Skipfish und Ubuntu

Geschrieben von everflux am März 21st, 2010

Google hat mit dem Skipfish Projekt ein Sicherheitstool veröffentlicht, mit dem Webanwendungen auf ihre Sicherheit – oder auch Sicherheitslücken untersucht werden können.

Das in C++ Programm unterstützt Windows, Apple Mac OS X und Ubuntu als Betriebssysteme und – wie für Google üblich – wird die besonderes hohe Performanz als Feature genannt. Im folgenden gehe ich kurz die Schritte durch, Skipfish unter Ubuntu Linux zu betreiben. Weiterlesen »

ACK FIN URGP=0

Geschrieben von everflux am März 19th, 2010

Diese kryptischen IP Flags „ACK FIN URGP=0“ haben mich dann doch irgendwann gestört – die Logdateien (ulog) wurden durch iptables Logging Meldungen mit haufenweise geblockten Verbindungen vollgepumpt.

Und das erstaunliche – im Prinzip sollte die Verbindung weder geblockt werden, noch schien das der Fall zu sein. Denn alle gemeldeten Verbindungen waren Port 80 – und wenn der Webserver nicht funktionieren würde, hätte ich das sehr schnell gemerkt.

Was war aber nun der Grund für angeblich geblockte Pakete mit den „ACK FIN URGP=0“ Flags?

Es handelte sich um Pakete, die durch die stateful Firewall nicht (mehr) zugeordnet werden konnten, und daher von der Default Regel gedroppt wurden. Aha!
Gründe dafür könnten z.B. sein, dass die FIN ACK (Verbindung beenden) Pakete sehr spät eingetroffen sind, und dann nicht mehr erkannt werden, oder aber auch eine hohe Anzahl Verbindungen, so dass die Zuordnungstabelle schnell voll ist. (Oder eben wirklich ein fieser gemeiner Hacker…)

Abhilfe: Entweder mit dem Wissen wieso und warum die „ACK FIN URGP=0“ Pakete auftauchen ignorieren, oder aber für die Ports, auf denen sehr viele Verbindungen behandelt werden (Port 80 / HTTP z.B.) die Firewall stateless laufen lassen.

Was ich interessant finde: Trotz Google und Lesen diverser Mailinglisten habe ich zu diesem Problem keine Antwort gefunden, wohl aber ein paar Foren in denen scheinbar jemand vor einem ähnlichen Phänomen stand (z.B. hier, auch mit Port 80) – vielleicht hilft dies Posting ja auch dem einen oder anderen.

(Ich bin kein Firwall oder iptables Experte, wenn jemand dazu noch einen guten Rat hat… immer her damit!)

Hudson + Maven: java.net.SocketTimeoutException: Accept timed out

Geschrieben von everflux am März 17th, 2010

Hudson und Maven sind an und für sich ein gutes Gespann… außer es funktioniert mal nicht.

Ausser der Meldung „Socket Timeout“ kamen nicht so viele  Hinweise:

[application] $ /usr/lib/jvm/java-6-sun/bin/java -Dmaven.repo.local=/home/hudson/maven-repository/ -Xms512m
-Xmx1024m -cp /home/hudson/hudson/plugins/maven-plugin/WEB-INF/lib/maven-agent-1.351.jar:
/home/hudson/maven/boot/classworlds-1.1.jar hudson.maven.agent.Main
/home/hudson/maven /home/hudson/hudson/war/WEB-INF/lib/remoting-1.351.jar
/home/hudson/hudson/plugins/maven-plugin/WEB-INF/lib/maven-interceptor-1.351.jar 57590
/home/hudson/hudson/plugins/maven-plugin/WEB-INF/lib/maven2.1-interceptor-1.2.jar
ERROR: Aborted Maven execution for InterruptedIOException
java.net.SocketTimeoutException: Accept timed out
	at java.net.PlainSocketImpl.socketAccept(Native Method)
	at java.net.PlainSocketImpl.accept(PlainSocketImpl.java:390)
	at java.net.ServerSocket.implAccept(ServerSocket.java:453)
	at java.net.ServerSocket.accept(ServerSocket.java:421)
	at hudson.maven.MavenProcessFactory$SocketHandler$AcceptorImpl.accept(MavenProcessFactory.java:167)
	at hudson.maven.MavenProcessFactory.newProcess(MavenProcessFactory.java:202)
	at hudson.maven.ProcessCache.get(ProcessCache.java:231)
	at hudson.maven.MavenModuleSetBuild$RunnerImpl.doRun(MavenModuleSetBuild.java:455)
	at hudson.model.AbstractBuild$AbstractRunner.run(AbstractBuild.java:416)
	at hudson.model.Run.run(Run.java:1240)
	at hudson.maven.MavenModuleSetBuild.run(MavenModuleSetBuild.java:304)
	at hudson.model.ResourceController.execute(ResourceController.java:88)
	at hudson.model.Executor.run(Executor.java:122)
Finished: ABORTED

Aber auch eine Lösung konnte ich für das Hudson/Maven Problem finden: Deaktivieren von ipv6 brachte die Lösung. Ob es wirklich am ipv6 liegt, oder was dann der tatsächliche Grund war, habe ich nicht weiter untersucht.

