Category: all

AIX: come capire ed identificare la versione, la TL e il SP del sistema operativo

Alberto Scotti

Spesso può essere utile sapere su quale versione e release del sistema operativo si sta mettendo mano: su AIX abbiamo a disposizione il comando oslevel.
Lanciando il comando:

# oslevel -s

il sistema ci restituirà una stringa che contiene le specifiche complete del OS sotto forma di numeri, ad esempio:

5300-12-06-1216

Interpretare questi valori è facile:

  • le prime quattro cifre 5300 indicano la major release di AIX, in questo caso si tratta di AIX 5.3;
  • le successive due cifre 12 indicano l’aggiornamento della Technology Level (TL), in questo caso TL12;
  • le successive due cifre 06 indicano la release del Service Pack installato, cioè il SP6;
  • le ultime quattro cifre 1216 indicano l’anno e la settimana di rilascio del SP installato (YYWW), in questo caso 2012 sedicesima settimana;

VMware vSphere: come installare patch ed aggiornamenti sul hypervisor dalla commandline

Alberto Scotti

La prima cosa da fare prima di installare gli aggiornamenti di vSphere ESX/ESXi è fermare tutte le virtual machine in esecuzione, mettere l’hypervisor in “Maintenance mode” ed attivare il servizio SSH.
Gli update scaricati dal sito di VMware vanno poi copiati sul hypervisor in un datastore / directory a nostra scelta (io uso /var/tmp).
Infine bisogna collegarsi in SSH al hypervisor ed inserire il seguente comando

# esxcli software vib update -d "/vmfs/volumes/Datastore/DirectoryName/Patch.zip"

A questo punto verranno aggiornati tutti i pacchetti necessari e vi verrà chiesto di riavviare l’hypervisor per applicare le modifiche.

[reblog] Seagate’s blog pushes malware on unsuspecting visitors via rogue Apache modules

Alberto Scotti

Seagate’s blog pushes malware on unsuspecting visitors via rogue Apache modules | Naked Security.

SophosLabs has been tracking an infection of Mal/Iframe-AL on Seagate’s blog since late February.
SophosLabs informed Seagate of the issue back in February, but at the time of writing the site remains infected.
Two weeks ago, Fraser Howard reported how rogue Apache modules were pushing iFrame injections with the intention of driving traffic to the notorious Blackhole exploit kit.
SophosLabs has seen countless victims of this attack, with Mal/Iframe-AL remaining the most prevalent of the web threats encountered.

Fate attenzione 😉

Windows: per quale motivo il sistema operativo tenta di collegarsi a “www.msftncsi.com” ?

Alberto Scotti

Analizzando i log di squid della navigazione di una mia macchina di test con Windows7 mi sono accorto che, ogni tanto, vedo chiamate HTTP verso i siti “www.msftncsi.com” e “ipv6.msftncsi.com”, nello specifico sono GET di un file di testo in cui c’è scritto semplicemente “Microsoft NCSI”:

[Tue Jan 29 10:33:48 2013].319     82 192.168.1.1 TCP_MISS/200 274 GET http://www.msftncsi.com/ncsi.txt - FIRST_UP_PARENT/192.168.1.1 text/plain
[Tue Jan 29 10:33:51 2013].672   3348 192.168.1.1 TCP_MISS/200 419 GET http://ipv6.msftncsi.com/ncsi.txt - FIRST_UP_PARENT/192.168.1.1 text/html

Come mai Windows cerca di scaricare questi file? E’ colpa di un virus?

Niete di pericoloso, per fortuna!
Il “colpevole” è il modulo di Windows “Network Location Awareness” preposto al controllo delle funzionalità della connessione di rete che si sta utilizzando: in parole povere, Windows cerca di collegarsi a quel sito, di proprietà di Microsoft, per capire se la connessione che si sta utilizzando ha accesso ad Internet o meno, se supporta IPv6 o solo IPv4 e se ci sono ulteriori restrizioni alla navigazione.

