Mr. Robot | Staffel 1, Folge 1 in a nutshell

Die Fernsehserie folgt einem jungen Programmierer (Elliot), der von dem mysteriösen Mr. Robot für eine Hackergruppe rekrutiert wird und wer die Serie bisher noch nicht geschaut hat, sollte dies nachholen.

In Folge 1 muss Elliot einen Rootkit ausfindig machen, viel mehr werde ich an dieser Stelle nicht vorwegnehmen. Viele der folgenden Befehle sind nicht ohne weiteres auf jedem Linux System auszuführen oder es gibt diese gar nicht. Jedoch versteht bzw. sieht man was diese bewirken sollen.

1. Status

mr robot | status

Um das Problem vom Büro aus zu analysieren, werden zunächst Netzwerk und Dienste geprüft.

status -scanports -s WBUSl12345678WB1 -p[80-7655]

Hier hat Elliot sich anscheinend eine Shell-Funktion geschrieben, welche einen Portscan auf der Server “WBUSl12345678WB1” mit der Port-Range 80 bis 7655 durchführt.

Der folgender Befehl würde wirklich funktionieren.

nmap WBUSl12345678WB1 -p80-7655

Als nächstes wird anscheinend geprüft welche Prozesse momentan auf dem Remote-Server ausgeführt werden.

status -services -s WBUSl12345678WB1

Dies könnte auch eine selbst programmiere Shell-Funktion sein, welche sich auf dem Remote-Server einloggt und die Prozesse z.B. via “ps aux” auflistet.

ssh user@WBUSl12345678WB1 ‘ps aux’

Resultat: Die Services sind nicht mehr erreichbar und anscheinend läuft auf dem Server ein Xorg. ;) Da der Fehler nicht einzugrenzen ist, wird Elliot (mit dem Jet) zum Rechenzentrum geflogen, um den infizierten Server zu lokalisieren und zu isolieren. *freu*

2. Ping

mr robot | multi-ping

Der Befehl selbst ist in der Sequenz nicht zu sehen aber dies könnte so ähnlich aussehen.

fping -g 194.122.82.0/24

Resultat: Ein Server ist noch aktiv, dies muss der Übeltäter sein …

3. Locate WBKUW300PS345672

mr robot |locate-server

Der gehackte Server soll in der nächsten Szene manuell durch den Backup-Server ersetzt werden. Es wird der Befehl “Locate” ausgeführt, um sich zunächst an dem gehacktem Server anzumelden.

Der “locate” Befehl ist eigentlich zum suchen von Dateien gedacht, aber diese wird ja auch klein geschrieben.

4. astsu

Hier wird außerdem der fiktive Befehl “astsu” ausgeführt, um Informationen vom Netzwerk-Informationen vom Server zu erhalten.

Folgende Befehle funktionieren tatsächlich…

DNS:

cat /etc/resolv.conf

IP:

ifconfig

ROUTING:

route

mr robot | astsu-what

In der nächsten Szene sehen wir sowohl die vorherigen aus auch die nächsten Befehle welche auf der Konsole eingegeben wurden.

astsu -close port: * -persistent

Und wie wir sehen übernimmt der Befehl “astsu” auch noch die Funktionalität von “iptables“. ;)

Locate BKUW300PS345672

Hier kommt nocheinmal der “Locate” Befehl zum Einsatz, um sich auf den Backup-Server einzuloggen.

mr robot | server_backup

set waneth0* : * 23.234.45.1 255.255.255.0 [45.85.123.10; 45.85.124.10; 45.85.125.10]

Im Output kann man ein “false” sehen, aber Elliot verwendet “-force” um dieses Problem zu lösen. Natürlich ist auch diese Befehl ausgedacht, aber viele andere Linux Kommandos akzepieren ebenfalls einen “–force” Parameter, daher ist dies gar nicht so abwegig.

set -force -ovr02 waneth04 : 23.234.45.62:441 23.234.45.1 255.255.255.0 [45.85.123.10; 45.85.124.10;

Um die IP-Adresse wirklich zu konfigurieren kann man z.B. “ifconfig & route” oder “ip” verwenden.

ip addr add 45.85.123.10/24 dev eth0

ip addr add 45.85.124.10/24 dev eth0

ip addr add 45.85.125.10/24 dev eth0

ip route add default via 23.234.45.1

Resultat: Der gehacket Server ist offline und der Backup-Server hat dessen Funktion übernommen.

5. ps aux | grep root

mr robot | ps-aux

ps aux | grep root

Nachdem die Gefahr gebannt ist, schau Elliot sich den gehackten Server noch einmal genauer an und findet einen Prozess (pid: 24) welcher mit höchster Priorität (-20) läuft.

astu trace -pid 244 -cmd

Hier tauch eine abgewandelte Version vom fiktiven Befehl “astsu” auf, warum die pid 244 und nicht die 24 weiter untersucht wird, bleibt ungeklärt.

