Kategorie: Netzwerk

Netzwerktechnik, Netzwerkadmin

Emotet Trojaner – wie kann man sich davor schützen?

Auch, wenn das Thema absolut nichts Neues mehr ist, möchte ich kurz auf die Thematik der immer wiederkehrenden Trojanerwellen zu sprechen kommen. Vielleicht hilft es ja ein wenig, die Sinne zu schärfen und einer Infektion entgegen zu wirken.

Emotet und diverse Cryptolocker sind nach wie vor sehr präsent in diversen Fachzeitschriften / im Internet und sorgen bei so manchem Administrator für Gänsehaut. Doch wie kann man sich die „boshaften Zeitgenossen“ eigentlich einfangen?

Infektionswege und Gegenmaßnahmen

Anhänge in Emails

Im Falle diverser Cryptolocker (Trojaner) und auch bei Emotet, wird meistens auf das altbekannte Medium „Email“ zurückgegriffen. Die Vorgangsweise ist also im Großen und Ganzen gleich geblieben, wie in früheren Jahren. Mit einem großen Unterschied: Die „bösartigen Mails“ sind heutzutage in perfektem Deutsch formuliert und sogar auf das Ziel / die Zielgruppe zugeschnitten.

So kann es gut sein, dass man ein Mail im Posteingang vorfindet, dessen Inhalt (ggf. der Anhang) einem gerade aktuellen Tätigkeitsfeld, einem laufenden Projekt, einer Stellenausschreibung etc. entspricht.

Der Empfänger soll sich sicher fühlen. Ganz nach dem Schema: Den Absender kenne ich, der Kontext ist bekannt, da kann nichts passieren. Das Mail / den Anhang kann ich ohne Bedenken öffnen!

Makros in Officedokumenten

Ein Makro, ist in Officedokumente eingebetteter Code, der im Hintergrund diverse Anweisungen ausführt. Eine normale Word- oder Exceldatei, die nur Text und Grafiken enthält, wird den Anwender NIE auffordern, die Makros zu aktivieren!

Man erhält ein Mail mit einem Officedokument, welches nach dem Öffnen darum ersucht, die Makros zu aktivieren. Die Aufforderung zum Öffnen kann z.B. so aussehen

ACHTUNG bei dieser Meldung! Bitte nicht auf Inhalt aktivieren klicken!

Das Ganze geht auch noch etwas aufgehübscht:

Tipp 1

Sofern keine Makros in MS Office verwendet werden, können die Makros auch komplett deaktiviert werden = Alle Makros ohne Benachrichtigung deaktivieren.

Die Makrosicherheitseinstellungen sind im Sicherheitscenter von Word/Excel/Powerpoint zu finden und müssen separat für jede einzelne Anwendung (Word, Excel…) konfiguriert werden!

Datei -> Optionen -> Sicherheitscenter (Trust Center) -> Einstellungen für das Sicherheitscenter -> Makroeinstellungen

Die Makrosicherheit von Office sollte zumindest so konfiguriert werden, dass vor dem Ausführen von Makros nachgefragt wird (=Standardeinstellung). Der genaue Wortlaut dieser Einstellungen lautet: Alle Makros mit Benachrichtigung deaktivieren. 

Es geht auch im ZIP und PDF Format

Abgesehen von oben erwähnten Officedokumenten, kann es natürlich auch vorkommen, dass man Dateien im ZIP Format erhält, die -in entpackter Form- ein Officedokument beinhalten. Auch PDF-Dateien, die wiederum einen Link enthalten sind möglich

Es müssen nicht immer Anhänge sein

Nicht immer ist ein Anhang der Wegbereiter einer Infektion!
Ab und zu werden auch Links in Emails eingebettet, die dann wiederum auf Seiten führen, die Dateien mit Schadcode enthalten können. Diese Mails sind mittlerweile in perfektem Deutsch formuliert und kommen von vermeintlich bekannten Absendern (in untenstehendem Fall, kam die Mail -auf den ersten Blick- von einem bekannten österreichischen Energielieferanten):

Tipp 2: Sicherheitsaktualisierungen zeitnah einspielen

Auch wenn vielen bekannt sein dürfte, dass es in letzter Zeit mit Microsoft so einige Updateprobleme gab, sollte man unbedingt sämtliche vorhandenen Sicherheitsaktualisierungen einspielen, sobald diese veröffentlicht worden sind.

