Installare lime su centos e profilo volatility

Ecco la procedura per installare lime (tool per fare un dump della ram per analisi forense) su centos:
# yum install kernel-devel gcc -y
# wget https://lime-forensics.googlecode.com/files/lime-forensics-1.1-r17.tar.gz
# mkdir lime && mv lime-forensics-1.1-r17.tar.gz lime/ && cd lime && tar xvfz lime-forensics-1.1-r17.tar.gz
# cd src && make
# insmod lime-2.6.32-431.5.1.el6.i686.ko path=tcp:2244 format=lime

da macchina remota:
$ nc ip.server.con.lime 2244 >> server.lime

per quanto riguarda volatility, sempre sulla macchina di cui dovete fare il dump:
$ svn checkout http://volatility.googlecode.com/svn/trunk/tools/linux dwarf
$ cd dwarf && make && cd ..
$ zip server_spyware.zip dwarf/module.dwarf /boot/System.map-`uname -r`

Annunci
Categorie:LINUX

Centos: eliminare vecchi kernel

# yum install yum-utils
# package-cleanup --oldkernels --count=2

editare /etc/yum.conf e cambiare il seguente parametro:
installonly_limit=2

Categorie:LINUX

problema con clamav-unofficial-sigs

Quindi le firme ufficiali di clamav non sono alquanto aggiornate, ho deciso di scaricare su Fedora19 lo script (yum install ..) clamav-unofficial-sigs e avere aggiornato il db anche con le firme di SaneSecurity.

Ma dal cilindro è uscito un bell’errore:
# clamav-unofficial-sigs.sh
gpg: Non sono stati trovati dati OpenPGP validi.
Custom keyring MISSING or CORRUPT! Could not import Sanesecurity public GPG key to custom keyring

ho risolto, così:
# cd /var/lib/clamav-unofficial-sigs/
[root@localhost clamav-unofficial-sigs]# rm -rf add-dbs configs gpg-key mbl-dbs si-dbs ss-dbs

Infatti:
$ cd virus/
argento@localhost virus$ clamscan
/home/argento/virus/Mint credit card bill _882-03-14.zip: Sanesecurity.Rogue.0hr.20140313-0649.UNOFFICIAL FOUND
/home/argento/virus/IMG000003342.zip: Sanesecurity.Malware.23134.ZipHeur.UNOFFICIAL FOUND
/home/argento/virus/document.1778-290-15-03.zip: winnow.malware.123789.UNOFFICIAL FOUND
/home/argento/virus/GB0992453.zip: Sanesecurity.Malware.23152.ZipHeur.UNOFFICIAL FOUND
/home/argento/virus/Guadagni extra per voi! 700-1000 euros alla settimana..eml: OK
/home/argento/virus/DSC_990341.zip: Sanesecurity.Rogue.0hr.20140312-0648.UNOFFICIAL FOUND

----------- SCAN SUMMARY -----------
Known viruses: 3448769
Engine version: 0.98.1
Scanned directories: 1
Scanned files: 6
Infected files: 5
Data scanned: 0.54 MB
Data read: 0.23 MB (ratio 2.40:1)
Time: 11.170 sec (0 m 11 s)

Categorie:LINUX

Common name is already present in a current certificate. (rinnovare un certificato ssl su exchange 2007)

Oggi e nei giorni precedenti ho sudato diverse tshirt per sostituire il certificato ssl presente su Exchange 2007 in quanto la sua validità era terminata.
Ho acquistato il nuovo certificato triennale ad un modico prezzo sul sito www.certificatesforexchange.com (reseller di godaddy.com).
Il prossimo step sarà ottenere il csr (la richiesta di certificato) dalla shell exchange con il cmd-let:

[PS] C:\>New-ExchangeCertificate -generaterequest -keysize 2048 -subjectname "c=IT, l=CAGLIARI, s=CA, o=fantasia srl,cn=mailserver.FANTASIA.it" -domainname autodiscover.FANTASIA.it  -PrivateKeyExportable $true -path c:\schiavisrl_csr.txt 

l’output generato deve essere incollato nel pannello di certificatesforexchange.com dal quale ho ottenuto l’errore:

Common name is already present in a current certificate.

….creato dal conflitto col certificato vecchio tuttora installato. Bisogna revocare il cert dal pannello del vecchio provider, quindi riprovare. Successivamente il dominio sarà sottoposto a verifica, cioè verrà spedita una posta elettronica all’intestatario del dominio che dovrà approvare. Successivamente potrete avere il certificato (2 file uno .crt e l’altro .p7z) da installare su exchange. ((Per installarlo aprirete la mmc con lo snapin certificati — “mmc” snapin “certificati” “account del computer” “computer locale” poi aprite l’albero “certificati” click destro su “Autorità di certificazione intermedie” “tutte le attività” “importa” e cercate il file *.crt poi OK OK OK e chiudete)). Andrete ora dentro la shell exchange e darete il cmd-let:

[PS] C:\>Import-ExchangeCertificate -path C:\7f3XXXXAAAAAA.crt

poi cercherete il thumbprint del certificato col cmd-let

 [PS] C:\> Get-ExchangeCertificate

e

> [PS] C:\>Enable-ExchangeCertificate -Thumbprint XXXXXXXXXXXX  -Services "IIS, SMTP, IMAP, POP"

Adesso seguirete il tutorial in inglese qui che sintetizzero’ qui sotto.