Um einen Prozess tatsächlich näher zu untersuch, würde ich zunächst folgende Befehle nutzen.

strace -p 24

lsof -p 24

nginx

Beispiel für “strace” & “lsof”

6. ps aux | grep root | cpuset

mr robot | astu-what

ps aux| grep root | cpuset

“cpuset” würde hier nicht funktionieren und ich bin mir nicht ganz sicher was “cpuset” überhaupt macht?!

astu -ls ./root/fsociety/ -a

Nun wird der Inhalt vom Verzeichnis “/root/fsociety/” angezeigt, folgender Befehl würde funktionieren.

ls -la /root/fsociety/

mr robot | more

Elliot schau sich nun die README Datei der Hacker an und möchte den Rootkit zunächst im folgenden löschen.

more readme.txt

astu -rm -norecycle /root/ fsociety/

Um das Verzeichnis wirklich zu löschen, müsste der folgende Befehl ausgeführt werden.

rm -rf /root/fsociety/

mr robot | chmod

Aber er entscheidet sich dagegen und ändert stattdessen die Berechtigungen der Datei, so dass nur noch er selber Zugriff darauf hat.

chmod -R ER280652 600

Auch dieser Befehl wird so nicht funktionieren, da man “chmod” und “chown” unterscheidet. Folgende Befehle würden funktionieren.

chmod -R 600 /root/fsociety/

chown -R ER280652 /root/fsociety/

Resultat: Der ursprüngliche Server ist offline, der Backup-Server ist online und der Rootkit ist noch immer im System.

Fazit: echo “Ich mag diese Serie.” | sed ‘s/Serie/Nerd-Serie/’

Epic Fail – Bumblebee

Wer ein Notebook mit “NVIDIA® Optimus™ Technologie” besitzt und z.B. Ubuntu installiert hat sollte sich einmal “Bumblebee” anschauen … “Owners of optimus laptops. Install bumblebee, use the nvidia card while gaming, use intel chipset for everything else. Now with autoshutdown for the nvidia card.” – Quelle

Mit dem Update auf Version 1.4.32 wurde ein Fehler behoben, welcher bei Ubuntu-Usern “/usr” löscht. daraufhin wurden in den letzten Tagen etliche lustige Kommentare & Bilder zu dem Thema auf github.com gepostet. Hier einige Beispiele …

bumblebee-fun1
bumblebee-fun1
bumblebee-fun2
bumblebee-fun2
bumblebee-fun3
bumblebee-fun3
bumblebee-fun4
bumblebee-fun4
bumblebee-fun5
bumblebee-fun5
bumblebee-fun6
bumblebee-fun6
bumblebee-fun7
bumblebee-fun7

Ostereier obwohl es nicht Ostern ist

Die folgenden “Eastereggs” lassen sich im Linux-Alltag finden und falls du auch noch ein paar Eastereggs kennst, würde ich die gerne hören… :-)


YouTube:

Snake auf Youtube spielen ->

1.) Video bei 0:00 anhalten

2.) Pfeiltaste nach Links drücken

3.) danach zusätzlich Pfeiltaste kurz nach Oben drücken

4.) Vorsicht, das Spiel geht sofort los… :-)


Telnet:

… ich verrate mal nichts ;-)

telnet towel.blinkenlights.nl
telnet towel.blinkenlights.nl 666


Google:

In meiner “Feature-Liste” von Google fehlt noch einiges… ;-)

– suche nach ASCII-Art und dann achte auf das Google-Logo -> http://www.google.com/search?q=ascii+art

– auch wenn ich das schon einmal erwähnt habe -> www.google.com/bsdwww.google.com/linuxwww.google.com/microsoft

– einfach einmal auf “Insert Coin” klicken und spielen -> http://www.google.com/pacman/

– folgendes bei Google eingeben :-) -> answer to life, the universe and everything


aptitude:

Ich habe vor einiger Zeit bereits über “aptitude” berichtet, hier noch ein paar Features…

aptitude moo
aptitude -v moo
aptitude -vv moo
aptitude -vvv moo
aptitude -vvvv moo
aptitude -vvvvv moo

Die Ausgabe der Befehle spare ich mir, will dir ja nicht den Spaß verderben… :-)


Zudem ist unter der aptitude-Hilfe noch ein Osterei zu finden:

aptitude -h | tail -n 1


Außerdem ist noch ein Feature in aptitude eingebaut -> Minesweeper

aptitude 
<Strg>+t
linux_aptitude_minesweeper


Vim:

Auch in meiner umfangreichen “vim“-Sammlung fehlt ein entscheidender Befehl:

:help 42 
:Ni!


wget:

wget -S http://wordpress.com -O- 2>&1 | grep hacker 


Gnome:

Unter GNOME-Desktop -> Eingabeaufforderung (Alt + F2) -> und folgendes eingeben ->