Ich spreche hier nicht nur von MS-eigenen Aktualisierungen, sondern auch von diversen Updates für z.B. Java, Flash, PDF-Viewer etc.

Für Windowsnutzer heißt das vor allem: Den Windowsupdatedienst NICHT deaktivieren! Im Firmenumfeld einen WSUS-Server einsetzen!

Vielleicht denkt sich jetzt ein Leser/ eine Leserin: Was hilft mir ein Sicherheitsupdate, wenn ich mir den Schadcode per Email auf den Rechner hole?

Nun, im Hinblick auf „die Aktivierung des Trojaners“ im Netzwerk / auf dem PC, hilft das Einspielen von Sicherheitsupdates meist nicht. Aktiviert wird das Schadprogramm so gut wie immer durch den User. ABER: Sofern es dem Trojaner gelingt, Schadcode nachzuladen, versucht dieser dann bekannte Sicherheitslücken innerhalb von Programmen – vor allem innerhalb eines Netzwerkes – auszunutzen.

Beispiel: https://de.wikipedia.org/wiki/EternalBlue

Bei Vorhandensein eines gepatchten Systems, gelingt dies oft nicht.

Tipp 3: Virenschutz mit aktuellen Virendefinitionsdateien einsetzen

Unter Windows sollte unbedingt ein Virenschutz eingesetzt werden, der laufend aktualisiert wird. Auch wenn die Hersteller von Schutzsoftware meistens einen Schritt „hinten nach“ sind, gehört dies zum Grundschutz einer Windowsinstallation.

Tipp 4: Kontrolle und Beschränkung des ein-/ausgehenden Datenstroms / SSL inspection

Ein Teil dieses Tipps, ist eher im Firmenumfeld umsetzbar, da hier meistens Firewallappliances eingesetzt werden, um dein eingehenden / ausgehenden Datenstrom auf Schadcode zu untersuchen. Im privaten Umfeld, wird man sich vermutlich keine hochpreisige Appliance leisten wollen.

Kontrolle des ausgehenden Datenstroms: Wenn man sich vor Augen hält, dass in vielen Fällen Schadcode aus dem Internet nachgeladen wird, wird klar, dass der ausgehende Datenstrom gescannt werden muss. In Kombination mit dem Scannen auf Schadsoftware, sollten – wenn möglich – auch DNS-Blacklists, bekannte Botnet-Adressräume abgefragt und blockiert werden.

Damit einhergehend, sind ausgehend nur die unbedingt notwendigen Ports zu öffnen. (z.B. nur 80 = HTTP, 443 = HTTPS, 53 = DNS).

SSL Inspection: Sofern vorhanden, sollte unbedingt die SSL Inspection (scannen von verschlüsselten Verbindungen) aktiviert werden. (Damit verschlüsselte Verbindungen im Browser weiterhin funktionieren, muss das von der Appliance verwendete SSL-Zertifikat in den Browser / in den Windowszertifikatsstore importiert werden).

Warum SSL-Inspection? Der Grund hierfür ist, dass der Schadcode ggf. ja auch über eine HTTPS – Verbindung nachgeladen werden könnte. Wird SSL nicht gescannt, wird der Schadcode nicht erkannt.

Tipp 5: Schutz vor Spamnachrichten

Viele der „bösen“ Mails, werden über bekannte Spamquellen versendet. Durch den Einsatz von Spamfiltern und der Abfrage von Spamlisten, kann die Flut der eingehenden Spammails eingedämmt wreden. Optimalerweise gelangen so gut wie keine Spammails mehr in das Postfach.

