Sa avete installate un server Pure-FTPd e non volete far apparire il Welcome Message classico di Pure-FTPd per offuscare il demone usato dove:

  • creare un nuovo file, esempio: /etc/pure-ftpd/pure-ftpd.conf
  • modificare il file /etc/pure-ftpd/pure-ftpd.conf e cambiare la riga

# Display fortune cookies
FortunesFile /etc/pure-ftpd/welcomeMessage.msg

  • riavviare il servizio con systemctl restart pure-ftpd

Se avete degli “UserParameter” configurati nel vostro Zabbix Agent che eseguono degli script e ricevete l’errore

[m|ZBX_NOTSUPPORTED]

Potrebbe dipendere dal fatto che lo script aggiunge il carriage return in fondo alla stringa.

Esempio che vi restituirà l’errore [m|ZBX_NOTSUPPORTED]

UserParameter=postfix.deferred[*],/usr/sbin/postqueue -p | egrep -c “^[0-9A-F]{10}[^*]”
UserParameter=postfix.active[*],/usr/sbin/postqueue -p | egrep -c “^[0-9A-F]{10}[*]”

La soluzione è togliere i caratteri speciali in fondo alla stringa con il comando tr -d ‘\r\n’

UserParameter=postfix.deferred[*],/usr/sbin/postqueue -p | egrep -c “^[0-9A-F]{10}[^*]” | tr -d ‘\r\n’
UserParameter=postfix.active[*],/usr/sbin/postqueue -p | egrep -c “^[0-9A-F]{10}[*]” | tr -d ‘\r\n’

Se avete abilitato SELINUX in modalità enforcing e provate ad avviare il demone zabbix-agent potreste ricevere l’errore:

Job for zabbix-agent.service failed because a configured resource limit was exceeded. See “systemctl status zabbix-agent.service” and “journalctl -xe” for details.

Infatti se andiamo a controllare l’audit log

grep zabbix_agent /var/log/audit/audit.log

possiamo vedere che AVC ha impedito l’azione setrlimit a zabbix_agentd

type=AVC msg=audit(1505217991.711:2169): avc: denied { setrlimit } for pid=9247 comm=”zabbix_agentd” scontext=system_u:system_r:zabbix_agent_t:s0 tcontext=system_u:system_r:zabbix_agent_t:s0 tclass=process
type=SYSCALL msg=audit(1505217991.711:2169): arch=c000003e syscall=160 success=no exit=-13 a0=4 a1=7fff96165e20 a2=0 a3=8 items=0 ppid=1 pid=9247 auid=4294967295 uid=996 gid=993 euid=996 suid=996 fsuid=996 egid=993 sgid=993 fsgid=993 tty=(none) ses=4294967295 comm=”zabbix_agentd” exe=”/usr/sbin/zabbix_agentd” subj=system_u:system_r:zabbix_agent_t:s0 key=(null)

Per ovviare a questo problema basta aggiungere una nuova policy con il comando:

grep zabbix_agent /var/log/audit/audit.log | audit2allow -M zabbix_agent

ed attivarla

semodule -i zabbix_agent.pp

 

Grazie a questa vulnerabilità è possibile fare delle chiamate tramite un PBX remoto a carico del proprietario. Come si legge nel sito è sufficiente chiamare il PBX della vittima, farsi rispondere e poi digitare nel proprio telefonino *2 e poi digitare il numero che si vuole chiamare.

Questa vulnerabilità è stata risolta ed è stato aggiunta la feature in Advance Settings “Disallow transfer features for inbound callers”

Sito ufficiale: http://issues.freepbx.org/browse/FREEPBX-12058

Dopo Heartbleed e Shellshock è arrivata una nuova falla: POODLE (Padding Oracle On Downgraded Legaxy Encryption). La vulnerabilità sfrutta l’ormai vecchio protocollo SSLv3 che è sempre usato da moltissimi vecchi browser. Infatti basta lanciare un attacco man-in-the-middle per decifrare i cookie, i quali possono anche contenere informazioni delicate, e adoperare i dati così ottenuti per accedere ai servizi online che ne fanno uso. Sul sito di openssl è riportato un documento che spiega meglio il problema: https://www.openssl.org/~bodo/ssl-poodle.pdf

Ecco un workaround per prevenire l’attacco su Apache in Debian:

aprire il file nano /etc/apache2/sites-available/default-ssl

dopo l’istruzione SSLEngine on inserire

SSLProtocol All -SSLv2 -SSLv3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGC$
SSLHonorCipherOrder on
SSLCompression off