Un petit retour sur l’article du failover mysql avec les clusters de red hat.

Lorsque l’on test son système de failover (machines virtuelles, ou …) sans matériel de fencing (switchs/routeurs/périph dédiés), les tests d’arrêts complets (coupure de courant barbare) échouent lamentablement, car pour switcher les services d’une machine à une autre, le daemon fenced envoie un signal de reboot au serveur ayant la main sur le service via le système de fencing, et si celui-ci ne répond pas, le service n’est pas redémarré (il considère qu’il a lui-même un problème), ne permettant pas de valider le test du « Si la machine crash, est-ce qu’une autre prendra le service ? ».

Il existe cependant des services permettant de faker ces systèmes lors d’utilisation de machines virtuelles, malheureusement pour moi, je n’utilise pas le système de machine virtuelle xen directement sur red hat6, ne me permettant de de jouir des agents fence RHEV-M et libvirt pour les machines virtuelles, et désactiver l’accès au groupe de fence empêche le rgmanager de se lancer (pose de lock sur dlm-control et dlm-rgmanager qui n’existe pas sans fence) donc passage obligé à la création d’un « fake fence ».

Pour simuler le système de fence de RHEV-M (un simple client http qui balance 3 requêtes pour vérifier si la machine existe et lance l’action de reboot), j’ai donc crée un serveur Web en python, qui renvoit des XMLs complétement faux, mais qui contiennent les infos que l’agent fence_rhevm cherche, lui permettant de valider le reboot et de débloquer le service!!!

Le codage est très simple (avec une belle XSS en prime ^^, mais comme l’agent fence_rhevm crée ses propres urls de requêtes … osef ;=)) :

Une fois lancé sur une machine, il ne reste plus qu’à fournir les infos dans le cluster.conf (à titre d’exemple) :

Si jamais le script est modifié par WP, il reste accessible ici : https://raw.github.com/cipher16/script/master/fence.py (à n’utiliser que pour des tests bien sûr )

Articles similaires :

• Controller sa carte wifi atheros sous ubuntu Lucid
• Les liens du week-end
• Centre Alsace : Le prix du gazole dépasse le prix essence
• Mise en place d’iSCSI pour le partage de données
• Envoyer des mails dans le passé

BackGround
Pour mon alternance on m’a chargé de switcher le système de HA tournant sur RH5.5 depuis 2 ans avec HeartBeat/DRBD sur le nouveau système (qui existe depuis pas mal de temps, en fait ) fournit par RedHat6 pour le clustering : le RGManager, avec ses dépendances (dispo sur toutes les bonnes distro du moment).

Le but de cette manoeuvre est de permettre au service Mysql de rester accessible pour les machines du réseau en cas de crash du serveur (logiciel ou matériel) en partageant une IP et les disques contenant les données (répliqué par DRBD) du serveur Mysql.

L’utilisation et la configuration du cluter fournit par RedHat est trivial (limite choquant pour un sysadmin habitué à un florilège de fichier de configuration dans lesquels taper, ici seul /etc/cluster/cluster.conf est à toucher, bien évidement les services subissant le failover sont à configurer )

Les machines
cluster1 (192.168.1.225) sera à la fois serveur et node
cluster2 (192.168.1.224) sera seulement node
192.168.1.31 sera l’ip partagé entre les deux machines pour la mise à disposition du service Mysql

Lucy et Ricci

(J’ai désactivé selinux (setenforce 0) et iptables (service iptbles stop) pour l’install)

Pour le serveur administrant les clusters, on installe lucy qui permet d’administrer la config des clusters, ainsi que leurs lancements/reboot, …

Pour les membres du clusters, installation de ricci du serveur mysql (puisque c’est lui qu’on veut partager) et leurs dépendances :

Il faut set le password de ricci, pour configurer les nodes

Une fois les nodes préparées et lucy installé et lancé, on peut se connecter via un browser à ipduserveurlucy:8084 et ajouter les nodes :

Puis commencer à configurer les services (c’est plutôt intuitif donc je zap cette partie) le résultat de la config XML est visible à la fin.

