News // Mare
Brandschutz: Nginx-Artikel im ADMIN-Magazin mit Fokus auf WebApplicationFirewall Naxsi
2013.05
Artikel im aktuellen ADMIN-MAGAZIN zum Thema "Nginx als Frontend-Gateway" mit Beispielen und Einsatzszenarien als Loadbalancer,
Webcache und ReverseProxy.
Besonderes Augenmerk legt der Artikel auf Naxsi, eine Nginx-basierte WebApplikationFirewall. Neben einer kurzen Einführung werden Live-Reports von WAFs im Einsatz gezeigt, sowie die Doxi-Rules vorgestellt; ein speziell auf Webserver ausgelegtes Ruleset.
iptables --src 188.95.234.6 -j DROP
2013.04Das ISCN SANS informiert über gerade anlaufende, weltweite SSH-Scans von obiger IP; die eigenen
Netze kann man per Mail an pki@net.in.tum.de vom Scan ausschliessen lassen, die obige IPTables -
Firewallregel tut ein übriges.
Snort-Regeln siehe 3.
Quellen:
- 1. https://pki.net.in.tum.de/node/21
- 2. https://isc.sans.edu/diary/SSH+scans+from+188.95.234.6/15532
- 3. http://lists.emergingthreats.net/pipermail/emerging-sigs/2013-April/021720.html
Got Hacked? Get Help!
2013.03Google will mit einer neuen Seite Webmastern im Falle eines Hacks helfen, die eigenen Dienste wieder sauber zu bekommen, Blacklisting zu umgehen oder schnellstmöglich aufzuheben.
In einem Blogpost erläutert das Google-Devteam näheres zu dieser Initiative, weitere Infos gibts es in einem Youtube - Video
Neben diesen recht allgemein gehaltenen Vorschlägen und Empfehlungen kann man auf folgenden Seiten Infos, die Hinweise über eine evtl. Kompromittierung der eigenen Webpräsenzen geben:
- Google Safebrowsing
Google Safebrowsing bietet Infos über evtl. Kompromittierung von Webseiten und darüber verteilte Schadsoftware. - Sucuri - Sitescan
Sucuri bietet einen Scanner, der eigene Domains Webseiten auf Schadcode und evtl. Blacklistings untersucht; sehr gute Ergebnisse erzielt Sucuri bei Wordpress-Installationen - Website Malware Detector
einen ähnlichen service wie Sucuri (nur ohne Interface) bietet MARE system; alle Kundendomains werden so überwacht; wir überprüfen Ihre Webseiten gerne auf Anfrage - DONT PANIC First Aid Kit
Naxsi goes OWASP - Stammtisch Hamburg
2013.03Am 14.03. wird die WebApplicationFirewall Naxsi auf dem OWASP - Stammtisch in Hamburg vorgestellt und in einem kleinen Workshop am lebenden Objekt die Vor- und Nachteile aufgezeigt.
Als weiteres Schmankerl wird der Einsatz der Doxi-Rules & Tools am Livebeispiel gezeigt.
Cebit-Vortrag "NGINX als Frontend-Gateway"
2013.03Am 08.03. hält Markus Manzke zusammen mit Thibault "bui" Koechlin von NBS System / Paris auf dem Open-Source-Forum der Cebit einen Vortrag zum Thema "NGINX als Frontend-Gateway". T. Koechlin wird dabei Naxsi als WebApplicationFirewall vorstellen und M.Manzke erläutern, wie NGINX in komplexeren Webapplication-Umgebungen eingesetzt werden kann.
Das vom Linux-Magazin veranstaltete Open-Source-Forum findet sich in Halle 6 / Stand F02.
Die Präsentation und durchgeführten Benchmarks werden im Anschluss hier veröffentlicht.
Fundstück der Woche: PHPShell
2013.02Wenn ein Kunde in seinem Docroot eine PHPShell findet, liegt folgender Schluss nahe: <br> <strong>H4X0rZ!!!</strong>
Nach einer näheren Analyse stellte sich heraus:
- die Shell wurde damals[tm] von einem Entwickler hinterlassen, der keinen SSH-Zugriff hatte
- die Shell wurde im letzten Halbjahr 2mal von einer rumänischen IP aus angesurft, weitere Zugriffe auf andere Dateien oder evtl. Backdoors wurden nicht gefunden
- ein Scan des Docroots nach verdächtigen Dateien oder Includes (gerne genommen: eval(base64_decode(...) ergab nicht ungewöhnliches
- ein Sucuri-Check zeigte alle Daumen hoch, auch der MARE-interne Website-Maleware-Check zeigte keine Auffälligkeiten des Servers (IP) oder der Domain.