Das sonst bei Java Anwendungen gerne verwendete -Djava.net.preferIPv4Stack=true
half in meinem Fall jedenfalls nicht.

FedEx: Fail

Geschrieben von everflux am März 7th, 2010

Ich hatte bereits vor einiger Zeit über meine Probleme auf den Webseiten von SpringSource berichtet. Offenbar handelt es sich bei dem Problem um ein Muster: Auch bei FedEx war es mir nicht möglich, die Seiten korrekt zu nutzen, weil ich das eingesetzte Tracking-Script (Omniture) geblockt habe. Weiterlesen »

iTunes funktioniert nicht mehr

Geschrieben von everflux am März 6th, 2010

„itunes funktioniert nicht mehr“ – diese Meldung kann einen in den Wahnsinn treiben. Ich dachte erst das „itunes funktioniert nicht mehr“ läge an Windows 7, oder einem Windows Update. Oder gar einem Trojaner oder Malware auf dem Windows System. (Ich kenne mich mit Windows nicht so gut aus, da traue ich dem alles zu.) Und ich habe alles versucht, itunes wieder zum laufen zu bringen:

  • iTunes neu installiert
  • Windows 7 „letzte funktionierende Konfiguration / Systemwiederherstellung
  • cclean, Antivirus Software laufen lassen
  • genervt Windows 7 komplett neu installiert

Und stets kommt direkt nach dem Starten von iTunes die Windows Fehlermeldung „iTunes funktioniert nicht mehr“ – trotz Neuinstallation!

Genervt habe ich dann Windows XP installiert. Doch meine Zuversicht war zu früh: Auch hier wurde iTunes mit der Fehlermeldung „iTunes funktioniert nicht mehr“ einfach von Windows beendet.

Die Lösung für das Problem war dann doch etwas einfacher, als zuerst gedacht. Zunächst musste ich auf die Idee kommen, dass das iTunes Problem mit dem Rest der Systemkonfiguration zu tun haben musste. Der Verdacht viel nun auf VirtualBox, denn iTunes funktionierte weder unter Windows XP noch unter Windows 7 korrekt.

(Ich benutze schon lange kein Windows mehr direkt, einer der wenigen Gruende für Windows ist eben iTunes für keinen ipod bzw. ipod Touch.) Oder mein Ubuntu Host für die VirtualBox mit iTunes könnte Schuld sein – sollte irgendein Ubuntu Update mir die VirtualBox oder iTunes beschädigt haben> Weiterlesen »

OpenSolaris 2010.03 kommt…

Geschrieben von everflux am März 3rd, 2010

Es wird wieder  ein OpenSolaris Release geben – im Dev Channel von OpenSolaris bekommt man bereits die Hinweise auf „Thank you for using OpenSolaris 2010.03“, womit der Release Termin auch klar sein dürfte.

Seit einiger Zeit betreibe ich einen Thinkpad T60 mit OpenSolaris, um etwas besser die Unterschiede und Bedienung im Vergleich zu Ubuntu Linux kennenzulernen. Bisher kann ich ein sehr positives Resümee ziehen. Vor allem unter Last verhaelt sich OpenSolaris deutlich dankbarer, als Linux.

Lediglich was die Grafikkartentreiber angeht, habe ich bisher lediglich den Framebuffertreiber mit der ATI X1300 verwenden können. Hier ist sicherlich noch eine Menge Potential, doch auch die Linux Gemeinde stöhnt zu recht über die endlose Geschichte mit den Grafiktreiberproblemen.

National und sozialistisch?

Geschrieben von everflux am März 1st, 2010

Ich wurde eben eine „national und sozialistisch“ Gruppierung aufmerksam gemacht. Die Gruppierung „Westfalen Nord“ ruft offen zur „Todesstrafe fuer Kinderschaender“ auf, zeigt offene Verachtung fuer Menschen mit Migrationshintergrund und Homosexuelle.

Was ist daran eine Meldung wert? Eigentlich nichts. Bis auf ein paar Kleinigkeiten:

  • Die Webseite von Westfalen Nord wird mit WordPress gepflegt, da ist man sich nicht zu schade auf die Arbeit von „Ausländern“ zurückzugreifen
  • Für die Aufkleber wurden offenbar Fonts verwendet, die keine Umlaute beinhalten, somit vermutlich nicht deutschen Ursprungs sind, auch hier wieder „kein Problem“
  • Das Hosting von der Webseite von westfalen-nord liegt in den USA bei Dreamhost, der Inhaber versteckt sich hinter einer Proxy Adresse. (Wer da wohl schüchtern…)

Ziel der Vereinigung lt. ihrer Homepage: „Unser Ziel ist die Freiheit unseres Reiches und ein Reich der sozialen Gerechtigkeit in einer kommenden, glücklichen Zukunft.“
Viel Spass dabei.

(Siehe auch Westfalen Nord Diskussion und Artikel wegen Hetz Aufkleber in der Schaumburg Lippischen Landeszeitung.)


http://everflux.de/
Copyright © 2007, 2008 everflux. Alle Rechte vorbehalten. All rights reserved.