Sofern man beispielsweise postfix als Mailserver einsetzt, reicht ein zusätzlicher Eintrag beim Parameter smtpd_recipient_restrictions um Spamlisten abzufragen. Abgesehen davon, kann auch noch auf Greylisting, Spamassassin etc. zurückgegriffen werden.

Die beste Spammail, ist die Mail, die nicht ins Postfach gelangt! (Etwas optimistisch formuliert: Keine Spammail, Kein Schadcode!)

Tipp 5: Schulung der Mitarbeiter / Familienmitglieder

Es sollte laufend bzw. zumindest in regelmäßigen Abständen auf die Bedrohungslage hingewiesen werden. Man sollte aber darauf achten, dass man nicht zu oft informiert, um gewisse „Ermüdungserscheinungen“ zu verhindern. (Schon wieder ein Infomail über Trojaner, kenn ich schon…).

Tipp 6: Backup, Backup, Backup…

Normalerweise hätte dieser Punkt bereits ganz am Anfang erwähnt werden müssen. Ohne regelmäßiges Backup, ist man im Falle einer Infektion verloren!

Das Backup MUSS unbedingt offline vorliegen. Es hilft nichts, täglich ein Backup der Arbeitsdaten auf ein NAS zu machen, welches permanent im Netzwerk ist. Die Gefahr, dass auch die Daten am NAS kompomittiert werden könnten ist einfach zu hoch. Neben der „online“ Sicherung, muss regelmäßig auch eine Sicherung auf ein Offline-Medium durchgeführt weden. Als Offline-Medium kommt z.B. eine externe USB Platte in Frage. Auch Bandlaufwerke sind wieder auf der Tagesordnung. Verhältnismäßig günstig, bei hoher Datendichte. Ein Bandlaufwerk kostet allerdings „einiges“.

Tipp 7: Nie mit Administratorrechten arbeiten

Der Administrator(account) ist nur für Installationsarbeiten heranzuziehen. Für das tägliche Arbeiten, sollte ein Standardbenutzer mit eingeschränkten Rechten verwendet werden.

Dies gilt vor allem im Firmenumfeld, sollte aber auch @home jedenfalls in Betracht gezogen werden.

Fazit

Man kann einige Schritte setzen, um einer Infektion und einem Datenverlust entgegenzuwirken. Im Worst-Case kommt es auf ein gutes Backup- / Restorekonzept an. Bei all den Möglichkeiten, sich „einzuigeln“ ist eines immer gewiss: 100%ige Sicherheit gibt es nicht. 😉

Wünsche, Anregungen, Ergänzungen und auch konstruktive Kritik per Kommentar gerne gelesen!

Debian Stretch Mariadb – Rootlogin phpmyadmin funktioniert nicht mehr

Es ist zwar kein neuer Hut mehr, dass es mit Mariadb in Verbindung mit dem rootlogin in phpmyadmin Probleme gibt, ich möchte es an dieser Stelle aber dennoch erwähnen und eine – meiner Meinung nach gute – Lösung anbieten.

Hintergrund

Bei Mariadb (aktuell in Version 10.1.26-0+deb9u1) ist für den root-user ein unix_socket Plugin aktiv. Dieses Plugin prüft, ob man:

1.) Als Rootuser in der Konsole eingeloggt ist und
2.) den vorhandenen Mariadb-root-user.

Wenn man sich nun bei phpmyadmin als Benutzer root einloggen will, schlägt dies fehl. Klar! In dem Fall meldet man sich ja nicht per Konsole (als User root) bei der Mariadb an, sondern über das Web.

Lösungsweg

Es gäbe nun die Möglichkeit, das Plugin für den Mariadb-Benutzer root zu deaktivieren. (Davon sehe ich hier aber ab). Besser ist es, einen neuen Datenbankbenutzer anzulegen, der -so wie root- auch Vollzugriff auf alle Datenbanken hat, um letztendlich alle Datenbanken per phpmyadmin verwalten zu können.