Trotzdem ein Grund, die WAF-Signaturen upzudaten, um ähnliche Entwickler-Schnitzer zumindest zu entdecken; ohne HTACCESS-Schutz incl. SSL-Verschlüsselung ist der Upload einer solchen Datei ein absolutes NoGo.
DOXI: Naxsi-Rulesets als Open-Source veröffentlicht
2013.02Seit 6 Monaten ist die Nginx-basierte WebApplicationFirewall Naxsi testweise auf einigen Servern im Einsatz, mit bisher sehr interessanten Resultaten.
Aufgrund der Erfahrungen mit Snort-basierten Signaturen und der jahrelangen Mitarbeit in der Emerging-Threats-Community war es ein leichtes, die wichtigsten, Webserver - basierten Signaturen in das Naxsi-Format zu überführen und ein Naxsi-basiertes Regelwerk zusammenzustellen, das fortlaufend mit aktuellen Signaturen beliefert werden kann.
Diese Rulesets stehen jetzt als Git-Repo zur Verfügung. Regelmäßige Updates werden von MARE system eingepflegt.
Zum komfortablen Management der Naxsi-Rollouts stehen die ebenfalls als Open Source veröffentlichten Doxi-Tools bereit, mit denen sich automagische Updates durchführen lassen.
Naxsi & Doxi-Tools in Action:
Nagios-Plugins als Repo auf Bitbucket verfügbar
2013.01Unsere als OpenSource veröffentlichten Nagios-Plugins stehen jetzt als Online-Git-Repo auf Bitbucket zur Verfügung. Updates auf Monitoringexchange wird es nur noch textuell geben, Updates der entsprechenden Downloads-Files dort nicht mehr.
Monitoring-Vortrag auf dem Kieler Webmontag
2013.01Am 21.01.2013 gibt es einen kurzen Vortrag zum Thema Webseitenmonitoring auf dem Kieler Webmontag, basierend auf der Roadshow aus dem Jahre 2011.
Den Vortrag gibt es hier als download.
HSTS-Header ist Internetstandard
2012.11Die Internet Engineering Task Force (IETF) hat HTTP Strict Transport Security (HSTS) als Internetstandard [ RFC 6797 ].
Einen Überblick und Einsatzmöglichkeiten, um via HSTS-Header Webseiten abzusichern, bietet folgender Link
Wir ziehen um!
2012.10Ab dem 1.11. sind wir, zusammen mit MARE multimedia, in der Werftbahnstr 8 in Kiel zu finden.
Am 8.11. laden wir unseren Kunden, Partner und Geschäftsfreunde zu einem kleinen Umtrunk in den neuen Geschäftsräumen ein.
Imperva veröffentlicht "Web Application Attack Report Ed. 3"
2012.08Im aktuellen Web Application Attack Report vom Juli 2012 analysiert Imperva die Summe der täglichen Angriffe auf eine WebApplikation und kommt zu dem Ergebnis, dass bis zu 2700 Angriffe/Tag stattfinden, dass 80% der Einbrüche in Netzwerke über Webapplikationen geschehen und die häufigste Schwachstelle SQL-Injections sind. Diese Werte decken sich mit den Ergebnissen der IDS/IPS - Sensoren, die MARE system betreut (3000 Angriffe je Tag/IP, BruteForce - Scanning, um verwundbare WebApps zu finden)
Aus dem Abstract:
In our previous Web Application Attack Reports (WAAR), we described the intensity of application attacks where websites are
probed about once every two minutes, or 27 times per hour. This analysis gave a snapshot of an average application under attack.
In this report, we identify how many attacks a typical application can expect annually as well as the duration. Specifically, we take
a deeper look to expose the underlying distribution and gain a more comprehensive understanding of the cyber battlefield. We
found that the typical application:
- Can expect attack incidents 120 days per year or 33% of the time with some targets experiencing attacks 292 days per year or nearly 80% of the time.
