mikas blog

Gegegeben: infizierte Dateien auf einer NTFS-Partition
Todo: infizierte Dateien ohne Zuhilfenahme von Windows/BartPE entfernen

Erster Schritt: grml booten. Einbinden der verseuchten Partition (‘mount /mnt/hda1’). Nun aktualisiert man die Datenbank von clamav und und startet anschliessend den Scanvorgang:

# freshclam
# clamscan -r --log=$HOME/clamscan.report --infected /mnt/hda1

Gegen captive-ntfs bin ich allergisch, also muss Ersatz her: ntfscp – “overwrite file on an NTFS volume”.

Um “NTFS-fs warning (device hda1): ntfs_setattr(): Changes in inode size are not supported yet, ignoring.” zu vermeiden, überschreiben wir die Originaldatei mit einer genullten Datei gleicher Größe. Mein 2-Minuten-Hack um eine Datei gewünschter Größe zu bekommen:

#!/bin/sh
if [ $# -eq 1 ] ; then
  SIZE=$(/usr/bin/stat -c '%s' $1)
  echo "creating /tmp/empty_$SIZE with size $SIZE"
  dd if=/dev/zero of=/tmp/empty_$SIZE count=1 bs=$SIZE
  echo "
Now run something like:

ntfscp /dev/ice /tmp/empty_$SIZE <file_to_overwrite>

Exiting."
else
  echo "Usage: $0 <filename>"
  exit 1
fi

Angewendet auf die einzelnen Dateien, die clamscan als infiziert gemeldet hat, bekommt man dann in /tmp leere Dateien, die genau der gewünschten Dateigröße entsprechen. Nun also noch ein:

ntfscp /dev/hda1 /tmp/empty_passende_dateigroesse_fuer_datei_zum_loeschen ordner/datei_zum_loeschen

Schon ist die infizierte Datei ausser Gefecht gesetzt. Word fangt mit einer genullten .doc-Datei nichts mehr an:

Wer eine Warnung “Volume is dirty” bekommt (das passiert vornehmlich dann, wenn es die Systempartition ist), sollte – wie empfohlen – chkdsk auf die Partition loslassen. Wenn das nicht möglich ist, muss halt die force-Option von ntfscp ran. Aber wie bei jeder Dateisystem-Operation, sollte man vor dem Einsatz auf Produktivdaten natürlich ein Backup ziehen und das Ganze erstmal in einem Testlauf probieren.

Schön wäre jetzt natürlich ein Skript, das einen clamscan-Report einliest und ntfscp automatisch auf die infizierten Dateien anwendet. ;-) Mit Kernel 2.6.15 soll übrigens extended write support für NTFS verfügbar sein.

Seit kurzem im Debian-Repository zu finden: ksudoku. ksudoku zaubert das, was man in Tageszeitungen im Rätselteil als Sudoku findet auf den Bildschirm:

Für Einstieger gibt’s einen “Give Hint!”-Knopf, für Fortgeschrittene einen 3D-Modus. ;-)

Gerd Suppan hat in der TUG-Newsgroup tu-graz.diverses darauf hingewiesen, dass bei der aktuellen Ausgabe der Zeitschrift Elektor ein R8C-Mikrocontroller mitgeliefert wird.

Für die R8C/Tiny-Familie des Herstellers RENESAS sprechen drei gewichtige Argumente. Erstens bekommt man 16-bit-Rechenpower für wenig Geld, zweitens einen kostenlosen und dennoch sehr leistungsfähigen C-Compiler, und drittens ist kein Programmiergerät erforderlich, weil einfach über die RS232-Schnittstelle geflasht wird.

Nach einem Intro-Artikel in Heft 11 erhalten alle ELEKTOR-Leser mit dem Dezemberheft als kostenlose Heft-Beilage ein kleines, aber feines R8C/13-Mikrocontroller-Board von GLYN inklusive Software-CD mit Tools, Assembler, C-Compiler und Programmbeispielen. Damit kann man sofort loslegen!
In ELEKTOR 01/2006 folgt der dritte Artikel, der eine Basis-Platine für den R8C mit RS232-, USB- und LCD-Schnittstelle vorstellt und den einfachen Einstieg in die C-Programmierung fortsetzt.

