Skip to content

Warum Backups was für Weicheier sind

Foto: WikiPedia
Photodatenbank abgekackt mit 4200 Fotos, Verlinkungen, Beschreibungen. Backup der letzten Monate war zwar vorhanden und hat den Fehler fleißig mitgesichert...

Ergebnis: Alles neu von Hand rekonsturiert. Zum Glück bin ich Atheist, denn das war eine Heidenarbeit. :-O Da die Fotos und die Verzeichnisstruktur nicht von dem Problem betroffen waren, bleiben die Verweise erhalten. Nur die Bildvorschau nicht. Das wird schrittweise nachgeholt. Für Hinweise auf fehlende Fotos in Beiträgen bin ich dankbar.

Fazit: Nicht nur sichern, auch mal zwischendrin ein Restore machen, um sicher zu gehen, daß eine Wiederherstellung im Notfall auch klappt.

Stress am Morgen wegen: "config: SpamAssassin failed to parse line"

Eine Email zu einem fehlerhaften Updatelauf der RulesDuJour kann einem schon mal den Morgenkaffee verderben:

RulesDuJour Run Summary on xxxxxxxxx:

***NOTICE***: /usr/bin/spamassassin --lint failed. This means that you have an error somwhere in your SpamAssassin configuration. To determine what the problem is, please run '/usr/bin/spamassassin --lint' from a shell and notice the error messages it prints. For more (debug) information, add the -D switch to the command. Usually the problem will be found in local.cf, user_prefs, or some custom rulelset found in /etc/mail/spamassassin. Here are the errors that '/usr/bin/spamassassin --lint' reported:

[1247] warn: config: failed to parse line, skipping, in "/etc/mail/spamassassin/RulesDuJour/99_FVGT_Tripwire.cf": <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/1999/REC-html401-19991224/strict.dtd">
[1247] warn: config: failed to parse line, skipping, in "/etc/mail/spamassassin/RulesDuJour/99_FVGT_Tripwire.cf": <!-- <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN"
Der Inhalt von "/etc/mail/spamassassin/RulesDuJour/99_FVGT_Tripwire.cf" ist eine HTML Datei mit einem Refresh von 0.1.

Schon verdächtig. Ist Schäuble schon drin? Auch wenn man von einem Fehler ausgeht: Lieber auch mal außer der Reihe einen Sicherheitscheck des Systems starten. Natürlich von einer LiveCD aus, neben verschiedenen Virenscannern auch mit rkhunter. Das ist ein Linux-Tool, welches nach Rootkits, Hintertüren und möglichen lokalen Exploits sucht. Es vergleicht vorhandene Dateien anhand von sogenannten md5 -hashes mit kompromittierten Dateien, sucht nach von Rootkits angelegten Ordnern, falschen Dateirechten, versteckten Dateien, verdächtigen Strings in Kernelmodulen und führt eine Reihe weiterer Tests durch.

Sinnvollerweise schiebt man noch einen Check mit einem weiteren Tool, chkrootkit hinterher. Das Werkzeug ist recht einfach zu bedienen.

Bei dem betroffenen System fielen dann auch gleich mehrere veraltete und angreifbare Versionen von Programmen auf:

- OpenSSL 0.9.8e                                           [ Vulnerable ]
- Procmail MTA 3.22                                        [ Vulnerable ]
- OpenSSH 4.6p1                                            [ Vulnerable ]

Zumindest OpenSSL (0.9.8g) und OpenSSH (4.7p1) liegen ja schon seit einigen Monaten in aktuelleren Versionen vor. Och nööö... Schon ist der Nachmittag geregelt. Und das bei dem schönen Wetter:



Naja, zum Glück gibt es auch Backups, daher ist das Problem mit der fehlerhaften Datei 99_FVGT_Tripwire.cf wenigstens schnell erledigt.

Gefälschte Rechnungen von (angeblich) 1&1 unterwegs!

Seit dem letzten Wochenende haben einige Freunde und Kollegen eMails, die sich als Rechnungen der 1&1 Internet AG tarnen, erhalten. 1&1 warnt Internetnutzer dringend davor, die Dateianhänge dieser Mails zu öffnen, da der Dateianhang einen gefährlichen Virus enthält.