- Will be attacked 274 times per year with a maximum number of attacks hitting 2,766.
- When under attack, the typical individual duration of the campaign is 7 minutes and 42 seconds with the longest attack reaching 79 minutes.
- SQL injection is the most frequently used attack.
Der Link zum Report ist im Reading-Room zu finden.
Wie eine digitale Existenz in 30 Minuten ausgelöscht werden kann
2012.08Mat Honan ist Editor beim Wired-Magazin, und sein digitales Leben wurde innerhalb von 30 Minuten von Hackern ausradiert:
- alle Daten vom IPhone gelöscht
- alle Daten vom Notebook gelöscht
- alle Daten vom IPad gelöscht
- GMail-Account gelöscht
- iCloud-Account gelöscht
- Backups vernichtet
- Twitter- und Amazon-Account übernommen und missbraucht.
In einer interessanten Artikelserie erklärt er, wie es dazu kommen konnte und wie einfach die Hacker via Social Engineering und einem Anruf bei AppleCare den Stein ins Rollen bringen konnten.
Alles nur geCloud
2012.08Seit 2010 beobachten wir technische und auch rechtliche Probleme, die beim Einsatz von Cloud-Computing auftreten können und stellen dies jetzt in einer umfassenden Liste online:
HIGHNOON: Facebook vs Datenschützer
2011.09MARE system veröffentlich eine Zusammenfassung der aktuellen und vergangenen Auseinandersetzungen deutscher Datenschützer vs Facebook mit dem Bezug “Schutz der personenbezogenen Daten”.
Aktuell fordern die Datenschutzbeauftragten der Länder Schleswig-Holsteins und Niedersachsens, die “Like” - Buttons und Firmen/Behörden-Facebookseiten bis Ende September 2011 zu entfernen.
Eine Chronologie der Ereignisse und Meldungen findet sich unter folgendem Link:
Monitoring-Roadshow am 12.05.2011
2011.04
Monitoring-Roadshow am 14.04.2011
2011.04 MARE system und NetUSE laden ein zur <br><br>
Weitere Infos: hier
Debian 6.0 Countdown
2011.02neues Nagios-Plugin zum Monitoring von Web-Applikationen
2010.11In der Reihe "Nagios für den Hausgebrauch" veröffentlichen wir ein Plugin zur Integration von Selenium-Tests ins Nagios-Monitoring. Damit ist eine einfache Überwachung von Webapplikationen via Selenium und Nagios möglich, incl Alarmierung und Performance-Werten.
weitere Infos und Download
Website - Malware - Check (BETA)
2010.10Als neues Produkt entwickelt und testet MARE system zur Zeit einen Online-Malware-Check für Webseiten.
Intressierte können sich mit einer Email an malwarecheck@mare-system.de für diesen Service anmelden, während der Testphase bleibt dieser Service kostenfrei.
Mehr Infos
SSH-Blacklists als Snort-Rulesets und neue Blacklist verfügbar
2010.10Zu den vorhandenen Snort-Signaturen aus der Blacklist von sshbl.org steht ab sofort die SSH-Blacklist der Dragonresearchgroup als Ruleset für Snort und IPTables-Script zum Download bereit.
Des weiteren werden die Rulesets als oinkmaster-kompatibler rules.tgz - download bereitgestellt.
Weitere Infos und download
Updates auf der Webseite / Notfallkoffer+SIC
2010.05folgende Updates gab es im Mai:
- Notfallkoffer/Security CheatSheets: Critical Log Review Checklist for Security Incidents Cheatsheet
- SIC: Reading-Room mit ausgewählten Blogs und News (incl. RDF-Stream)
- SIC: CVSS - Calculator (CVE-basiertes Common Vulnerability Scoring System)
Danke, Debian!
2010.05
"Eingebettet in den LinuxTag, findet dieses Jahr die erste Mini-Debian-Konferenz (MiniDebConf) am 10./11.06.(Do/Fr) auf dem Messegelände Berlin statt. Es wird Vorträge geben sowie ein - auch Nachts geöffnetes - Hackcenter, um die Veröffentlichung von Debian 6 voranzutreiben.