Compilation et installation de DRBD

Passage malheureusement obligatoire, car DRBD n’existe pas dans les dépôts RedHat, donc on install une machine virtuelle RH6 (ou bien directement sur la machine de prod si vous êtes un bourrin), avec les softs suivant :

Ce qui permet, si tout c’est bien passer de chopper les RPMs dans le dossier (/root/rpmbuild/RPMS/x86_64/) :
drbd-utils-8.4.1-1.el6.x86_64.rpm
drbd-bash-completion-8.4.1-1.el6.x86_64.rpm
drbd-rgmanager-8.4.1-1.el6.x86_64.rpm
drbd-8.4.1-1.el6.x86_64.rpm
drbd-km-2.6.32_220.2.1.el6.x86_64-8.4.1-1.el6.x86_64.rpm

De les uploader et installer sur les nodes du cluster.

Configuration de DRBD

Création du fichier /etc/drbd.d/r0.res, avec l’utilisation du port de drbd par défaut (7789) et la création de la device /dev/drbd0 sur chacune des machines, avec la réplication du disque /dev/sdb1 (qui contiendra le /var/lib/mysql)

A exécuter sur les deux machines :

Passage en maitre sur l’une des deux machines pour créer le système de fichier

Qui devra retourner :

(Si il reste en Secondary/Secondary, y’a un soucis … :s).

Puis formatage de la partition (ça va tout supprimer … ), et copie du /var/lib/mysql courant sur la partition drbd

On peut maintenant supprimer le /var/lib/mysql sur LES DEUX MACHINES

Il faut maintenant configurer le failover du disque pour ensuite monter /dev/drbd0 dans /var/lib/mysql, fournir l’ip 192.168.1.31 puis démarrer le service mysql.

ATTENTION A NE PAS DEMARRER LES SERVICES AVANT LA SYNCHRO COMPLETE DES DISQUES

Une fois les disques synchro, redémarrer les services drbd, pour qu’il soit tout deux en secondary, et laisser le rgmanager s’occuper de faire switcher le master

Configuration du cluster

La configuration au format XML (la capture d’écran est beaucoup trop grande pour la version http) :

Une fois la conf mise en place (si c’est en autostart, ça devrait partir tout seul), sinon :

Les astuces du LoupZeur
Pour ne pas subir d’interblocage du rgmanager avec fence (blocage complet du service, rgmanager renvoit dans les logs un joli « Waiting for CMAN to start »), je vous conseille vivement de rajouter le clean_start=1 pour le fence_daemon.

Dans l’interface Web : Preferences -> Enable « Expert » mode puis HomeBase -> « ClusterName » -> Configure -> Fence Daemon -> Clean Start

En cas d’interblocage : 2 solutions

et si ça marche pas
modification de /etc/sysconfig/cman et mettre FENCE_JOIN à NO avec un beau

et rgmanager devrait se relancer.

bon HAing

Articles similaires :

• Fake fencing sur Red Hat6
• Changement d’adresse
• Se monter un environnement de developpement LAMP rapidement
• Tentative de Hack … quand les kikoolols attaquent!!!
• Sécurité : Installation de l’IDS Prelude sur debian

Le projet que je vais utiliser ici s’appelle Durandal, et c’est un projet français !!.

Le logiciel en question supporte :

Linux/Windows en 32 et 64 bits et est capable de péter du MD5,SHA1/256/512,NTLMv1 et MYSQL via GPU par CUDA (pas d’OpenCL pour le moment), soit par brute force, soit par les chaines de markov (j’ai pas tout lu sur le sujet, mais ça a l’air passionant xD).

Il fonctionne en distribué (possibilité d’avoir donc plusieurs machines effectuant les calculs nécessaire au cracking).