— Die ELEKTOR-R8C-Mikrocontroller-Seite

Ich habe das letzte Exemplar der Ausgabe 12/05 bei einer Buchhandlung ergattern können. 8-) Ich bin gespannt, wann ich Zeit finde damit herum zu spielen. Falls sich jemand aus meinem Bekanntkreis an den Experimenten beteiligen möchte – you are welcome.

ZyXEL ZyAIR G-220 ist ein 802.11g Wireless USB 2.0 Adapter. Klein und transportabel. Und mit den zd1211-Treibern auch unter Linux lauffähig:

# hwinfo --usb
[...]
09: USB 00.0: 0000 Unclassified device
  [Created at usb.122]
  Unique ID: UfPf.kDwh+JlDvL1
  Parent ID: 2XnU.ROAEyGyksmF
  SysFS ID: /devices/pci0000:00/0000:00:1d.7/usb5/5-1/5-1:1.0
  SysFS BusID: 5-1:1.0
  Hardware Class: unknown
  Model: 'ZyXEL ZyAIR G-220'
  Hotplug: USB
  Vendor: usb 0x0586 'ZyXEL Communications Corp.'
  Device: usb 0x3401 'ZyAIR G-220'
  Revision: '43.30'
  Driver: 'zd1211'
  Device File: wlan0
  Speed: 480 Mbps
  HW Address: 00:a0:c5:ca:83:45
  Module Alias: 'usb:v0586p3401d4330dcFFdscFFdpFFicFFisc00ip00'
  Driver Info #0:
    Driver Status: zd1211 is active
    Driver Activation Cmd: 'modprobe zd1211'
  Config Status: cfg=new, avail=yes, need=no, active=unknown
  Attached to: #8 (Hub)

Benötigt wird dafür das Paket aus non-free namens zd1211-firmware und das dazu passende Kernelmodul zd1211-source. Wer grml 0.5 hat, kann das mit zd1211-module-2.6.13-grml natürlich out-of-the-box in Betrieb nehmen.

Wie auch schon der Sitecom Bluetooth USB Adapter, wurde mir auch dieser Adapter freundlicherweise von Jürgen Oesterle im Zuge der grml-donations gesponsert. Auch an dieser Stelle noch einmal ein herzliches Dankeschön, Jürgen!

Und wieder einmal Ärger mit Hardware die nicht so tut wie man will:

ISOLINUX 2.11 2004-08-16 isolinux: Loading spec packet failed, trying to wing it...

isolinux: Extremly broken BIOS detected, last ditch attempt with drive = 9F
isolinux: Disk error 01, AX = 422E, drive 9F

Boot failed: press a key to retry...

Das ist ein phoenix AwardBIOS [v6.00PGN – KV200/35101A (Jul.31.2000)] mit einem SCSI-CD-ROM-Laufwerk an einem QLogic-SCSI-Controller. Nexenta bootet interessanterweise mit seinem Grub, hängt dann aber natürlich gleich einmal, weil es den SCSI-Controller nicht wirklich mag. Andere Live-CDs mit Grub hängen mit “GRUB loading, please wait… Error 17”. Ein Test mit dem aktuellen isolinux 3.11 (vom 02.09.2005) spuckt nicht mal mehr eine Fehlermeldung aus, sondern hängt einfach.

grml auf der SCSI-Festplatte (ich hacke gerade initrd-Support in grml2hd rein) bootet aber einwandfrei. Jetzt hab ich halt einmal ein IDE-CD-ROM fürs Booten reingesteckt. Vielleicht finde ich ja noch Zeit um ein isolinux im Debugmodus zu testen. Hmpf.

Über meinen MSI Bluetooth Transceiving Key/Dongle hab ich ja schon mal gebloggt. Jetzt habe ich einen weiteren Bluetooth USB Adapter zum Testen und füttere hiermit Google: ‘Cambridge Silicon Radio Bluetooth Device’. Auf dem Adapter steht noch der Firmenname Sitecom und auch vom Aussehen her entspricht er dem CN-500 – Bluetooth USB Adapter.