E’ possibile disattivare questa funzione impostando a valore zero “0” la chiave di registry:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet\EnableActiveProbing

BIND 9: query DNS non funzionanti ed errore “named: error (no valid DS)”

Alberto Scotti

Se anche a voi capita che il vostro DNS caching server basato di BIND non riesca più a risolvere gli indirizzi e nei log è presente un errore simile a:

Oct 26 18:37:10 squid named[1536]: error (no valid DS) resolving ‘www.google.com/A/IN’: 192.168.1.1#53

la causa è da ricercare nel fatto che l’upstream DNS non riesce a soddifare le richieste DNSSEC del nostro caching DNS: se potete, quindi, cambiate DNS upstream.
Per disattivare le query DNSSEC da BIND, è sufficiente rimuovere, o commentare, da named.conf l’opzione “dnssec-enable yes“.

 

McAfee Agent: come resettare l’agent GUID

Alberto Scotti

Vi capita di aver clonato alcuni client con a bordo l’antivirus McAfee ma, nonostante funzioni tutto, non li rilevate nella console McAfee EPO e quindi non li riuscite a gestire?
E’ colpa del valore “AgentGUID” del componente McAfee Agent, valore identificativo univoco del computer per la console EPO, che non viene più modificato una volta che l’Agent viene installato: in questa situazione, clonando cioè un computer con già a bordo McAfee Agent, la EPO vede solo il GUID del primo computer che vi si collega, e non quello identico degli altri cloni.

Per risolvere il problema, e far sì che i cloni si registrino nella console EPO e possano quindi essere gestiti correttamente, è necessario resettare il valore “AgentGUID” sui client clonati con la seguente procedura:

  1. arrestare il servizio Windows “Servizio McAfee Framework”;
  2. aprire il registro di Windows (regedit) e andare su HKEY_LOCAL_MACHINESOFTWARENetwork AssociatesePolicy OrchestratorAgent ;
  3. cancellare la voce AgentGUID (potete annotarvi a parte il valore per confontarlo successivamente e verificare che sia cambiato);
  4. chiudere il registro di Windows;
  5. avviare il servizio Windows “Servizio McAfee Framework”;
  6. aprire il registro di Windows e andare su HKEY_LOCAL_MACHINESOFTWARENetwork AssociatesePolicy OrchestratorAgent per verificare che il valore AgentGUID è ora cambiato;

A questo punto, il client si registrerà nella EPO con il nuovo GUID e tutto funzionerà correttamente.

Instagram: come esportare tutte le foto in alta risoluzione via web

Alberto Scotti

Profondamente scontento e deluso dalla decisione di Instagram / Facebook  di appropriarsi delle foto e dei dati degli utenti per fare soldi, ho deciso di cancellare definitivamente il mio account Instagram.
Vorrei prima esportare tutte le mie foto, per archiviarle: come faccio?
Per salvare le foto è possibile usare servizi di terze parti come http://instaport.me oppure, con un po’ di skill e qualche comodo tool, è possibile fare tutto “in casa”, ecco come:

1. visitare con Mozilla Firefox il sito http://statigr.am/vostro_username;
2. scrollare la pagina delle thumbnail delle vostre foto fino ad arrivare alla prima che avete postato;
3. aprire la Web Console di Firefox ed eseguire il comando “$(“.lienPhotoGrid a img”).each(function(index) { console.log($(this).attr(‘src’)) })“;
4. nella Web Console appariranno tutti gli URL delle thumbnail delle vostre foto, copiate gli URL ed incollateli in un file di testo;
5. modificare gli URL salvati nel file sostituendo tutti gli “_5.jpg” con “_7.jpg” (che è il suffisso usato negli URL delle foto a dimensione intera): suggerisco di usare la funzione “Replace” di Notepad++;
6. scaricare le immagini, recuperando gli URL dal file, con wget (comando: wget -i “nome_file”);
7. ???
8. profit!

Compiti per casa: divertitevi ad eseguire quanto riportato al punto 5 con strumenti come sed, awk, perl e quanti altri vi possano venire in mente ;-).

 

Squid Proxy: come eliminare selettivamente gli oggetti in cache

Alberto Scotti

E’ capitato a tutti di vedersi servire dalla cache di un server proxy, come ad esempio Squid, oggetti corrotti, incompleti oppure troppo vecchi.
E’ possibile eliminare dalla cache selettivamente questi oggetti indesiderati tramite l’utility squidclient, lanciata con il seguente comando:

squidclient -h <indirizzo server squid> -m PURGE <URL oggetto da eliminare>

Si tenga presente che non è possibile eliminare tutti i contenuti per un dato URL o sito, ogni oggetto va cancellato singolarmente.