Archivio

Archive for marzo 2014

Installare lime su centos e profilo volatility

Ecco la procedura per installare lime (tool per fare un dump della ram per analisi forense) su centos:
# yum install kernel-devel gcc -y
# wget https://lime-forensics.googlecode.com/files/lime-forensics-1.1-r17.tar.gz
# mkdir lime && mv lime-forensics-1.1-r17.tar.gz lime/ && cd lime && tar xvfz lime-forensics-1.1-r17.tar.gz
# cd src && make
# insmod lime-2.6.32-431.5.1.el6.i686.ko path=tcp:2244 format=lime

da macchina remota:
$ nc ip.server.con.lime 2244 >> server.lime

per quanto riguarda volatility, sempre sulla macchina di cui dovete fare il dump:
$ svn checkout http://volatility.googlecode.com/svn/trunk/tools/linux dwarf
$ cd dwarf && make && cd ..
$ zip server_spyware.zip dwarf/module.dwarf /boot/System.map-`uname -r`

Annunci
Categorie:LINUX

Centos: eliminare vecchi kernel

# yum install yum-utils
# package-cleanup --oldkernels --count=2

editare /etc/yum.conf e cambiare il seguente parametro:
installonly_limit=2

Categorie:LINUX

problema con clamav-unofficial-sigs

Quindi le firme ufficiali di clamav non sono alquanto aggiornate, ho deciso di scaricare su Fedora19 lo script (yum install ..) clamav-unofficial-sigs e avere aggiornato il db anche con le firme di SaneSecurity.

Ma dal cilindro è uscito un bell’errore:
# clamav-unofficial-sigs.sh
gpg: Non sono stati trovati dati OpenPGP validi.
Custom keyring MISSING or CORRUPT! Could not import Sanesecurity public GPG key to custom keyring

ho risolto, così:
# cd /var/lib/clamav-unofficial-sigs/
[root@localhost clamav-unofficial-sigs]# rm -rf add-dbs configs gpg-key mbl-dbs si-dbs ss-dbs

Infatti:
$ cd virus/
argento@localhost virus$ clamscan
/home/argento/virus/Mint credit card bill _882-03-14.zip: Sanesecurity.Rogue.0hr.20140313-0649.UNOFFICIAL FOUND
/home/argento/virus/IMG000003342.zip: Sanesecurity.Malware.23134.ZipHeur.UNOFFICIAL FOUND
/home/argento/virus/document.1778-290-15-03.zip: winnow.malware.123789.UNOFFICIAL FOUND
/home/argento/virus/GB0992453.zip: Sanesecurity.Malware.23152.ZipHeur.UNOFFICIAL FOUND
/home/argento/virus/Guadagni extra per voi! 700-1000 euros alla settimana..eml: OK
/home/argento/virus/DSC_990341.zip: Sanesecurity.Rogue.0hr.20140312-0648.UNOFFICIAL FOUND

----------- SCAN SUMMARY -----------
Known viruses: 3448769
Engine version: 0.98.1
Scanned directories: 1
Scanned files: 6
Infected files: 5
Data scanned: 0.54 MB
Data read: 0.23 MB (ratio 2.40:1)
Time: 11.170 sec (0 m 11 s)

Categorie:LINUX

Common name is already present in a current certificate. (rinnovare un certificato ssl su exchange 2007)

Oggi e nei giorni precedenti ho sudato diverse tshirt per sostituire il certificato ssl presente su Exchange 2007 in quanto la sua validità era terminata.
Ho acquistato il nuovo certificato triennale ad un modico prezzo sul sito www.certificatesforexchange.com (reseller di godaddy.com).
Il prossimo step sarà ottenere il csr (la richiesta di certificato) dalla shell exchange con il cmd-let:

[PS] C:\>New-ExchangeCertificate -generaterequest -keysize 2048 -subjectname "c=IT, l=CAGLIARI, s=CA, o=fantasia srl,cn=mailserver.FANTASIA.it" -domainname autodiscover.FANTASIA.it  -PrivateKeyExportable $true -path c:\schiavisrl_csr.txt 

l’output generato deve essere incollato nel pannello di certificatesforexchange.com dal quale ho ottenuto l’errore:

Common name is already present in a current certificate.

….creato dal conflitto col certificato vecchio tuttora installato. Bisogna revocare il cert dal pannello del vecchio provider, quindi riprovare. Successivamente il dominio sarà sottoposto a verifica, cioè verrà spedita una posta elettronica all’intestatario del dominio che dovrà approvare. Successivamente potrete avere il certificato (2 file uno .crt e l’altro .p7z) da installare su exchange. ((Per installarlo aprirete la mmc con lo snapin certificati — “mmc” snapin “certificati” “account del computer” “computer locale” poi aprite l’albero “certificati” click destro su “Autorità di certificazione intermedie” “tutte le attività” “importa” e cercate il file *.crt poi OK OK OK e chiudete)). Andrete ora dentro la shell exchange e darete il cmd-let:

[PS] C:\>Import-ExchangeCertificate -path C:\7f3XXXXAAAAAA.crt

poi cercherete il thumbprint del certificato col cmd-let

 [PS] C:\> Get-ExchangeCertificate

e

> [PS] C:\>Enable-ExchangeCertificate -Thumbprint XXXXXXXXXXXX  -Services "IIS, SMTP, IMAP, POP"

Adesso seguirete il tutorial in inglese qui che sintetizzero’ qui sotto.

C:\> Set-ClientAccessServer -Identity SRV-MAIL -AutodiscoverServiceInternalUri https://mailserver.FANTASIA.it/autodiscover/autodiscover.xml
C:\> Set-WebServicesVirtualDirectory -Identity "SRV-MAIL\EWS (Sito Web predefinito)" -InternalUrl https://mailserver.FANTASIA.it/ews/exchange.asmx
C:\> Set-OABVirtualDirectory -Identity "SRV-MAIL\oab (Sito Web predefinito)" -InternalUrl https://mailserver.FANTASIA.it/oab
C:\> Set-UMVirtualDirectory -Identity "SRV-MAIL\UnifiedMessaging (Sito Web predefinito)" -InternalUrl https://mailserver.FANTASIA.it/unifiedmessaging/service.asmx

Ora dovrete andare sulla mmc “Gestione Internet Information Services” poi “Pool di applicazioni”/”MSExchangeAutodiscoverAppPool” click destro ‘RICICLO’