Das Gerät nimmt man ganz einfach in Betrieb, anstecken und im Kernellog sollte Folgendes auftauchen:

Nov 15 23:44:37 grml kernel: usb 1-1: new full speed USB device using uhci_hcd and address 4
Nov 15 23:44:37 grml kernel: Bluetooth: Core ver 2.7
Nov 15 23:44:37 grml kernel: NET: Registered protocol family 31
Nov 15 23:44:37 grml kernel: Bluetooth: HCI device and connection manager initialized
Nov 15 23:44:37 grml kernel: Bluetooth: HCI socket layer initialized
Nov 15 23:44:37 grml kernel: Bluetooth: HCI USB driver ver 2.9
Nov 15 23:44:37 grml kernel: usbcore: registered new driver hci_usb

Und im Einsatz mit einer Bluetooth-Maus funktioniert der Adapter auch einwandfrei:

root@grml ~/bin # hwinfo --bluetooth
02: USB 00.0: 11500 Bluetooth Device
  [Created at usb.122]
  Unique ID: ADDn.nQKjiuCfL84
  Parent ID: k4bc.aBPORg3loEB
  SysFS ID: /devices/pci0000:00/0000:00:1d.0/usb1/1-1/1-1:1.0
  SysFS BusID: 1-1:1.0
  Hardware Class: bluetooth
  Model: 'Cambridge Silicon Radio Bluetooth Device'
  Hotplug: USB
  Vendor: usb 0x0a12 'Cambridge Silicon Radio Ltd.'
  Device: usb 0x0001 
  Revision: '5.25'
  Driver: 'hci_usb'
  Speed: 12 Mbps
  Module Alias: 'usb:v0A12p0001d0525dcE0dsc01dp01icE0isc01ip01'
  Driver Info #0:
    Driver Status: hci_usb is active
    Driver Activation Cmd: 'modprobe hci_usb'
  Config Status: cfg=new, avail=yes, need=no, active=unknown
  Attached to: #1 (Hub)

Der Adapter wurde mir freundlicherweise von Jürgen Oesterle im Zuge der grml-donations gesponsert. Auch an dieser Stelle noch einmal ein herzliches Dankeschön, Jürgen!

Da ich es gerade selbst wieder mal brauche und ich immer wieder nach so einem Tool gefragt werde: wipe

wipe – A UNIX tool for secure deletion
There are things you’d bettwe wipe… before they get you.

Wipe is a little command for securely erasing files from magnetic media. It compiles under various unix platforms, including Linux 2.*, (Open+Net+Free)BSD, aix 4.1, SunOS 5.5.1, Solaris 2.6.

Funktioniert natürlich nicht nur für einzelne Dateien oder Verzeichnisse, sondern auch für ganze Partitionen. Aber Achtung: während dem wipe-Lauf gehen sich mehrere Tassen Kaffee aus. 8-)

Und es versteht sich natürlich von selbst, dass wipe bei grml mitgeliefert wird. ;-)

Danke an all jene die sich auf meinen Aufruf hin in den Kommentaren verewigt haben! Danke auch an all jene, die sich per Mail bei mir gemeldet haben!

Wer sich noch verewigen will, darf das natürlich gerne auch noch weiterhin machen.

Hab mich wirklich gefreut, danke!

Lange hat’s gedauert, aber gestern hab ich meinen Tag dem HowTO – Installation and use of grml/Debian Linux on Samsung X20 XVM 1600 V Laptop geopfert.

Das HowTo beschreibt den Einsatz von Linux auf dem Samsung X20 und ist so weit als möglich distributionsunabhängig gehalten. Die Tipps für spezielle Features beziehen sich aber natürlich auf grml. Wer sich grml auf die Festplatte geholt hat, sollte sich mein Debianpaket grml-samsung-x20 holen. Dann hat man wirklich einen Laptop der unter Linux ohne Ende rockt! 8-)

