Denna bok finns på mina barns dagis. Jag har ingen aning om vad den handlar om.

När jag hämtade bilden på min Nordeadosa från mobiltelefonen hittade jag denna bild som jag tog för ett tag sedan.

Skolan och våra barn är en väldigt attraktiv måltavla för säljande insatser av programvara. Jag vet till exempel att många skolor uppvaktas hårt av Apple just nu. Men vi verkar ligga steget före. Jag hittade boken på bilden här bredvid på mina barns dagis. Bådar gott inför framtiden. :-)

I min bankdosa syns ett av påskäggen "Zeke was here"

Roligast idag. Jag skrattade gott när jag såg nyheten om påskägget i Nordeas bankdosa. Extra kul eftersom jag har en själv :-)

Håll 5 nertyckt när du stoppar in kortet, tryck sedan på 0 sedan 5 igen. Sedan kan du trycka på 7 och 9 för att växla mellan två meddelanden från utvecklarna.

Detta är inte något nytt utan finns i flera produkter, även stora och kända som till exempel Excel. Det går ut på att tillverkaren eller programmerarna hos tillverkaren smyger in dolda meddelanden i produkter. Det förekommer inte bara i programvara utan i flera andra sammanhang, till exempel filmer. Vill man se flera så kan man titta på Easter Eggs.

Jag lägger även in en bild från min mobiltelefon på min dosa.

Jag får ofta frågan om vilka nackdelarna med fri programvara är. Svaret är så klart att det inte är lika roligt att plantera påskägg i fri programvara ;-).

Skummade på Dagens Industri och läste om vår nya rekord-lotto-vinnare. I artikeln står det:

Mannen i Helsingborg, som spelat samma siffror på Lotto i sex år, har fru och två barn som flyttat hemifrån. Den spontana planen för vad pengarna ska gå till är given.

Så man undrar om han är ensamstående eller inte. Har frun flyttat hemifrån eller inte? Det visar sig längre ned att frun förmodligen bor kvar, men den första meningen i det citerade stycket ovan är lite kul att läsa :-)

Träffen var som sagt en succé. Det var ett kort men välfyllt program med flera kortare presentationer. Ett upplägg som tack vare bra disciplin fungerade förvånansvärt bra. Några jag talade med saknade tid för mingel, men det kanske kommer fram i de utvärderingar som killarna samlade in. Tid för mingel saknades dock inte utan efteråt samlades vi på en pub och drack och åt gott. Nu hade dock skaran minskat till kanske ett 40-tal personer.

Jag talade en hel del med Mathias Friman som borde ha en utmärkelse för sin bedrift. När Göteborgarna stannade hemma för att tågen inte gick så satte sig Mathias i bilen och körde till Stockholm enkom för att deltaga på FOSS Stockholm. Efter träffen satte han sig i bilen igen och körde hem. Det gjorde förvisso jag med, men Mathias bor i Östersund.

Jag är jättenöjd med kvällen och vill rikta ett stort tack till alla som bidragit!

Men något som bubblat en tid är Voddlers eventuella övertramp av GPL. Vi har till den Svenska delen av  FSFE fått flera brev som påpekar detta och jag har själv ett flertal gånger haft en dialog med en journalist som tittar på detta fall. Vad som har hänt är följande.

Voddler distribuerar en klient som är baserad på en produkt som är licensierad enligt GPL. Detta är helt okej och enligt alla regler. Men när man distribuerar programvara under GPL så måste man också göra koden tillgänglig för sina kunder. En vanlig missuppfattning är att man måste sprida koden till alla, det måste man inte men man måste sprida den till sina kunder och man får inte hindra dem att sprida den vidare.

Jag har tittat på den kod som Voddler delar med sig av och så vitt jag kan bedöma är det inte den kompletta koden utan delar av den saknas. Till exempel saknas delar som används vid inloggning. Detta är inte okej enligt GPL så någonting är galet.

Sedan blir det lite krångligt. Om jag använder Voddler och vill ha källkoden så skall de inte kunna säga nej. Det gör de inte heller, men jag får bara delar av koden av dem, vilket är fel. I vilket fall som helst så finns det inte så mycket jag som deras kund kan göra än att klaga. Min rätt till koden har nämligen inte blivit kränkt.

De som kan göra något i detta läge är de som har upphovsrätten till koden som det handlar om. I detta fall är det en produkt som heter XBMC. De kan hävda sin rätt till verket mot Voddler. En sådan handling leder oftast till en av två saker. Antingen rättar sig den som kränker upphovsrätten efter reglerna och publicerar källkoden så som de skall, eller så löser man det i godo och man betalar för källkoden. Det senare fallet blir svårt i fallet Voddler då jag har förstått att XBMC har en mängd olika upphovsmän. Kommer man inte överens så skall det behandlas i rätten.

