Firewalls, verteilt über drei Standorte.
Die Zielsetzungen beim Netzwerk-Monitoring bestehen neben der Überwachung der relevanten IPv6-Parameter darin, wo möglich auch die Datenübertragung mittels IPv6 zu realisieren.
Dabei wird Rancid zum Sichern der Konfigurationen verwendet, Icinga zum Überwachen der Hosts und Services, Munin zur Darstellung relevanter Graphen und phpIPAM zur Dokumentation der Netzwerke. Bei der praktischen Umsetzungen zeigt sich vielfach, dass die Tücke im Detail liegt und die Versprechen der Hersteller kritisch zu prüfen sind
OSMC 2010 | Netzwerkmonitoring mit Argus by Wolfgang BarthNETWAYS
Für die Überwachung des Netzwerkverkehrs gibt es unterschiedliche Ansätze. Die bekanntesten sind wohl Ciscos Netflow, dessen Nachfolger IPFIX (Internet Protocol Flow Information Export) sowie sFLOW. Weniger bekannt, aber genauso interessant ist das Real Time Traffic Flow Measurement (RTFM) Framework nach RFC 2722. Als Open- Source-Implementierung für das RTFM steht Argus zur Verfügung.
Argus besteht aus einem Sensor und einem ganzen Zoo von Auswertungs- und Verabeitungsprogrammen, die neben „Argus“-Flows auch Netflows/IPFIX und tcpdump-Mitschnitte verarbeiten: Traffic Flows sammeln, verdichten, sortieren, splitten, Graphiken bauen oder in eine Datenbank wegschreiben. Der Daemon radium sammelt wie eine Spinne im Netz als Datenkollektor Daten von vielen Sensoren – darunter auch Netflows, um diese für die weitere Verarbeitung durch die Clientprogramme bereit zu stellen. Neben der Batchverarbeitung ist auch ein Livemontoring möglich: ratop zeigt analog zu zum Klassiker top, was aktuell auf einem Sensor gerade vor sich geht. Die Clientprogramme laufen auf vielen Betriebssystemen, der Argus-Sensor selbst benötigt die libpcap, läuft also auf vielen Unix-Systemen, Mac OS X und OpenWRT – mit der CYGWIN-Umgebung auch unter Windows.
Argus ist kein All-in-One-Programm mit einer schicken Weboberfläche wie NTOP oder Cacti, sondern eher ein Baukasten für die Kommandozeile. In der Praxis gibt es aber immer wieder Fragen zu einem zurückliegende Zeitraum, die mit Nagios, Cacti oder NTOP erzeugten Graphiken nicht zu beantworten sind.
Der Vortrag geht kurz auf die Grundlagen des Real Time Traffic Flow Measurement Frameworks ein und erklärt die Unterschiede zu Netflow/IPFIX und sFLOW. Danach stellt der Vortrag die Argus-Programme vor und erklärt einen möglichen Workflow für die Verarbeitung an Beispielen. Im dritten Teil veranschaulicht der Vortrag, wie der Referent mit Hilfe von Argus auf Linux-Firewalls den ein- und ausgehenden Verkehr überwacht und nach Problemen und Auffälligkeiten sucht.
Grundlegende Netzwerkkenntnisse von TCP/IP und dem OSI-Protokollstack sind für den Vortrag sehr hilfreich.
OSMC 2016 | Take Care of your Logs by Jan DobersteinNETWAYS
Warum soll ich diesen vergänglichen Daten Beachtung schenken? Ich habe genug zu tun, keine Zeit und kein Geld mich auch noch darum zu kümmern. Lerne warum Log Management wichtig ist und warum man es haben möchte - um einen tiefen Einblick in seine Systeme zu bekommen.
Oracle LDAP-Integration für SQL*Net
Ja, wo laufen Sie denn? LDAP-Integration für SQL*Net
Überblick SQL*Net
LDAP-Integration
Das `LDAP`-Prinzip
Oracle OID
Active Directory
OpenLDAP
Kleine Einführung in die Entwicklung von RESTful APIs mit Dart. Auskopplung eines Foliensatzes aus der Lehrveranstaltung Webtechnologien des Studiengangs Informatik/Softwaretechnik der Fachhochschule Lübeck.
OSDC 2011 | Automatische Netzwerkdokumentation mit NetDot und RANCID by Jens ...NETWAYS
Netzwerke sind ein Kernbestandteil eines jeden Datacenters. Neben den zahlreichen Monitoring-Lösungen wie Nagios oder Icinga gibt es aber auch für das Management von Netzkomponenten wie Routern und Switchen zahlreiche Open-Source-Tools die jedem Admin das Leben erleichtern können. Einige dieser Werkzeuge sollen in diesem Vortrag vorgestellt werden:
Dies ist der zweite Teil der Tour de Dart. Der erste Teil hat die Sprache Dart an sich betrachtet. Dieser zweite Teil betrachtet erweiterte Aspekte wie:
Das Library System von Dart und den zugehörigen Paketmanager pub. Die asynchrone Programmierung mittels Streams, Futures und Isolates. File I/O mit Dart. Zugriff auf den DOM-Tree mittels Selektoren sowie Event Handling (Client side). Server und Client side Programmierung unter Nutzung von HttpServer, dem Dart webframework Start und Websockets. Datenkonvertierungen (HTML escaping, XSS prevention, decoding and encoding of JSON, base64 encoding and decoding, hashfunction (CryptoUtils)).