Die Mails wurden offensichtlich an willkürlich gesammelte E-Mail-Adressen im In- und Ausland versandt, so dass nicht nur 1&1 Kunden betroffen sind. Die E-Mails tragen die gefälschten Absenderadressen info@1und1.de, support@1und1.de oder Rechnungsstelle@1und1.de. Der angebliche Rechnungsbetrag beläuft sich bei allen bisher bekannten Mails auf 59,99 €.

Ein Erfahrungsbericht und weitere Informationen im roten Blog

Warum es wenig sinnvoll ist, einen virenverseuchten Rechner zu "reinigen" habe ich hier zitiert. Da hier sowieso nichts zu retten ist empfehle ich persönlich den Wechsel der Betriebssystems, zum Beispiel Linux, zum Beispiel Knoppix, Kubuntu oder Xandros. OpenSuSE ist eine weitere Alternative.

Virenbefallenes Windows noch zu retten?

Aus gegebenem Anlass:

WICHTIGER HINWEIS! WER DIESEN TEXT FUER UEBERZOGEN HAELT, ODER UNGLAUBWUERDIG,
DER MöGE BITTE BEI MICROSOFT SELBST NACHLESEN, DASS DAS DER EMPFOHLENE WEG IST.

http://www.microsoft.com/technet/community/columns/secmgmt/sm0504.mspx

Auch zum Lesen:

http://www.heise.de/security/suche.shtml?T=auf+der+Spur+Teil+1&Suchen=suchen&type=ha

http://isc.sans.org/diary.php?date=2004-07-23
http://isc.sans.org/diary.php?date=2004-08-23
http://isc.sans.org/diary.php?date=2004-11-04
http://isc.sans.org/diary.php?date=2004-11-24

Und jetzt der urspruengliche Artikel:

---------
> Ich verwende Windows XYZ
>
> folgendes trat auf

[Beschreibung typischer Symptome einer Virus/Wurm-Infektion]

> Was ist zu Tun?

Dein System ist kompromittiert, d.h. keine einzigen Komponente davon
ist mehr Vertrauenswuerdig. Komplettes loeschen und neu installieren
ist der einzige Ratschlag, der dir ernsthaft gegeben werden kann.


Unvollstaendig. Korrekte Liste: (ACHTUNG! REIHENFOLGE IST UNBEDINGT ZU
BEACHTEN!)

0) Zu Schritten der Beweissicherung befragst du am besten einen
Anwalt, der sich auf sowas spezialisiert hat.
Ansonsten:
1) Netzwerkanschlusskabel abziehen (ISDN, Ethernetkabel)
2) Plattmachen (formatieren aller partitionen) (oder neue Harddisk)
3) OS von original-Medien (oder sauberer kopien davon) neu installieren
4) alle vom Hersteller angebotenen Sicherheitspatches einspielen
(diese solltest du auf einem sauberen Rechner herunterladen und dauf CD
brennen oder als CD vom Hersteller deines OS einfordern)
5) OS gemaess den unten gelisteten URLs sicher konfigurieren
6) Backup erstellen, Checksummen aller Dateien erstellen und auf einen
externen Datentraeger speichern (zur Referenz spaeter, idealerweise auf
einer CDR)
7) Netzwerkanschlusskabel wieder anstecken und Netzzugang konfigurieren.

Schritte 4,5 und 6 sind regelmaessig zu wiederholen, mindestens bei
jedem vom Hersteller neu herausgegebenen Patch. Ja, nach 4 ist bei
allen Herstellern immer auch 5 und 6 nachzuziehen (manche Patches
machen Teile der Konfigurationsarbeit aus 5 rueckgaengig)!

> 1. Was ist das genau auf meinen PC, was da alle EXE-Dateien verändert?

Irgend ein Virus, Wurm oder ein Trojanisches Pferd. Da dein Rechner
(1300 mails outgoing) bereits als "offen" getagged war, ist es sehr
wahrscheinlich das neben der Erstinfektion noch weitere Backdoors
eingebaut wurden, falls du mal auf die Idee kommst, mit nem
Virenscanner aufzuraeumen, so das der Angreifer nacher immernoch
Vollzugriff auf deinen Rechner hat. Das ist nicht unueblich.