“free the fish” -> kleiner schwimmender Fisch auf dem Desktop (klick auf den Fisch und versuche ihn zu verscheuchen…) :D
“gegls from outer space” -> GEGLs from Outer Space


Firefox:

Folgendes bei Firefox in der Adresszeile eingeben. :-)

about:robots
about:mozilla


Debian / Ubuntu etc.:

… um das “Fake-Release” anzuzeigen, muss man in der Konsole den folgenden Befehl eingeben, klappt auch bei Ubuntu! :-)

zgrep "The.*Release" /usr/share/doc/dpkg/changelog.Debian.gz

zcat /usr/share/doc/linux-image-`uname -r`/changelog.Debian.gz | egrep -e "Release"

… und hier noch ein Befehl der generell unter Linux funktionieren sollte. ->

ddate


Arch Linux: (pacman)

In der Datei /etc/pacman.conf im Bereich unter [options] fügen wir ILoveCandy ein… und schon haben wir eine neue Folgschrittsanzeigt bei pacman… :-)

Weihnachtsgeschenke für Geeks

Ein Geschenk für einen Computer-Freak zu finden ist gar nicht so schwer wie man auf Anhieb denkt. Denn es gibt ganze Webseiten, welche sich auf diese Kundschaft ausgerichtet haben. :-) Um einigen ahnungslosen Eltern, Freunden/-innen von (uns) Geeks einen Tipp zu geben, habe ich folgende kleine Liste zusammengestellt und wie man sieht müssen die Geschenke nicht einmal viel kosten.


1.) Taschentücher -> 1,25 €

US_Dollar
US Dollar als Taschentuch

2.) PC-Sticker -> 1.99 $

casebadges
casebadges


3.) 3D Notizblock -> 5,90 €

3D Notizblock
3D Notizblock

4.) Sudoku-Klopapier -> 6,95 €

sudoku_klopapier
sudoku Klopapier


5.) bOOleO Kartenspiel -> 11,90 €

bOOleO Kartenspiel
bOOleO Kartenspiel


6.) Lesezeichen an der Wand -> 14,90 €

Lesezeichen + Buchhalter
Lesezeichen + Buchhalter

7.) außergewöhnliche Ohrstöpsel -> 14,95 €

witzige Kopfhörer
witzige Kopfhörer

8.) myAVR Board light, Bausatz -> 14,95 Euro

board light Bausatz
board light Bausatz

9.) myBrett ->  15 €

myBrett
myBrett

10.) Widerstand ist zwecklos (T-Shirt) -> ~14,90 €

widerstand-zwecklos
widerstand-zwecklos

11.) Kaffee ist unverzichtbar -> 18.00 $

Kaffeetasse
Kaffeetasse

12.) Slide to unlock (Fußmatte) -> 19,90 €

Fußmatte Slide to unlock
Fußmatte Slide to unlock

13.) Selbstrührende Thermo-Tasse -> 19,95 €

selbstruehrende-tasse
selbstruehrende-tasse

14.)  W-Lan – T-Shirt -> 29,90 €

wlan_shirt
wlan_shirt


Auf den Webseiten gibt es natürlich noch Unmengen weitere interessante Dinge, über die sich jeder Geek freuen wird -> z.B.: “Fernzündung von Feuerwerkskörpern“, “Musikkissen“…

How Fanboys See Operating Systems

Habe gerade folgendes Bild wiedergefunden…



howfanboysseeoperatingsystems
howfanboysseeoperatingsystems


Quelle: www.joeydevilla.com


Glückskekse in der Muschel

Wer bei jedem Login in der bash einen Glückskeks-Spruch lesen will, kann mit folgendem Befehl Glückskeks installieren…

aptitude install fortunes fortunes-de

… nun müssen dies wir nur noch in der ~/.bashrc Datei einfügen:

# Sprueche in der bash
if [ -f /usr/games/fortune ]; then
        /usr/games/fortune
fi

 

z.B.:

Ein Theologe diskutiert mit einer Architektin:Er: Ich weiß nicht, warum Sie sich aufregen. Gott hat doch zuerst denMann gebaut und dann die Frau. Die Reihenfolge wäre damit dochgeregelt.Sie: Ja, ich mache auch immer zuerst eine Skizze.

make me a sandwich

sudo make me a sandwich
sudo make me a sandwich

… und falls mal niemandem da ist der auf “sudo” reagiert …

The Pope Totally Looks Like Darth Sidious

habe mal wieder etwas im Netz gefunden, das ich niemandem Vorenthalten möchte…

The Pope Totally Looks Like Darth Sidious

see more Celeb Look-A-Likes

[ohne viele Worte] The Real Story of Avatar

The Real Story of Avatar
The Real Story of Avatar

Wer den Film bereits gesehen hat, weiß wovon hier die Rede ist.  ;-)  Jedoch muss man dazu sagen, dass ich den Film auch sehr gut fand! :-)

Zeitgemäße Gegensätze

pro != noob
pro != noob

Link:
glatzopatzo.de