OSDC 2010 | What's new in Apache 2.4? by Rainer JungNETWAYS
Der Apache Web Server ist nach wie vor der am weitesten verbreitete Webserver. Dies wird immer wieder durch die Netcraft-Studie bestätigt. Doch der Markt ist in Bewegung. Nicht nur Microsofts Internet Information Server erobert Markanteile, auch andere Newcomer wie Nginx oder lighttpd liegen gut im Rennen.
Gleichzeitig steigen die Anforderungen an moderne Webserver. Neue Kommunikationsmuster wie „Hanging HTTTP“ auch genannt „Comet“ oder „Server Push“ skalieren nur noch bei Einsatz einer asynchroner Verarbeitungsarchitektur. Neue Sprachen und RIA-Frameworks bringen neue Anwendungsserver mit, die in Webserver eingebunden werden müssen. Soziale Netzwerke und andere neue Services im Internet verlangen nach sehr großen Farms bei gleichzeitig effizientem Betrieb und schließlich müssen Webserver nahtlos mit Virtualisierung und den aufziehenden Clouds harmonieren.
Das Apache HTTP Server-Projekt arbeitet seit einigen Jahren am Release 2.4. Nachdem der Wechsel von 2.0 auf 2.2 keine dramatischen Neuerungen mit sich brachte, stehen jetzt endlich wieder spannende Neuigkeiten an. Wir wollen einen Überblick über die wichtigsten Features und ihren Nutzen präsentieren.
This presentation covers the state of the syslog protocol and its standardization as of 2005. It was created for and held at Linuxtag in Germany (and as such is in German).
Evaluation des iSIPS IP Stack für drahtlose SensornetzePeter Rothenpieler
Vortrag auf dem IPv6-Kongress 2013 in Frankfurt/Main (6./7.06.2013, Cinestar Metropolis) zum Thema "Evaluation des iSIPS IP Stack für Drahtlose Sensornetze"
Making the internet faster HTTP/3 und QUICQAware GmbH
Linux-Stammtisch, Making the internet faster HTTP/3 und QUIC, 27. Juli 2021, online: Vortrag von Franz Wimmer, (@zalintyre, Senior Software Engineer bei QAware)
== Bitte Folien herunterladen, falls sie unscharf sein sollten! =
Abstract:
Mit QUIC und HTTP/3 das Internet beschleunigen. Erfahre mehr über die Entwicklung des WWW, Benchmarks und die Implementierung von HTTP/3.
Dual-Stack IPv6 Monitoring bei AWK - Member Anlass Swiss IPv6 Council Nov 2013Swiss IPv6 Council
● Anfang 2013
„Das Netzwerkmanagement erfolgt zukünftig ausschliesslich über IPv6. Alle
relevanten Netzwerkparameter (IPv4 und IPv6) werden über IPv6 abgefragt.
Konfigurationen der Netzwerkelemente sollen regelmässig automatisiert
gesichert werden. Der Transport erfolgt hier ebenfalls über IPv6“
● November 2013
… nun ja
für das hier vorgestellte Monitoring-Projekt
Erhöhte Anforderungen an das Netzwerk der AWK Group
Redundante Netzwerkkonfigurationen ohne Monitoring machen wenig Sinn
● … für diese Slides
Teilnehmer für Praxis-Versuche motvieren
In diesem Vortrag berichtete Gabriel Müller über seine Erfahrungen beim Aufbau der Monitoring-Umgebung bei der AWK Group. Das AWK Netzwerk besteht aktuell aus rund 30 Netzwerkelementen, darunter Cisco Catalyst Switchs und Aironet Accesspoints,
Juniper SSG und Juniper SRX Firewalls, verteilt über drei Standorte.
Die Zielsetzungen beim Netzwerk-Monitoring bestehen neben der Überwachung der relevanten IPv6-Parameter darin, wo möglich auch die Datenübertragung mittels IPv6 zu realisieren.
Dabei wird Rancid zum Sichern der Konfigurationen verwendet, Icinga zum Überwachen der Hosts und Services, Munin zur Darstellung relevanter Graphen und phpIPAM zur Dokumentation der Netzwerke. Bei der praktischen Umsetzungen zeigt sich vielfach, dass die Tücke im Detail liegt und die Versprechen der Hersteller kritisch zu prüfen sind
2. Portrait
• Georg Höllrigl
• HTL St. Pölten - Elektronik / Technische
Informatik
• 8 Jahre Erfahrung als Systemadministrator
• FH Mittweida – Informationstechnik
• GmbH
• Technischer Dienstleister, Domainverwaltung,
Rechenzentrum in Wien und Amsterdam
12.11.2010 – IT-SecX Dipl.-Ing. (FH) Georg Höllrigl 2
3. Gliederung
• Problemerkennung
• Alarmierung: rkhunter und chkrootkit
• Tools: lsof, strings, strace
• Was hat der Hacker alles am Server angestellt
• Was ist in den Logfiles zu finden?