> 3. Hilft mir zum Schutz überhaupt ein Virenkiller oder brauch ich eine Firewall?
> 4. Wie schütze ich mich am besten?

Die Antwort auf diese Fragen findest du u.a. dort:

LINKBLOCK

[Anm.: Der Linkblock liegt online unter http://www.linkblock.de/
oder als Kopie auf http://faq.jors.net/linkblock.html ]


!!! BITTE http://www.linkblock.de/ DIE AKTUELLE VERSION BENUTZEN !!!

[Linkliste geloescht, da nicht laenger Aktuell und hier nicht wirklich
sinnvoll (zumindest fuer mich ;) aktuell zu halten]

> 5. Darf ich Outlook überhaupt verwenden?

Outlook (nicht Express) ist nicht weiter schlimm, es ist wie ne Zecke
am Arsch des Netzes, aber es ist im Gegensatz zu Outlook Express keine
offiziel vom Hersteller als "fuer die Virenreplikation entwickelte"
Software.


Quelle

Datensicherung mit BackupBuddy

Interessantes Backupscript auf rsync Basis. Aus der Beschreibung:

  • Uses rsyc's hard link option to provide incremental backups on spinning
    media.
  • No special software should need to be installed on any recent *nix distro.

  • Notifies administrator by email when errors have been detected.

  • Fault tolerant - if it "goes offline" and backups aren't performed for a while, it
    should "start working" gracefully and automatically.

  • No special setup beyond defining a config file should be required to get a new account running.

  • Fault aware - if something goes wrong, it will alert an admin. (by email)

  • Good logging - a quick preview of the log file(s) should tell everything that's going on.

  • Easy to configure - Somebody new to its use should be able to set it up in < 10 minutes once deps are met.

  • Disk Space Handling: You can define a threshold of max image size space to keep free.


    Quelle
  • Windows-Update ohne Internet-Verbindung

    Keine Chance für Sasser & Co: Mit unserem Update-Paket für Windows XP und 2000 schützen Sie beliebig viele PCs via CD oder LAN mit den aktuellen Sicherheits-Updates vor Wurm-Epidemien. Die Vorbereitung ist jetzt kinderleicht: Ein fertiges Skript lädt die Patches vollautomatisch von Microsofts Servern herunter.

    Quelle und weitere Informationen zum Windows-Update ohne Internet-Verbindung

    Debian: Sichern der Liste installierter Programme

    Eine Sicherung der installierten Programme erfolgt mit:

    dpkg --get-selections > pakete.log

    Nach der Neuinstallation kann mit

    dpkg --set-selections < pakete.log


    und
    dselect update


    und anschließendem
    dselect install


    der Programmstand wiederhergestellt werden. Sehr sinnvoll auch für Clones einzelner Systeme!

    Howto: Backups und Snapshots von Linux-Servern mit rsync und ssh

    Eine sinnvolle Datensicherungsmöglichkeit für Backups:
    Wenn etwas mit einfachen Linux-Bordmitteln zu lösen ist, ist das für unser Team meist die bevorzugte Wahl gegenüber einer speziellen und komplexen Software.

    Unsere nachfolgend vorgestellte Backup-Lösung kommt ohne spezielle Backup-Software aus und ist in unseren Augen trotzdem kein Kompromiss, sondern der "fertigen Software" in vielen Bereichen überlegen:

  • Stabiler täglicher Betrieb ohne Wartungsarbeiten
  • Komprimierter Transfer der Daten im Netzwerk
  • Bandbreitenlimitierung des Backup-Prozesses
  • Sicherer Transfer der Daten –“ ssh-verschlüsselt
  • Snapshot des gebackupten Systems, Rekonstruktion eines bestimmten Zustandes vor n-Tagen möglich
  • Bequemes Backup auf einfachen Festplatten, ohne teuren Tape-Roboter oder teure Bandlaufwerke. Große Datenmengen möglich.
  • Schnelles zurückspielen der Daten in Festplattengeschwindigkeit möglich (schneller als Bandlaufwerke)