De som ligger bakom XBMC är väl medvetna om dessa omständigheter och de har erbjudits hjälp. Nu är det upp till dem att agera om de vill. Jonas Öberg meddelar i ett brev att detta kan vara ett icke-problem snart då Voddler på sin sida nu stängt all verksamhet och meddelar att de kommer med en ny tjänst den 8:e mars.

Albin och vilmas kusin Simon spelar ishockey

Idag var vi på en ishockeymatch när Albin och Vilmas kusin Simons lag spelade. Jag passade på att ta med mig kameran och ett teleobjektiv som jag fick i julklapp men inte hunnit testa ännu. Det är ett gammalt objektiv som är helt manuellt så det var en liten utmaning att få några bilder. Man är ju inte världens snabbaste på att ställa in skärpan och killarna på isen står ju inte heller direkt stilla. Men det blev i alla fall några bilder jag är nöjd med. Du kan se bilderna här.

Hur gick matchen då? Jo, Simon lovade mig innan matchen att de skulle vinna. Men se det gjorde de inte. Roslagen Eagles som deras lag heter torskade med 1-2 (om jag minns rätt). Undrar hur Simon skall gottgöra mig för det … :-)

Flygbussarna på Sturup i måndags morse.

Man ser ofta dessa små roligheter. Till exempel på pristerminaler på ICA och lite varstans. Jag småler alltid lite för mig själv (om det inte är mina system) :-). Tyvärr ser man inte vad felmeddelandet på bilden säger, men jag vill minnas att det var Explorer.EXE som var orsaken.

Finns det inget sätt att hindra dessa meddelanden från att hamna över ett programfönster som detta? Om det finns så kan man undra varför bilder som denna inte är direkt ovanliga. I detta fall borde inte felmeddelandet påverka programmet som körs (som väl egentligen borde vara det enda som körs) men det syns i alla fall.

Eftersom jag fick larm från flera sidor samtidigt och det bara var ”Defacement” som larmade förstod jag snabbt vad som var i görningen. Jag blockerade den aktuella servern, som vi kallar Joakim efter Joakim von Anka, i brandväggen och loggade in på den.

Jag har driftat servrar i över 10 år och har sett intrång förr. Det allvarligaste jag själv råkat ut för tidigare har varit att någon via ett trasigt CMS (oftast) lyckats köra kommandon som samma användare som webbservern och installerat en spamproxy. Denna gång tog det bara sekunder innan jag förstod att någon varit root på vår server. Tecknen var inte svåra att tyda, systemfiler saknades, /var/log var raderad, mm. Först utbryter en liten känsla av panik och man blir svag i knäna. Jodå även jag även om jag oftast är bra på att dölja det och ser ut som lugnet själv.

Efter ett tag när man insett vad som hänt börjar det mer taktiska artbetet. Är några andra system i direkt fara. Finns det några nycklar på denna maskin? Det fanns ssh-nycklar på maskinen men de var krypterade och jag spärrade dem i de system där deras publika motsvarighet finns. I övrigt finns inget riktigt känsligt på denna maskin då det bara är en webbserver, den har inte ens några användarkonton.

Sedan installerade jag en ny server samtidigt som jag tittade närmare på den som blivit rootad. En mystisk process /bin/mont (17341) snurrade och lysnade på de portar som webbservern normalt lyssnar på.


joakim:/etc/apache2/sites-enabled# ls -l /proc/17341
total 0
dr-xr-xr-x 2 root www-data 0 Nov 24 22:48 attr
-r-------- 1 root root     0 Nov 24 22:48 auxv
-r--r--r-- 1 root root     0 Nov 24 22:22 cmdline
-r--r--r-- 1 root root     0 Nov 24 22:48 cpuset
lrwxrwxrwx 1 root root     0 Nov 24 22:48 cwd -> /var/tmp
-r-------- 1 root root     0 Nov 24 22:48 environ
lrwxrwxrwx 1 root root     0 Nov 24 22:47 exe -> /bin/mount
dr-x------ 2 root root     0 Nov 24 22:44 fd
-r--r--r-- 1 root root     0 Nov 24 22:48 maps
-rw------- 1 root root     0 Nov 24 22:48 mem
-r--r--r-- 1 root root     0 Nov 24 22:48 mounts
-r-------- 1 root root     0 Nov 24 22:48 mountstats
-rw-r--r-- 1 root root     0 Nov 24 22:48 oom_adj
-r--r--r-- 1 root root     0 Nov 24 22:48 oom_score
lrwxrwxrwx 1 root root     0 Nov 24 22:48 root -> /
-r--r--r-- 1 root root     0 Nov 24 22:48 smaps
-r--r--r-- 1 root root     0 Nov 24 22:23 stat
-r--r--r-- 1 root root     0 Nov 24 22:48 statm
-r--r--r-- 1 root root     0 Nov 24 22:24 status
dr-xr-xr-x 3 root www-data 0 Nov 24 22:48 task
-r--r--r-- 1 root root     0 Nov 24 22:48 wchan

Den har startats som mount utan argument.