Im Terminal des Servers  bzw. des Linuxsystems sind folgende Schritte (eingeloggt als root) durchzuführen:

mysql

grant all on *.* to neuerrootuser@localhost (RETURN)
identified by 'deinpasswort' with grant option;

Es ist nun ein weiterer Benutzer mit DB-Rootrechten angelegt worden.

Absicherung der Installation

Es ist immer eine gute Idee, den Befehl

mysql_secure_installation

auszuführen, um einige DB-Einstellungen sicherer zu gestalten. Hierbei kann (und sollte!) auch für den bereits vorhandenen DB-Benutzer „root“ ein Passwort gesetzt werden. (In der Standardkonfiguration hat dieser DB-Benutzer kein Passwort, da ja u.a. auf das unix_socket-Plugin zurückgegriffen wird).

Bestehende MariaDB-Benutzer abfragen / Plugincheck

Will man prüfen, welche User angelegt sind / für wen das oben erwähnte Plugin aktiv ist, begibt man sich abermals in ein Rootterminal und startet folgende Abfrage:

mysql

select user, plugin from mysql.user;

 

 

Meltdown, Spectre: Systeme patchen nicht vergessen

Angesichts der momentan vorherrschenden Securityproblematik (Spectre, Meltdown…) solltet ihr eure Systeme Patchen. Für „Linux“ gilt es bereits vorhandene Kernelaktualisierungen einzuspielen und das System danach neu zu starten.

So gibts für die Stable Version von Debian (Stretch) mittlerweile die Kernelversion 4.9.65-3+deb9u2, die der Sicherheitsproblematik entgegenwirkt.

https://www.debian.org/security/2018/dsa-4078

https://security-tracker.debian.org/tracker/linux

Auch Microsoft stellt Patches zur Verfügung

Windows 7: https://support.microsoft.com/en-us/help/4056897/windows-7-update-kb4056897

Windows 8: https://support.microsoft.com/en-us/help/4056898/windows-81-update-kb4056898

Windows 10: https://support.microsoft.com/de-de/help/4056892/windows-10-update-kb4056892

Mikrotik Router – Grundkonfiguration from scratch

Generell kann der Mikrotik Router entweder über eine fixe IP-Adresse, oder das Programm Winbox angesprochen werden. Der Vorteil der Winbox besteht u.a. darin, dass der Mikrotik Router auch über seine MAC-Adresse gefunden wird.

Somit wird es möglich, per MAC-Adresse ins „Admin-Backend“ des Routers zu gelangen.

Ausgangslage

Sofern man die Werkseinstellungen des Routers übernimmt ist ein Port des Routers für den Anschluß des „Internet“ (anderer Router) gedacht. Die verbleibenden Ports stehen dem LAN zur Verfügung.

Ich will mich im Rahmen dieses Beitrages jedoch mit der kompletten Neukonfiguration beschäftigen. D.h. der Router ist absolut unkonfiguriert.

Was wollen wir erreichen

  • 1 Port soll für die WAN-Schnittstelle konfiguriert werden, wobei eine statische IP-Adresse Verwendung findet.
  • Die verbleibenden Ports sollen für das LAN zur Verfügung stehen.

WAN-Konfiguration

Nach dem Einstieg auf den Router per Winbox wählt man:

  • Menü IP -> Adresses
  • Klick auf das + Symbol im erscheinenden Fenster oben

Im Beispiel wird die IP 192.168.0.100/24 für das ether1 Port vergeben. Abschließend ist das Fenster mit OK zu bestätigen.

Bridge konfigurieren

Alle verbleibenen Ports sollen für das LAN zur Verfügung stehen und „gebridged“ werden (Jedes Port „macht“ das Gleiche).