Kann ich den Laptop empfehlen? Jupp. Ich habe noch nie einen so rockenden Laptop für Linux in der Hand gehabt. DRI funktioniert out-of-the-box. Keinerlei Kernel- und X-modul-Ärgereien. Auch das Synaptics-Touchpad läuft mit all seinen Features einwandfrei, nachdem ich festgestellt habe, dass man einfach nur noch das Kernelmodul evdev laden muss. Dass der Rest wie Ethernet, WLAN und Sound funktioniert, muss ich wohl nicht erwähnen. ;-) Der Oberhammer: Suspend-to-Disk (ACPI S4) und auch Suspend-to-RAM (ACPI S3) funktionieren. Probleme hatte ich da nur mit dem Framebuffer vesafb-tng. Nachdem ich jetzt aber einen 2.6.14-grml ohne vesafb-tng gebaut habe, tut Suspend sogar mit Framebuffer. (Jetzt werd ich noch schauen, ob ein aktueller vesafb-tng das Problem behebt, ansonsten wird vesafb-tng vermutlich gekickt…)

Nachdem ich schon mehrere Leute kenne, die auch einen Samsung X20 besitzen (und einige davon bereits grml darauf fahren): bitte Probelesen! Any Feedback welcome.

Und wer grad auf der Suche nach einem Laptop (<1.300 Euro) ist (servus murphy!) findet hier ja vielleicht eine Kaufempfehlung. Wer sich schliesslich und endlich für eine grml-Installation auf seinem Samsung X20 entscheiden sollte, darf mit Support aus erster Hand rechnen. Meine Mailbox ist geöffnet. ;-)

Mein Bruder hat für seine Flugsimulator-Spielereien einen Joystick, den ich jetzt einfach mal unter Linux testen wollte. Ist ein billiges Teil namens ‘Padix (Rockfire) USB, Vibration 3D Joystick ‘ der Firma Rockfire.com (Achtung: die Homepage ist ein Verbrechen an der Menschheit).

Die Inbetriebnahme war denkbar einfach: anstecken und vibrieren ;-):

04: USB 00.0: 0000 Unclassified device
  [Created at usb.122]
  Unique ID: ADDn.DPTnpEXZqH2
  Parent ID: k4bc.O2BYK_CVJs7
  SysFS ID: /devices/pci0000:00/0000:00:1d.0/usb1/1-1/1-1:1.0
  SysFS BusID: 1-1:1.0
  Hardware Class: unknown
  Model: 'Padix (Rockfire) USB, Vibration 3D Joystick'
  Hotplug: USB
  Vendor: usb 0x0583 'Padix (Rockfire) Co. Ltd.'
  Device: usb 0x688f 'USB, Vibration 3D Joystick'
  Revision: '1.20'
  Driver: 'usbhid'
  Device File: /dev/input/js0
  Device Number: char 13:0
  Speed: 1.5 Mbps
  Module Alias: 'usb:v0583p688Fd0120dc03dsc00dp00ic*isc*ip*'
  Config Status: cfg=new, avail=yes, need=no, active=unknown
  Attached to: #3 (Hub)

Mit dem Tool jstest aus dem Paket joystick lässt sich die Funktionsweise auch schnell und einfach testen:

mika@grml ~ % /usr/bin/jstest /dev/input/js0
Driver version is 2.1.0.
Joystick (Padix Co. Ltd. USB, Vibration 3D Joystick) has 7 axes (X, Y, Rz, Throttle, Hat0X, Hat0Y, (null))
and 6 buttons (Trigger, ThumbBtn, ThumbBtn2, TopBtn, TopBtn2, PinkieBtn).
Testing ... (interrupt to exit)
Axes:  0:-17229  1: -8446  2:-10473  3:   337  4:     0  5:     0  6:-32767 Buttons:  0:off  1:off  2:off  3:off  4:off  5:off

Jetzt bin ich grad eine Runde mit flightgear geflogen (Achtung: #334349 und #334446), für eine Kalibrierung via jscal war ich grad zu faul, aber der Joystick scheint zu funktionieren. :-)

PS: Die Hardware-Spielereien nehmen kein Ende – darum hab ich jetzt mal eine neue Kategorie ‘Hardware’ in meinem Blog hinzugefügt.

… gute USB-Sticks halten auch einen 40° Waschgang mit anschliessendem Besuch im Trockner aus.

(Disclaimer: ist nicht mir passiert)

Gestern hab ich durch Zufall das Linux-Magazin Sonderheft: “Best of 10 Jahre” bei meiner monatlichen Zeitschriftentour entdeckt. Und ich konnte trotz des stolzen Preises (19,8 Euro für Deutschland, 21,75 Euro für Österreich) nicht widerstehen:

Heft 05/2002 mit dem tollen SSH-Artikel verpasst? Oder die allererste Brave GNU World aus Heft 04/1999? Dann ist das nächste, 300 Seiten dicke Sonderheft “Best of” das richtige für Sie: Es enthält die interessantesten, schönsten und skurrilsten Artikel aus den ersten 10 Jahren des Linux-Magazins, Europas ältester Linux-Zeitschrift.