Der persönliche Kontakt zu den Entwicklern und vielfältige Möglichkeiten sein Wissen auszutauschen machen die MiniDebConf 2010 zu einem interessanten und wertvollen Event für alle Debian Anwender."MARE system setzt seit Jahren die auf Stabilität und Sicherheit ausgerichtete Linux-Distribution GNU/Debian ein und unterstützt die MiniDebConf als Silver-Sponsor.
Danke, Debian!
Nagios-Plugins veröffentlicht
2010.05
Zwei Nagios-Plugins (check_snort, check_xmpp) wurden im Portal MonitoringExchange veröffentlicht.
weitere Infos
Manifest für robuste Software / Rugged Software Manifesto
2010.02
Mitglieder des OWASP-Projektes und weitere namhafte Security-Spezialisten haben ein Manifest und eine neue Plattform geschaffen, um Software für die Anforderungen durch neue Bedrohungen robust zu machen. Den Wortlaut dieses Manifests, eine deutsche Übersetzung und weitere Links und Informationen gibt es unter rugged-software-manifest.html
Trüffelschwein: Snort-Artikel für Einsteiger und Interessierte
2009.11
Im Rahmen der Howto-Reihe Arbeiten mit Snort können sich Interessierte und Einsteiger den Artikel Trüffelschwein: Intrusion Detection System Snort im Einsatz ansehen, der einen Überblick gibt über das IDS, dessen Funktionen, Einstell- und Tuningmöglichkeiten an verschiedene Netze sowie Log-Output in Datenbanken, Alertanalyse via BASE und Updates mit Oinkmaster kurz erläutert.
iNag :: Nagios @ iPhone
2009.09
iNag ist eine iPhone-Application, mit der man komfortabel den Status eines Nagios-Server ansehen kannn.
Neben dem Anzeigen der Stati kann man auch Host/Service-Probleme acknowledgen.
mehr Infos und Screenshots hier
Interviews mit Snort-Erfinder Marty Roesch und Matt Jonkman von Emerging Threats
2009.09
Im Rahmen der Tutorial-Reihe [ Arbeiten mit Snort ] wurden Email-Interviews mit dem Snort-Erfinder Marty Roesch und dem Betreiber der Emerging-Threats-Community Matt Jonkman durchgeführt, die wir hier, im Original und mit freundlicher Genehmigung der Interviewten, veröffentlichen.
-> Interview mit Marty Roesch
-> Interview mit Matt Jonkman
Arbeiten mit Snort / Tutorials und Howtos
2009.08
MARE system veröffentlicht eine Artikelserie mit Tutorials zur Installation, Konfiguration, Tuning und Administration eines Snort-IDS-Sensornetzwerkes.
Link: Arbeiten mit Snort
Security-Bulletin # 09.5 / Lücke in ColdFusion/FCKeditor / Nagios2/3
2009.07
2009-07-06
Inhalt:- kritische Lücke im FCKEditor / ColdFusion
- Sicherheitslücke in Nagios2/Nagios3
- in eigener Sache: Security Information Center
Seit einigen Tagen gibt es Meldungen über Einbrüche in Websites auf Basis von Adobes Applicationservers ColdFusion[1], bei denen Unbekannte eine Lücke im enthaltenen FCKEditor ausnutzten, um Inhalte zu manipulieren.[2] Nach Angaben des ISC soll es auch möglich sein, den kompletten Server
zu übernehmen und alle Daten auszulesen oder zu manipulieren.
Die Autoren von FCKEditor haben mittlerweile ein Update[3] auf Version 2.6.4.1 für den Editor herausgebracht, das die Lücke im Editor schliessen soll. Der WYSIWYG-HTML-Editor wird u.a. in Wikimedia-Editionen, Oracle Application Express, Zope, Drupal genutzt wird; eine Übersicht, in welchen Produkten der Editor verwendet wird, gibt [4].
Die Monitoring-Software Nagios ist in den Version 2 und 3 anfällig für eine Sicherheitslücke[5], die authentifizierte Benutzer ausnutzen können, um über das Script statuswml.cgi beliegibe Kommandos mit den Rechten des Apache-Users auf dem Server auszuführen. Debian[6], Redhat[7] und Ubuntu[8] haben bereits die Pakete für Nagios2/Nagios3 aktualisiert.
in eigener Sache:
MARE system gibt das Security Information Center (SIC) für eine erste öffentliche Testphase frei. [9]
Das SIC ist die Schnittstelle zu einem RDF/RSS/ATOM-Newsfeed-Scanner, der über 20 sicherheitsorientierte RDF-News-Streams alle 10 Minuten nach neuen Nachrichten durchsucht und die jeweiligen News via SIC-Webinterface darstellt oder per Email versendet.