C:\> Set-ClientAccessServer -Identity SRV-MAIL -AutodiscoverServiceInternalUri https://mailserver.FANTASIA.it/autodiscover/autodiscover.xml
C:\> Set-WebServicesVirtualDirectory -Identity "SRV-MAIL\EWS (Sito Web predefinito)" -InternalUrl https://mailserver.FANTASIA.it/ews/exchange.asmx
C:\> Set-OABVirtualDirectory -Identity "SRV-MAIL\oab (Sito Web predefinito)" -InternalUrl https://mailserver.FANTASIA.it/oab
C:\> Set-UMVirtualDirectory -Identity "SRV-MAIL\UnifiedMessaging (Sito Web predefinito)" -InternalUrl https://mailserver.FANTASIA.it/unifiedmessaging/service.asmx

Ora dovrete andare sulla mmc “Gestione Internet Information Services” poi “Pool di applicazioni”/”MSExchangeAutodiscoverAppPool” click destro ‘RICICLO’

Posso eliminare la cartella c:\windows\installer ?

La risposta è NO. Almeno non tutta.
Il contenuto della cartella c:\windows\installer su Windows 2003 server, contiene file msi e msp per la disinstallazione di software WINDOWS. Quindi non è possibile rimuoverli. Alcuni fortunatamente sono orfani e possono essere cancellati.
Per identificarli e razzarli serve msizap.exe contenuto nel “support tools” di windows.
Alla fine è sufficiente lanciare il comando da cmd:

D:\Programmi\Support Tools>msizap.exe G
MsiZapInfo: Performing operations for user S-1-5-21-2094878451-1370233763-3661550087-500
Removing orphaned cached files.
Error enumerating Products key for S-1-5-21-2094878451-1370233763-3661550087-500 user. Error: 6.
Removed file: C:\WINDOWS\Installer\151f1285.mst
Removed file: C:\WINDOWS\Installer\3701d08.mst
Removed file: C:\WINDOWS\Installer\3701d09.mst
Removed file: C:\WINDOWS\Installer\a3f2e0.mst
Removed file: C:\WINDOWS\Installer\21c2d57a.msp
Removed file: C:\WINDOWS\Installer\240b1656.msp
Removed file: C:\WINDOWS\Installer\240b1657.msp
Removed file: C:\WINDOWS\Installer\2be0f8.msp
Removed file: C:\WINDOWS\Installer\2be0fe.msp
Removed file: C:\WINDOWS\Installer\2c515229.msp
Removed file: C:\WINDOWS\Installer\4327b748.msp
Removed file: C:\WINDOWS\Installer\4327b749.msp
Removed file: C:\WINDOWS\Installer\4de08.msp
Removed file: C:\WINDOWS\Installer\4de0e.msp
Removed file: C:\WINDOWS\Installer\52e516db.msp
Removed file: C:\WINDOWS\Installer\53c7cbb.msp
Removed file: C:\WINDOWS\Installer\58b0054f.msp
Removed file: C:\WINDOWS\Installer\6825069b.msp
Removed file: C:\WINDOWS\Installer\76de01c9.msp
Removed file: C:\WINDOWS\Installer\bbb8e2.msp
Removed file: C:\WINDOWS\Installer\bbb8e5.msp
Removed file: C:\WINDOWS\Installer\bbb8e8.msp
Removed file: C:\WINDOWS\Installer\bbb8eb.msp
Removed file: C:\WINDOWS\Installer\c5bc2bda.msp
Removed file: C:\WINDOWS\Installer\d666b.msp
Removed file: C:\WINDOWS\Installer\eadb43d8.msp
FAILED to clear all data.

Categorie:admin, server, windows 2003

Posso cancellare le cartelle c:\windows\ie7 c:\windows\ie7updates ?

Le cartelle c:\windows\ie7 e c:\windows\ie7updates non hanno nulla a che vedere con il buon funzionamento di “internet explorer” e possono tranquillamente essere eliminate nel caso non vogliato fare un downgrade o una disinstallazione di explorer 7 o 8.
Lo stesso dicesi per c:\windows\ie8 e c:\windows\ie8updates

Categorie:admin, windows 2003

configurare centos 6.5

La mia procedura per configurazine di centos 6.5 da minimal cd.

# echo "proxy=http://192.168.1.250:8080" >> /etc/yum.conf
# yum install man wget system-config-network-tui system-config-firewall-tui vim
# yum upgrade
# reboot
# vim /etc/sysconfig/networking/profiles/default/ifcfg-eth0

impostiamo ONBOOT=yes
ora installiamo epel repo e bash-completion

# echo -e "export http_proxy=http://192.168.1.250:8080 \nexport https_proxy=http://192.168.1.250:8080" >> /etc/bashrc
# source /etc/bashrc
# wget https://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
# rpm -ivh epel-release-6-8.noarch.rpm
# yum upgrade
# yum install bash-completion -y

Aggiungo l’autoupgrade su cron

# yum install yum-cron -y
# vim /etc/sysconfig/yum-cron
YUM_PARAMETER=
CHECK_ONLY=no
CHECK_FIRST=yes
DOWNLOAD_ONLY=no
RANDOMWAIT="60"
MAILTO=mymail@mycompany.it
SYSTEMNAME="srv-nameserver"
CLEANDAY="0"
SERVICE_WAITS=yes
SERVICE_WAIT_TIME=300
# chkconfig yum-cron on
# service yum-cron start

e questo piccolo script per segnalarmi al login che il kernel è stato aggiornato e la macchina deve essere riavviata.

# cat /usr/local/bin/chkrnl.sh
#!/bin/bash

LAST_KERNEL=$(rpm -q --last kernel | perl -pe 's/^kernel-(\S+).*/$1/' | head -1)
CURRENT_KERNEL=$(uname -r)
test $LAST_KERNEL = $CURRENT_KERNEL || echo -e "\n\nIl tuo server deve essere riavviato per cambiare kernel!\n\n"

# chmod +x /usr/local/bin/chkrnl.sh
# echo -e "/usr/local/bin/chkrnl.sh\n" >> /root/.bashrc

Categorie:LINUX