Eine Email zu einem
fehlerhaften Updatelauf der
RulesDuJour kann einem schon mal den Morgenkaffee verderben:
RulesDuJour Run Summary on xxxxxxxxx:
***NOTICE***: /usr/bin/spamassassin --lint failed. This means that you have an error somwhere in your SpamAssassin configuration. To determine what the problem is, please run '/usr/bin/spamassassin --lint' from a shell and notice the error messages it prints. For more (debug) information, add the -D switch to the command. Usually the problem will be found in local.cf, user_prefs, or some custom rulelset found in /etc/mail/spamassassin. Here are the errors that '/usr/bin/spamassassin --lint' reported:
[1247] warn: config: failed to parse line, skipping, in "/etc/mail/spamassassin/RulesDuJour/99_FVGT_Tripwire.cf": <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/1999/REC-html401-19991224/strict.dtd">
[1247] warn: config: failed to parse line, skipping, in "/etc/mail/spamassassin/RulesDuJour/99_FVGT_Tripwire.cf": <!-- <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN"
Der Inhalt von "/etc/mail/spamassassin/RulesDuJour/99_FVGT_Tripwire.cf" ist eine HTML Datei mit einem Refresh von 0.1.
Schon verdächtig.
Ist Schäuble schon drin? Auch wenn man von einem Fehler
ausgeht: Lieber auch mal außer der Reihe einen Sicherheitscheck des Systems starten. Natürlich von einer LiveCD aus, neben verschiedenen Virenscannern auch mit
rkhunter. Das ist ein Linux-Tool, welches nach
Rootkits,
Hintertüren und möglichen lokalen
Exploits sucht. Es vergleicht vorhandene Dateien anhand von sogenannten
md5 -hashes mit kompromittierten Dateien, sucht nach von Rootkits angelegten Ordnern, falschen Dateirechten, versteckten Dateien, verdächtigen Strings in Kernelmodulen und führt eine Reihe weiterer Tests durch.
Sinnvollerweise schiebt man noch einen Check mit einem weiteren Tool,
chkrootkit hinterher. Das Werkzeug ist recht
einfach zu bedienen.
Bei dem betroffenen System fielen dann auch gleich mehrere veraltete und angreifbare Versionen von Programmen auf:
- OpenSSL 0.9.8e [ Vulnerable ]
- Procmail MTA 3.22 [ Vulnerable ]
- OpenSSH 4.6p1 [ Vulnerable ]
Zumindest
OpenSSL (0.9.8g) und
OpenSSH (4.7p1) liegen ja schon seit einigen Monaten in aktuelleren Versionen vor. Och nööö... Schon ist der Nachmittag geregelt. Und das bei dem schönen Wetter:
Naja, zum Glück gibt es auch Backups, daher ist das Problem mit der fehlerhaften Datei
99_FVGT_Tripwire.cf wenigstens schnell erledigt.