CUDA (partie apparement pas obligatoire)
Pour ce tuto, j’utilise ubuntu 11.10, avec un Phenom 810 X4 et une GTX260, avec les drivers NVidia de base (depuis la version 260, les drivers fournit proposent un support direct de CUDA, il suffit donc de récupérer et d’installer le « CUDA Toolkit for Ubuntu Linux 10.10″, c’est juste pour choper le nvcc et générer le cubin plus tard).

Puis on indique les path de cuda dans le ~/.bashrc :

Ensuite sur ubuntu la version de GCC/G++ est la 4.6 et cuda ne supporte pas les version au-dessus de la 4.5
Donc on install la 4.4, et l’on créer les update-alternatives pour switcher à nouveau en 4.6, histoire d’être pas trop crade

Un petit coup de update-alternatives pour switcher entre les version 4.6 et 4.4

Durandal

On passe à l’installation de durandal (la manip est indiqué sur le site web) :

Dans le README, il est conseillé de faire un nvcc sur le fichier src/agent/kernels/md5.cu, puis faire un bin/cudump md5.cubin, mais le fichier hpp généré ne peut être utilisé (le build plante, au final, mon GPU sera tout de même détecté et utilisé donc c’est pas trop grave).

Donc on passe direct à la compil/install.

Ensuite, il suffit de suivre les instructions des différents executables

durandal.sh, qui créer le serveur en demandant les ports d’administration (j’utilise le port 21000) et de cracking (j’utilise le port 20000) pour les clients

admin, qui drope une console d’admin pour ajouter hashes

agent, qui permet au client de lancer le cracking (à distance, ou en local)

Les petits screenshots (avec le md5 mis en exemple sur le site du projet durandal) :

le serveur et la console d’administration :

le client avec le benchmark à son lancement (sur la même machine dans mon cas), ma GTX260 n’est pas aussi bien que ce que j’espérais, mais elle à quand même deux ans ^^ :

Un projet sympa à suivre …

Ressources :
Durandal : http://durandal-project.org/index.html
Alternative Gcc/G++ : http://askubuntu.com/questions/26498/choose-gcc-and-g-version
CUDA (toolkit et SDK) : http://developer.nvidia.com/cuda-toolkit-40

Articles similaires :

• Cracking de WPA/PSK (Pyrit/CowPatty)
• Téléchargement Direct et Linux (Tucan)
• BT3 dans les bacs … les hackeurs vont se régaler
• Commandes linux sympa
• Exemple de Bot d’Authentification et de clic en Php

Je viens de découvrir l’utilisation des tubes pour utiliser wireshark en « remote », en balançant du tcpdump à distance dans le tube lu sur la machine locale par wireshark (en résumé ).

La manipulation est très simple et est à effectuer sur la machine locale :

Explication :
On créer un tube nommé wirepipe
On ouvre une session root sur la machine 10.75.25.1 et on lance un tcpdump qui sniff le port 80 (de 10.75.25.1) et renvoi le tout à la sortie standard qui est renvoyé au tube.

Dans un autre terminal, on lance Wireshark :

Et voilà, tout ce qui passe dans le tube est lue par wireshark en temps réel (plutôt sympa pour décoder des trams sur des serveurs en prod debug), et beaucoup plus simple que de faire du tcpdump, puis de télécharger le dump et le lire avec wireshark en local, et c’est plus secure que de faire sniffer directement wireshark sur le réseau.

Articles similaires :

• Détournement de données ^^.
• Souhaiter de joyeuses fêtes en piratant ses DNS ^^.
• Utiliser Git pour gérer ses projets (mini mémo)
• BackTrack 4 passe en pre-final …
• Créer un paquet pour les ppa

Encore une appli inutile que je ne vais probablement pas terminer ^^, mais qui m’a permis d’apprendre pas mal de trucs sur android et gwt (notamment le fameux C2DM).

Le but de l’appli est très simple, on a oublié où l’on a mis son téléphone ? on se l’est fait voler ?
Grâce aux notifications C2DM, on peux envoyer des messages au téléphone pour obtenir sa position, le faire sonner, … sans avoir de tâche de fond dédiée qui bouffe de la batterie ou qui aurait pu se faire killer par le système de gestion de mémoire.