Interessierte können verschiedene News-Streams abonnieren und erhalten bei Updates Benachrichtigungen per EMail.
Der Dienst wird vorläufig nur auf englisch angeboten.
[1] http://isc.sans.org/diary.html?storyid=6715
[2] http://www.heise.de/security/Luecke-in-ColdFusion-8-gefaehrdet-Sicherheit-von-Websites--/news/meldung/141633
[3] http://www.fckeditor.net/download
[4] http://www.fckeditor.net/whosusing
[5] http://www.securityfocus.com/bid/35464
[6] http://www.debian.org/security/2009/dsa-1825
[7] http://rhn.redhat.com/errata/RHSA-2009-1141.html
[8] http://www.ubuntu.com/usn/USN-795-1
[9] http://www.mare-system.de/sic.cgi
Security Information Center @ mare-system.de
2009.06<br>MARE system gibt das Security Information Center (SIC) für eine erste öffentliche Testphase frei. (Link)
Das SIC ist die Schnittstelle zu einem RDF/RSS/ATOM-Newsfeed-Scanner, der über 20 RDF-News-Streams alle 10 Minuten nach neuen Nachrichten durchsucht und die jeweiligen News via SIC-Webinterface darstellt oder per Email versendet.
Interessierte können verschiedene News-Streams abonnieren und erhalten bei Updates Benachrichtigungen per EMail.
Der Dienst wird vorläufig nur auf englisch angeboten.
mehr Informationen: www.mare-system.de/sic.cgi
Nagios is forked: Icinga is unleashed
2009.05Unter dem Namen ICINGA hat eine Gruppe von Nagios-Enthusiasten, -Plug-in-Entwicklern rund um den auf Nagios-Lösungen spezialisierten Open-Source-Dienstleister Netways einen Fork des populären freien System-Monitoring-Tools ins Leben gerufen. Dabei haben sich die Entwickler vollständige Kompatibilität zum Vorgänger auf die Fahnen geschrieben. Als Erstes wollen sie einige schon länger in der Warteschlange stehende Bugfixes und Verbesserungen umsetzen. Plug-ins von Drittanbietern sollen sich über eine standardisierte API zukünftig besser in das Monitoring-Framework einbinden lassen.
Anzeige
Auslöser für den Fork sei die Unzufriedenheit über die langsame Umsetzung von Benutzeranfragen im Nagios-Kern gewesen, heißt es auf der Webseite des Projekts. Den Flaschenhals stellen die Nagios-Kern-Entwickler um Chefentwickler Ethan Galstad dar, der diesen Teil der Entwicklung überwiegend allein bewältigt und der mit der schnellen Weiterentwicklung auf der Seite der Plug-ins wohl nicht mehr Schritt halten konnte. Die Versuche, diese Probleme innerhalb des Nagios-Projekts zu lösen, waren, wie Netways-Chef Julian Hein in einem Interview berichtete, nicht von Erfolg gekrönt, weshalb man sich zu einem Fork entschlossen habe. Netways betreibt die Nagios-Portale NagiosExchange, NagiosForge sowie NagiosWiki.
ICINGA-Homepage: icinga.org
MARE - NAGIOS-Demo wieder online
2009.04Unsere Nagios-Demoinstallation ist wieder online; Links und Infos zum Login finden sie hier
www.mare-system.de im Betatest
2009.04ab dem 20.04.2009 befindet sich der Relaunch der www.mare-system.de-Webseiten in der Betaphase; Interessierte können sich unter neu.mare-system.de ein Bild vom neuen Design machen.
Massenmailer :: neues Produkt
2009.02Um Mailserver mit MX-Record davor zu schützen, durch intensiven Newsletterversand auf Spamlisten zu landen haben wir ein Produkt im Portfolio, mit dem der Versand von Massenmails und das potentielle Listen der Mailserver-IP auf Realtime Spam Blocklists kein Problem für die interne Email-Infrastruktur darstellt.
Weitere Informationen gibt es unter Produkte