  • Menü IP -> Bridge
  • Klick auf das + Symbol

Als Name wird z.B. bridge1 vergeben. Abschließend wird das Fenster mit OK geschlossen.

Der Bridge Ports zuordnen

Im Menü IP -> Bridge / Fenster Bridge müssen nun noch die Ports zugeordnet werden, die dieser Bridge zugeordnet werden sollen. Das WAN-Port darf der Bridge NICHT zugeordnet werden!

Dieser Schritt (oben) ist mit allen Interfaces zu wiederholen, die der Bridge hinzugefügt werden sollen.

Der Bridge eine IP Adresse zuweisen

  • Menü IP -> Adresses
  • Klick auf das + Symbol
  • IP Adresse der Bridge zuordnen

Abschließend ist das Fenster mit OK zu bestätigen.

Der Bridge einen DHCP-Server zuordnen

Für das LAN soll ein DHCP-Server konfiguriert werden. Da das LAN am Bridge-Port hängt, wird dem Bridge-Port ein derartiger Server zugeordnet.

  • Menü IP -> DHCP Server
  • Klick auf Button „DHCP SETUP“
  • Wahl des Interfaces (bridge1) -> Next
  • Den gewünschten Adressraum eingeben. Wenn z.B. der Mikrotikrouter mit 192.168.88.1 im LAN angesprochen wird, könnte man einen DHCP-Adressraum von 192.168.88.2 – 192.168.88.254 verwenden. -> Next
  • DHCP Relay leer lassen

Standardroute ins Internet setzen

Die Standardroute soll über zu einem Internet-Router zeigen, an dessen LAN-Port der Mikrotikrouter (WAN-Port) hängt. Der Internet-Router hat die IP Adresse 192.168.0.1

  • Menü IP -> Routes
  • Klick auf das + Symbol
  • Als Dst. Adresse: 0.0.0.0/0 eingeben (=Route ins Internet)
  • Gateway = IP des Internet-Router = 192.168.0.1
  • Mit Ok bestätigen

Im Fenster „Route List“ muss nun noch in den Reiter „Next Hops“ gewechselt werden, um zu prüfen, dass als Adresse die IP 192.168.0.1 (Internet-Router) eingetragen ist.

DNS Server definieren

Ohne DNS-Server geht es nicht.

  • Menü IP -> DNS Settings (Häkchen bei „Allow Remote Requests“ setzen nicht vergessen)

Das sollte es gewesen sein. Alle Clients die an den LAN-Ports des Mikrotik Routers hängen, sollten nun in das Internet gelangen.

 

 

 

Owncloud bleibt nach Upgrade im Wartungsmodus

Immer wiedermal passiert es, dass meine Owncloud nach einem Upgrade (per apt-get) im Wartungsmodus hängen bleibt. Um diesem Umstand entgegen zu wirken, muss man in der config.php, welche sich in der Regel (Debian) unter:

  • /var/www/owncloud/config/config.php

befindet den Wartungsmodus abschalten.

Mit einem Texteditor eurer Wahl editiert ihr also die config.php folgendermaßen:

  • ‚maintenance‘ => true,

ändern in:

  • ‚maintenance‘ => false,

Um sicherzugehen, dass das Upgrade fehlerfrei gelaufen ist, kann man folgende Befehl in der Kommandozeile absetzen, sofern der Wartungsmodus bereits inaktiv geschaltet ist:

  •  sudo -u www-data /var/www/owncloud/occ upgrade

mit einem:

  •  sudo -u www-data /var/www/owncloud/occ status

 

lässt sich der Versionsstatus abrufen. In meinem Fall sieht das dann so aus:

  • – installed: true
  • – version: 9.0.0.19
  • – versionstring: 9.0.0
  • – edition:
Zur Verbesserung des Service werden anonymisierte Nutzerdaten mittels Google Analytics verarbeitet. Falls Sie das nicht wünschen - > Hier klicken um dich auszutragen.