Und das Beste: Dem Heft liegt eine extra dafür zusammengestellte komplette 10-Jahres-DVD in einer Box bei. Der Datenträger beinhaltet alle von 10/1994 bis 10/2004 erschienenen Artikel. Eine Linux-fähige Suchfunktion gibts natürlich auch. Wer die Jahres-CDs einzeln kaufen würde, müsste rund 100 Euro dafür hinblättern.

Im (AFAICS) Originallayout gesetzte Artikel aus dem Jahre Schnee (bis inklusive 2004), darunter Sachen wie ‘init – Starten und Beenden von Linux’ von einem gewissen Kristian Köhntropp (nein, das ist kein Schreibfehler von mir, so steht’s wirklich drin ;-)), Bilder von dem ersten öffentlichen Vortrag von Linus und ein Interview mit Andrew Tridgell.

Und wieder ein neues Security-Magazin am Markt: MISC. MISC steht für “Multi-System & Internet Security Cookbook” und ist am 14. Oktober das erste Mal in einer deutschen Fassung erschienen.

Das Magazin MISC widmet sich der Sicherheit in der Informatik mit all ihren Aspekten (wie System, Netzwerk oder Programmierung) überall dort, wo technische und wissenschaftliche Perspektiven eine ausschlaggebende Rolle spielen. Es werden jedoch auch damit verbundene Problemstellungen betrachtet (juristische Aspekte, IT-Bedrohungen), was MISC zu einer Zeitschrift macht, die sowohl die wachsende Komplexität in der IT als auch die damit verbundenen Sicherheitsprobleme aufgreift.

Es umfasst in der 1. deutschen Ausgabe 82 werbefreie(!) Seiten und ist mit 9,5 Euro in der oberen Preisliga angesiedelt. Die Artikel sind aber durchaus ansprechend. Auf der Rückseite gibt es sogar Werbung für den 22C3. 8-) (Tipp für Grazer: die Buchhandlung Kienreich führt es.)

Ich hab jetzt mal einen Blick in die Zugriffsstatistik meiner Webseite geworfen und das Blog liegt mit 5-stelligen Zugriffsraten pro Monat höher als erwartet. Jetzt würde mich einmal interessieren, wer denn da mein Blog liest. Schreibt mir doch, wer ihr seid, woher ihr mein Blog kennt, was euch besonders gut gefällt, sowas halt. Hinterlasst einfach ein Kommentar direkt im Blog oder schickt mir eine Mail an blog (at) michael-prokop.at – traut euch! Danke für euer Feedback! :-)

… es bringt das ganze Debugging in /proc und /sys nichts, wenn du die Maus einfach am falschen Rechner ansteckst. 8-)

Update: Nein Martin, KVM-Switch kauf ich mir keinen! ;-)

… Windows lässt sich nicht mit Alt-SysRq-O runterfahren.

Eine Stilblüte der Sonderklasse im Heise-Newsticker zu Microsofts verlässliches Betriebssystem “Singularity”:

“Mit diesem [Singularity] Begriff umfasst Microsoft Zuverlässigkeit, Verfügbarkeit und Sicherheit (reliability, availability, security, safety). Mit Windows hat Singularity nichts zu tun […]”

(Pointer via Karl via heise-forum)

Um 17,99 Euro gibt es beim Saturn aktuell eine QuickCam Express Plus von Logitech zu kaufen. Diese “Plus”-Version gibt es auf der Logitech-Homepage anscheinend gar nicht, V4L meint auch, dass es eine “Logitech QuickCam Express II” ist.