Jag stoppade den och stoppade även webbservern och andra demoner på maskinen. Det uppenbara som förövaren gjort var att byta ut alla filer som börjar med index, main, start eller default mot en ihopsnickrad webbsida. Olyckligtvis skedde detta intrång straxt före 22 och backuperna går cirka 23 så vi saknade en dags backup. Jag gjorde så att jag återskapade webbplatserna på den nya servern och lyfte sedan manuellt över de filer som ändrats under dagen och verifierade att dessa inte var modifierade av förövaren. Jag återskapade direkt de viktiga sidorna från backup på den nya servern och när klockan närmade sig 04:00 var allt väsentligt igång igen. Jag hoppade i säng en kort stund och sov gott mellan 04:30 och 06:30. Sedan begav jag mig till kontoret för att vara beredd ifall någon skulle ha problem med sina webbplatser. Men telefonerna höll sig tysta så när som på en kund som har sin webbplats gratis hos oss. Jag spenderade förmiddagen med att migrera även de lågprioriterade platserna. Jag sparade bara de som behöver patchas.

Sedan började jag titta vidare på den rootade Joakim.

Eftersom /var/log var raderad var det svårt att säga varifrån intrånget skett och hur det gått till. Men eftersom denna maskin står bakom en apache-proxy och även loggar via syslog till en remote-server så finns det en del loggar att gå efter. Intrånget skedde via en Joomla-site som inte patchats.

Det första vi kan se av intrånget är att förövaren besöker satjten från http://www.google.com.tr där han eller hon sökt på ”inurl:com_extcalendar .nu”. Den aktuella sidan har inte en .nu adress, men det måste stå någonstans på sidan. Förövaren kommer från en adress som tillhör TurkTelekom, som jag förstår det är det en ISP i Turkiet. Förmodligen en zombie, men jag skickar ett vänligt abuse-mail till dem.

Han eller hon har placerat en samling exploits i /var/tmp varav vi var sårbara för åtminstone ett.
joakim:/var/www# ls -l /var/tmp/
total 820
-rwxrwxrwx 1 www-data www-data 13298 Oct 11 04:12 05
-rwxrwxrwx 1 www-data www-data 8545 Oct 11 04:12 18
-rw-r--r-- 1 www-data www-data 8545 Oct 11 04:12 18.1
-rwxrwxrwx 1 www-data www-data 8548 Oct 11 04:13 2008
-rw-r--r-- 1 www-data www-data 8548 Oct 11 04:13 2008.1
-rwxrwxrwx 1 www-data www-data 10240 Oct 11 04:13 2009
-rwxrwxrwx 1 www-data www-data 7287 Oct 11 04:14 2009xx
-rwxrwxrwx 1 www-data www-data 10922 Oct 11 04:14 27704
-rwxrwxrwx 1 www-data www-data 8668 Nov 24 22:22 29
-rw-r--r-- 1 www-data www-data 4482 Nov 9 23:20 29.c
-rw-r--r-- 1 www-data www-data 4482 Nov 9 23:20 29.c.1
-rw-r--r-- 1 www-data www-data 4482 Nov 9 23:20 29.c.2
-rwxrwxrwx 1 www-data www-data 6418 Oct 11 04:14 30
-rwxrwxrwx 1 www-data www-data 9185 Oct 11 04:14 4a
-rwxrwxrwx 1 www-data www-data 6627 Oct 11 04:14 6b
-rwxrwxrwx 1 www-data www-data 6607 Oct 11 04:14 6x
-rw-r--r-- 1 www-data www-data 2346 Oct 11 04:14 6x.c
-rwxr-xr-x 1 www-data www-data 9003 Nov 24 22:22 6xa
-rwxrwxrwx 1 www-data www-data 6607 Oct 11 04:14 6xx
-rwxrwxrwx 1 www-data www-data 10958 Oct 11 04:14 7
-rwxrwxrwx 1 www-data www-data 11331 Oct 11 04:15 7-2
-rw-r--r-- 1 www-data www-data 10958 Oct 11 04:14 7.1
-rwxrwxrwx 1 www-data www-data 14096 Oct 11 04:15 8
-rwxrwxrwx 1 www-data www-data 15839 Oct 11 04:15 8a
-rwxrwxrwx 1 www-data www-data 28127 Oct 11 04:15 8bb
-rwxrwxrwx 1 www-data www-data 81375 Oct 11 04:15 8cc
-rwxrwxrwx 1 www-data www-data 11291 Oct 11 04:15 8x
-rwxrwxrwx 1 www-data www-data 10737 Oct 11 04:15 9
-rwxrwxrwx 1 www-data www-data 8058 Oct 11 04:15 armelf.x
-rwxrwxrwx 1 www-data www-data 7807 Nov 24 22:22 c
-rw-r--r-- 1 www-data www-data 2162 Oct 11 04:17 c.c
-rw-r--r-- 1 www-data www-data 29135 Oct 11 04:17 c2.c
-rwxrwxrwx 1 www-data www-data 9003 Nov 24 22:22 cx
-rw-r--r-- 1 www-data www-data 6438 Oct 11 04:17 cx.1
-rw-r--r-- 1 www-data www-data 2355 Oct 11 04:17 cx.c
-rw-r--r-- 1 www-data www-data 6924 Oct 11 04:17 cxx.c
-rwxrwxrwx 1 www-data www-data 10255 Nov 24 22:22 derle2
-rw-r--r-- 1 www-data www-data 7786 Oct 11 04:17 derle2.1
-rw-r--r-- 1 www-data www-data 7786 Oct 11 04:17 derle2.2
-rw-r--r-- 1 www-data www-data 2953 Oct 11 04:17 derle2.c
-rwxrwxrwx 1 www-data www-data 10825 Nov 9 23:45 exploit
-rwxrwxrwx 1 www-data www-data 10291 Oct 11 04:17 exploit2
-rwxrwxrwx 1 www-data www-data 7968 Oct 11 04:18 isko
-rwxrwxrwx 1 www-data www-data 11575 Oct 11 04:18 iskorpitx
-rwxrwxrwx 1 www-data www-data 222208 Oct 11 04:19 mremap_pte
-rwxrwxrwx 1 www-data www-data 5538 Oct 11 04:20 pwnkernel
-rw-r--r-- 1 www-data www-data 754 Oct 11 04:21 rootsh.c
-rwxrwxrwx 1 www-data www-data 9196 Oct 11 04:21 run
-rw-r--r-- 1 www-data www-data 2847 Nov 9 23:29 udev.c
-rwxrwxrwx 1 www-data www-data 8837 Nov 24 22:22 udevx
joakim:/var/www#