[Aparté sur la sécurité] Le petit bémol du C2DM, c’est que si votre téléphone n’est pas verrouillé (code, schéma, …) et qu’une personne supprime l’application ou supprime vos comptes google, l’application ne fonctionnera plus … et ne permettra plus d’être tracé donc ^^. (d’un autre côté, c’est aussi le cas de la plupart des applications …)

Pour le moment seule l’architecture de base est en place :

• Côté site web (github) :
  • Authentification
  • Envoi de notifications
  • Stockage des données
  • Affichage des informations (à perfectionner)
  • A faire : Utilisation d’un fwk d’event pour afficher l’info directement à sa reception
  • A faire : Gestion des messages d’erreur
  • A faire : Info sur l’utilisations
  • A faire : Ergo/Charte graphique
• Côté application android (github) :
  • Authentification
  • Réception des notification
  • Envoi des données (GPS (perfectible …), Statut)
  • Exécution d’action (sonnerie seulement pour le moment)
  • A faire : Ergo/Info/Licence/Contrat, …

Un screen du site :

L’application (dispo ici)

Pour l’utiliser la tester et la synchroniser, il faut sélectionner le « Mail Account » avec lequel on veut s’authentifier sur le site : rcbuweb puis sélectionner les infos que l’on veut (l’info peut mettre plusieurs secondes avant d’être récupérée).

Au premier clic on envoi la notif, au deuxieme on l’affiche (faut que je trouve un système de push gwt client/serveur pour faire ça proprement).

L’appli est en développement pour le moment, mais ça fonctionne déjà pas trop mal (à part le mode GPS satellite (autant rester en network) … car une fois activé, il ne s’éteint plus et bouffe de la batterie pour rien ;s).

Articles similaires :

• Application android pour les horaires de tram/bus grenoblois (Tag/SemiTag)
• Application android pour le téléchargement des versions de Cyanogen
• Mon Application Android pour les horaires de la CTS
• Android C2DM Notification push en bash avec wget
• Un peu d’avancement dans l’application Android de la CTS …

Cette fois pour tester les notifications C2DM (cloud to device messaging), l’équivalent Android des push iphone en un peu plus complexe nécessité d’avoir un compte google devant s’authentifier pour ensuite envoyer un message par device_id (le device id pouvant expirer, tout comme l’authentification), pour les push iphone il suffisait d’avoir les tokens et basta ^^).

Mais au final le système répond plutôt rapidement, cela dit, en suivant de nombreux tuto sur le developement d’application utilisant C2DM (ici un premier tuto complet et ici un second tuto assez complet et intéressant).

Le problème c’est que pour tester le C2DM, la méthode nécessitant une authentification, et l’utilisation d’un header spé, pour tester l’envoi de notifications, certains recommendent de créer une seconde appli android pour envoyer les push, ou bien encore d’utiliser curl pour les requêtes, un outil qui n’est jamais installé de base sur une machine (la plupart des sytèmes unix intégrant wget, pourquoi utiliser curl?).

Donc pour le fun, voici ma version wgeté (j’ai découvert l’usage des headers sur wget) :

Si le script ne renvoit rien, c’est bon, si il répond par un Error=UnMessageDerreur, c’est pas bon, bon dev

Articles similaires :

• [Android] application de contrôle à distance/backup/info
• Mes Applications/Scripts
• Application android pour le téléchargement des versions de Cyanogen
• Compiler Cyanogen (android froyo) sur Ubuntu
• Grésillement du driver em28xx et kernel 2.6.28 sur ubuntu 9.04

La règle iptables :

Puis on modifie le fichier d’active-response/bin/firewall-drop.sh d’ossec en remplaçant les DROP par des KIDDIES (de la ligne 55 à la 61 pour la dernière version).