# hwinfo --usb
[...]
04: USB 00.0: 0000 Unclassified device
  [Created at usb.122]
  Unique ID: ADDn.mtVXUQ6c8b6
  Parent ID: k4bc.O2BYK_CVJs7
  SysFS ID: /devices/pci0000:00/0000:00:1d.0/usb1/1-1/1-1:1.0
  SysFS BusID: 1-1:1.0
  Hardware Class: unknown
  Model: 'Logitech Camera'
  Hotplug: USB
  Vendor: usb 0x046d 'Logitech Inc.'
  Device: usb 0x0928 'Camera'
  Driver: 'spca5xx'
  Speed: 12 Mbps
  Module Alias: 'usb:v046Dp0928d0000dcFFdscFFdp00ic*isc*ip*'
  Driver Info #0:
    Driver Status: spca5xx is active
    Driver Activation Cmd: 'modprobe spca5xx'
  Config Status: cfg=new, avail=yes, need=no, active=unknown
  Attached to: #3 (Hub)
[...]

Die Installation war absolut stressfrei:

# apt-get install spca5xx-modules-2.6.13-grml
# modprobe spca5xx
# tail -f /var/log/syslog
[...]
Linux video capture interface: v1.00
/usr/src/modules/spca5xx/drivers/usb/spca5xx.c: USB SPCA5XX camera found.Logitech QuickCam Express II(SPCA561A)
/usr/src/modules/spca5xx/drivers/usb/spca5xx.c: [spca5xx_probe:8764] Camera type S561 
/usr/src/modules/spca5xx/drivers/usb/spca5xx.c: [spca5xx_getcapability:2528] maxw 352 maxh 288 minw 160 minh 120
usbcore: registered new driver spca5xx
/usr/src/modules/spca5xx/drivers/usb/spca5xx.c: spca5xx driver 00.57.03 registered

Und ein erster Funktionstest mit mplayer verlief auch gleich erfolgreich:

% mplayer tv:// -tv driver=v4l:width=352:height=288:outfmt=yv12:device=/dev/video0

Mit camorama (gnome2 tool to view, alter and save images from a webcam) hat man ein out-of-the-box funktionierendes Klickibunti-Tool für die Webcam (siehe Screenshot in diesem Artikel). Und wer die Bilder seiner Webcam auch anderen Leuten zugänglich machen will kann dies mit motion (V4L capture program supporting motion detection) ganz einfach hinbekommen.

Exakt 2 Jahre sind es mit dem heutigen Tage schon, dass es mikas blog gibt. Dieser Blogeintrag hat die ID mit der Nummer 437 und zur Abwechslung geht es einmal nicht um grml. 8-) 4644 Kommentare liegen dafür im Spamteil der WordPress-Datenbank. In letzter Zeit ist es aber relativ ruhig und ich hab mit der Moderation der Kommentare mittlerweile nicht mehr viel Arbeit. *auf_holz_klopf*

Also, dann auf ein weiteres Jahr!

Scapy ist laut seinem Autor ‘a powerful network discovery tool’. Und obwohl ich das in Python geschriebene scapy bisher nur aus der Theorie und ein paar ersten Versuchen kenne, scheint das auch wirklich zu stimmen. One job, one tool ist in vielen Situation passend, aber gerade die vielen kleinen Netzwerktools haben ihre Limits und scapy könnte da wirklich eine Kluft zu schliessen:

Scapy is a powerful interactive packet manipulation program. It is able to forge or decode packets of a wide number of protocols, send them on the wire, capture them, match requests and replies, and much more. It can easily handle most classical tasks like scanning, tracerouting, probing, unit tests, attacks or network discovery (it can replace hping, 85% of nmap, arpspoof, arp-sk, arping, tcpdump, tethereal, p0f, etc.). It also performs very well at a lot of other specific tasks that most other tools can’t handle, like sending invalid frames, injecting your own 802.11 frames, combining technics (VLAN hopping+ARP cache poisoning, VOIP decoding on WEP encrypted channel, …), etc.

Lesenswertes gibt es übrigens nicht nur auf der Projekthomepage, sondern auch auf der Homepage des Autors selbst, als Einstieg und Überblick kann ich scapy_hack.lu.pdf empfehlen.

Bisher habe ich die Python-Schlange ja ziemlich erfolgreich vermieden, aber scapy schaut mir fast zu gut aus um einen Bogen darum zu machen. 8-) Für Debianer: scapy ist via apt-get erhältlich, und natürlich ist es auf der Live-CD schlechthin auch dabei. ;-)