Det finns ockå ett perl-skript i /tmp som också ägs av www-data.

I loggservern kan jag se att kärnan attackerats för att förvärva bättre behörighet i systemet. Förövaren lyckas bli root klockan 22:21. De har använt sig av ett race-condition i Linux-kärnan i ptrace_attach() för att via en suid root fil (/bin/mount) i detta fall, bli root på systemet.

Med facit i hand så gick det skapligt. Det är alltid jobbigt när något sånt här händer men vi klarade oss bra, nertiden blev inte så lång och ingen data gick förlorad. Jag kan inte låta bli att tänka på vad otroligt onödigt det är.

Vi får så klart ta på oss och göra vår läxa och hålla våra system uppdaterade och ha våra kunder mer isolerade från varandra. Nu skall jag ta och återställa det sista och pactha CMS till våra kunder som slarvat med det. Detta ger mig dessutom en anledning att städa lite bland kunderna och ta bort de som är inaktiva. Så överlag kanske detta hade något gott med sig. Att jag bara sovit knappt två timmar inatt märks, men det funkar …

Kanske får anledning att återkomma …

En sak som sog mig var att jag tyckte det var mer utänska besökare på plats i Göteborg i år. Det har alltid varit mycket utländska besökare, men jag tyckte att det var extra mycket i år.

Jag bad Patrik Willard som är en av dem som administrerar FSCONS  att sammanställa anmälningarna vilket han snabbt gjorde.  Detta är bara de som föränmält sig och inte talare, staff och efteranmälda.

Totalt fanns det 16 nationaliter representerade. Sverige var den största med 77% och  den näst största var Tyskland med 5% tätt följt av Norge och Finland med 4%. Bland övriga nationaliteter finns  Österrike,  Nederländerna, Grekland, Italien, samt några länder till med bara en anmäld deltagare.

Det är ingen tvekan om att FSCONS är en konferens känd utanför landets gränser …

Detta är inte speciellt oväntat. Det finns inte så mycket de kan göra. Det är inte en nyckelprodukt för dem och eftersom deras misstag ändå kommer att uppdagas är deras enda rimliga lösning på problemet att släppa sin kod. Allt annat hade i detta fall PR-mässigt varit förkastligt.

Detta hade kunnat vara spännande om det varit en viktigare komponent i deras produkter som hade hanterats på samma sätt. Då hade de haft en svårare nöt att knäcka med hedern i behåll.

Jag är ganska övertygad om att både Microsoft och utomstående just nu, i skrivande stund, intensivt letar igenom deras produkter efter liknande misstag …