Ainsi, par défaut (dans ossec/etc/ossec.conf), la durée de ban de base est de 6 minutes et pour chaque paquet reçu, on drop encore les paquets pour 5 minutes (ce qui peut aller bien loin si le mec laisse tourner son script).

Par contre, avec un

on ne saura pas si une ip est encore droppée après les 6 minutes de ban Ossec (puisque la règle est supprimée au bout des 6 minutes) car même si la règle n’existe plus, si l’ip possède encore le tag kiddies avec un timer les paquets continueront d’être drop, il faut alors lister les ip avec la commande suivante :

Par contre, je ne sais pas si l’on peut supprimer le timer à la main …

Articles similaires :

• Protection DDos et ban de masse
• Tentative de Hack … quand les kikoolols attaquent!!!
• Alerte d’ossec en notification sur le bureau
• Sécuriser un blog WordPress par un IPS avec wpsyslog2 et ossec
• Contourner les restrictions de connexions sur un serveur OVH

Dans la suite de mon article sur « le hacking facile » avec metasploit et meterpreter, voici venu celui avec l’encodage de payloads dont je parlais rapidement à la fin du précédent article, et que j’ai supprimé suite à de nombreuses critiques sur des forums de hack (selon eux, le fait de piper des msfencode en format raw bousillait la payload, mes tests étaient pourtant concluant lors de l’écriture de l’article (j’ai peut-être du me gourrer de payloads mais … simple question de logique : à quoi d’autre pouvait donc servir le format raw ?).

Une autre méthode (officielle et plus propre que celle-ci est dispo en anglais : http://www.room362.com/blog/2011/7/17/metasploit-payloads-explained-part-1b.html)

Depuis la dernière version de metasploit un nouvel outil pour encoder est apparu : msfvenom (une fusion de msfpayload et msfencode), et j’ai donc voulu tester si ce nouvel outil était lui aussi capable de piper les encodages … et la réponse est Oui ^^.

Alors à quoi ça sert de piper les encodages ? De nombreux antivirus détecte généralement le premier encodage des payloads metasploit, mais si l’on en met plusieurs à la suite, certain antivirus deviennent inefficace (comme l’antivirus Comodo à mon grand regret :s).

De base, msfvenom s’utilise ainsi :

Pour lister les encodages, les nops et les payloads, vous pouvez faire un :

Et y’a de tout : du linux, du windows, du mac, du php, …

On peut aussi utiliser les options -x et -k pour utiliser des templates et contourner certain antivirus en utilisant des executables windows de confiances.

Et pour piper les encodage ?

Pour le premier msfvenom on spécifie la payload, ici un reverse_tcp pour meterpreter, au format raw, l’encodage (et son itération si l’envie vous en prend ), et pour le second on fournit la platforme et l’architecture, ainsi que notre encodage et le format (du moment que l’on reste en raw on devrait pouvoir les piper).

Et un executable devrait ressortir, ici meter.exe (si cet executable est lancé sur le PC d’une victime (volontaire ), son pc devrait essayer de se connecter sur 192.168.1.12 et sur le port 4444 pour lancer une session meterpreter).

La récupération de la session se fait en utilisant le multi/handler
soit en passant par msfconsole :

soit plus rapidement en passant par msfcli (beaucoup plus rapide) :

Donc voilà, j’ai peut être pu me tromper dans mon précédent article, mais maintenant, c’est officiel, on peut piper du venom ^^.

Bon amusement

Petite note sur les anti-virus suite à ce test :
Avant ce test, je comptais utiliser Comodo, l’antivirus/firewall (avec HIPS et sandboxing) qui semblait pas mal efficace, pour remplacer avast qui me semblait pas au top, après le test des encodages de payloads je pense que je vais rester sur avast : il détecte direct la payloads, alors que comodo ne dit rien du tout :s … (et comodo est plutôt lourd et à tendance à tout sandboxer).

A noter que la dernière version d’Avast comporte un système de sandboxing, reste à voir si il est performant … celui de Comodo est lourd à souhait :s.