• Wie wurde der Service wieder hergestellt?
• Neuinstallation
12.11.2010 – IT-SecX 3Dipl.-Ing. (FH) Georg Höllrigl
4. Problemerkennung
• Wie?
• Andauernde CPU Auslastung
• Festplatte voll
• Apache restart: port already in use
• rkhunter oder chkrootkit Alarmierung
• Beschwerde von Dritten
12.11.2010 – IT-SecX Dipl.-Ing. (FH) Georg Höllrigl 4
7. rkhunter / chkrootkit
Found string 'fucknut' in file '/sbin/ttymon'. Possible
rootkit: SHV5 Rootkit
Found string 'lamersucks' in file '/sbin/ttymon'.
Possible rootkit: SHV5 Rootkit
Found string 'skillz' in file '/sbin/ttymon'. Possible
rootkit: SHV5 Rootkit
Found string 'propert of SH' in file '/sbin/ttyload'.
Possible rootkit: SHV5 Rootkit
Found string 'ttyload' in file '/etc/inittab'. Possible
rootkit: Possible SHV5
12.11.2010 – IT-SecX Dipl.-Ing. (FH) Georg Höllrigl 7
8. Problemerkennung
• Was genau?
rs3418:/var/log # ls
ls: unrecognized prefix: do
ls: unparsable value for LS_COLORS environment
variable
# rcapache2 start
Starting httpd2 (prefork) (98)Address already in
use: make_sock: could not bind to address [::]:80
(98)Address already in use: make_sock: could not
bind to address 0.0.0.0:80
12.11.2010 – IT-SecX Dipl.-Ing. (FH) Georg Höllrigl 8
9. lsof
• Erstellt eine Liste offener Dateien und Ports
# lsof -i :80
COMMAND PID USER FD TYPE DEVICE SIZE
NODE NAME
httpd2-pr 892 wwwrun 3u IPv6 10414 TCP
*:http (LISTEN)
httpd2-pr 893 wwwrun 3u IPv6 10414 TCP
*:http (LISTEN)
httpd2-pr 894 wwwrun 3u IPv6 10414 TCP
*:http (LISTEN)
12.11.2010 – IT-SecX Dipl.-Ing. (FH) Georg Höllrigl 9
16. strace
rs3418:/ # strace -p 17107
Process 17107 attached - interrupt to quit
[ Process PID=17107 runs in 32 bit mode. ]
restart_syscall(<... resuming interrupted call ...>) = 0
read(0, 0xffc8aea0, 1072) = -1 EAGAIN
(Resource temporarily unavailable)
time(NULL) = 1285327335
nanosleep({858993459200000,
577765979979777072}, NULL) = 0
12.11.2010 – IT-SecX Dipl.-Ing. (FH) Georg Höllrigl 16
17. Was geben die logfiles her?
• dmesg
• /var/log/messages
• Apache access und error log
• /var/log/mail
• ~/.bash_history
12.11.2010 – IT-SecX Dipl.-Ing. (FH) Georg Höllrigl 17
18. [Wed Sep XX 22:56:28 2010] [notice] mod_fcgid: call
/srv/www/vhosts/example.com/httpdocs/jasminesblog/i
ndex.php with wrapper /usr/bin/php-cgi5
[Wed Sep XX 22:56:28 2010] [notice] mod_fcgid: server
/srv/www/vhosts/example.com/httpdocs/jasminesblog/i
ndex.php(20143) started
[Wed Sep XX 23:20:10 2010] [error] [client
208.80.XXX.XX] request failed: error reading the
headers
[Wed Sep XX 23:21:18 2010] [error] [client
208.80.XXX.XX] request failed: error reading the
headers
Empty input file
Empty input file
12.11.2010 – IT-SecX Dipl.-Ing. (FH) Georg Höllrigl 18
19. Ergebnisse aus den Logfiles
• nicht immer eindeutig
• nicht immer ergiebig
• „schuldige“ Domain über Error-Logs
• Veraltete Joomla-Installation
12.11.2010 – IT-SecX Dipl.-Ing. (FH) Georg Höllrigl 19
20. Was wurde am Server verändert?
• Manipulation der Log-Dateien
• Versteckte Unterordner mit Programmteilen
• IRC-Server
• Spam-Mail-Versand
• Backdoor über /etc/inittab
12.11.2010 – IT-SecX Dipl.-Ing. (FH) Georg Höllrigl 20
21. Wenn DEIN Server gehackt wurde,
dann ist es nicht mehr DEIN Server!
• Sauberes System aufsetzten
• Backup einspielen
• Neues System besser absichern
• Sicherheitsupdates einspielen!
12.11.2010 – IT-SecX Dipl.-Ing. (FH) Georg Höllrigl 21