  • Mehr

    Win 2k wiederherstellen

    Unter Windows 2000 dagegen können Sie von der Installations-CD booten und die "Wiederherstellungskonsole" aufrufen. Das ist eine Art Minimal-Windows-2000 mit etwas über 30 Kommandozeilenbefehlen. Damit lassen sich etwa eine beschädigte Registrierdatenbank gegen ein funktionierendes Backup oder auch einzelne Sys-temdateien austauschen. Sie können einen widerspenstigen Treiber löschen oder den entsprechenden Dienst dauerhaft abschalten. Daneben bietet die Wiederherstellungskonsole auch so wichtige Reparaturoptionen wie die Rekonstruktion von Master Boot Record und Boot Record sowie die Überprüfung von Festplatten. In der Konsole lassen sich nur die vordefinierten Befehle ausführen, keine externen Programme.

    Tipp: Wenn Sie nach der Installation von Windows 2000 WINNT32.EXE (auf der Installations-CD im Verzeichnis \I386) noch einmal mit dem Parameter "/cmdcons" starten, richtet Windows 2000 die Wiederherstellungskonsole auf der Festplatte ein, so dass sie auch ohne CD erreichbar ist. Sie erscheint dann als Option im Bootmenü.

    1. Bootloader restaurieren
    1.1 Windows 2000 beschädigt XP

    Installiert man Windows 2000 oder NT nach einem bestehenden Windows XP, wird der Bootloader stellenweise beschädigt. Konkret überschreibt z.B. Windows 2000 die Datei ntldr durch eine Version, mit der Windows XP nicht mehr starten kann.

    Das Problem lässt sich leicht beheben, indem man die beschädigten Dateien von jedem beliebigen Windows oder der Wiederherstellungskonsole auf das Bootlaufwerk kopiert:

    COPY x:\I386\NTLDR C:\

    1.2. Neuaufbau des Bootloaders

    Sollte der NT-Bootloader weiter beschädigt sein, ist etwas mehr Handarbeit nötig.

    Dazu bootet man den Rechner von der Windows XP-CD (ggf. im BIOS die Bootreihenfolge ändern), dann mit der "R"-Taste in den Reparaturmodus mittels Wiederherstellungskonsole wechseln. Wer nur eine Recovery-CD zur Verfügung hat, kann auch die Installations-Disketten von Windows 2000 bzw. XP verwenden (Download für Windows XP hier)

    Nun befindet man sich in der Wiederherstellungskonsole.

    Hier stellt man mit fixboot C: einen neuen Bootsektor her.

    Wurden weitere Dateien auf dem Bootlaufwerk überschrieben (Platte formatiert, Dateien gelöscht), müssen weitere Dateien hergestellt werden.

    Zuerst kopiert man

    COPY x:\I386\NTLDR C:\
    COPY x:\I386\NTDETECT.COM C:\

    auf die Festplatte (Pfadangaben X und C beachten).

    Danach gibt man den Befehl bootcfg /rebuild ein. Das Programm sucht hiermit nach Windows-Installationen und fragt bei den "Funden" nach dem Anzeigenamen. Als Ergebnis erhält man eine neue boot.ini. Weitere Parameter von bootcfg erläutert der KB Artikel 291980.

    Um den Rechner neu zu starten und die Wiederherstellungskonsole zu verlassen, muss man nur exit eingeben.

    Quelle

    Backup-Manager

    Empfehlung für ein Backup Script: Backup-Manager.

    Zu den Features:

  • Make tar, tar.gz, tar.bz2 and zip archives.
  • Automatically burn the archives on CDR/CDRW media.
  • Logging to syslog is possible
  • Perform MD5 checksums when burning data on CDR to be sure that archives aren't corrupted.
  • Backup MySQL databases with mysqldump
  • Can be run in a parallel mode with different configuration files.
  • Keep and purge all the archives for a given number of days.
  • Upload the generated archives to remote hosts, either with ftp or scp.
  • Provide two diffrent ways of naming the tarballs.
  • Is completly integrated to the Debian environment.
  • The Debian package uses debconf to provide a quick and easy setup.


  • Der Programmierer Alexis Sukrieh ist sehr freundlich und hilfsbereit.
    cronjob