Articles similaires :

• Sortie de Metasploit 3.2
• BT3 dans les bacs … les hackeurs vont se régaler
• Metasploit et Meterpreter pour du piratage facile ?
• Un projet de scanneur de vulnérabilités web open source
• Pourrir des votes avec bash et wget

Aujourd’hui, pour le lol, la création d’une extension pour ne pas à avoir à installer itunes pour mater les vidéos des podcasts (j’ai pas trop cherché, mais sur linux, y’a rien apparemment qui permettrait de mater les vidéos :s … j’ai du mal chercher en fait).

Mais heureusement, Apple fait bien les choses et fournit l’url des vidéos directement dans sa page web :

Il suffit d’exécuter ce script dans la page pour rajouter un évènement au Click de l’image montrant la vidéo pour ouvrir une nouvelle fenêtre directement sur la vidéo en question :

Maintenant, il faut juste créer une extension JS pour l’exécuter directement.
Il faut tout d’abord, un fichier json nommé manifest.json, qui indiquera les droits du script et ses dépendances (ici jquery (une lib) et cleaner (mon script)) :

On télécharge ensuite jquery.js que l’on met dans le même dossier que le manifest, ainsi que le bout de code javascript à mettre dans le fichier cleaner.js (à mettre aussi dans le même dossier que le manifest)).

On accès ensuite à la page des extensions de chrome et l’on click sur « Charger l’extension non empaquetée », on indique le dossier contenant l’extension et voilà … on accède à un podcast itunes et on clique sur l’icône de l’écran pour visualiser la vidéo :

Donc voilà, rien de complexe, l’extension reste pour le lol, je ne sais pas si elle sera très utile, mais je l’ai quand même proposé au google webstore pour permettre un téléchargement direct de l’extension. (Pour le moment, l’extension n’a pas l’air accessible :s).

Articles similaires :

• Lire des vidéos en webm sur youtube
• Gnome : Désactiver la prévisualisation de medias
• La RC de Firefox bientot dans les depots d’hardy
• Les liens du WE
• Système d’alerte via SMS sur vos serveurs grace à google calendar.

Suite au passage de mon Galaxy S sur Cyanogen, j’ai remarqué qu’il fallait avoir une licence premium sur le Rom manager pour choper les nightly automatiquement … radin comme je suis, je ne pouvais pas payer juste pour une fonctionnalité aisément programmable par mes soins ^^ Gripsou Powaaa!!

Histoire d’en apprendre un peu plus sur la programmation d’applications android, j’ai décidé de mettre le « paquet » (c’est relatif bien sûr) sur les fonctionnalités et cette application comporte donc les possibilités suivantes :

• Menu contextuel
• Edition de preference
• Notification « En cours »
• Notification « Normale »
• Thread

L’édition des préférences

Le choix du type de mise à jour (ici pour un Galaxy S)

La superbe notification (j’en suis fière … il m’a fallut 2 threads pour le faire ^^)

Le système de notification de mise à jour est en « étude », les options existent pour le lancer, mais il ne fait rien .

Le code source du soft est dispo sur GitHub et l’application peut être téléchargée ici (faire enregistrer sous en le nommant en .apk).

Histoire de poster un peu de code, il est possible de télécharger rapidement des fichiers sur android via le code suivant :

En utilisant le getFilesDir, on utilise le répertoire de l’application, rendant possible la suppression des données téléchargées depuis le panel de gestion des applications android :

Voilà … j’essaierais de poursuivre le développement de cette application histoire de toucher un panel assez grand de fonctionnalités de bases pour une application android.

Articles similaires :

• Compiler Cyanogen (android froyo) sur Ubuntu
• Application android pour les horaires de tram/bus grenoblois (Tag/SemiTag)
• [Android] application de contrôle à distance/backup/info
• Compiler android sur ubuntu 9.10
• Installer un donuts sur son G1 (CyanogenMod)