Synchronisation de courriels cpanel/whm via ftp

Petit script de synchronisation des courriels cpanel via FTP que j’ai programmé rapidement pour finaliser une migration. lftp est requis et n’est pas présent par défaut sur Cloud linux donc il doit être installé (yum install lftp). Selon la configuration du serveur source, il peut être requis d’ajouter « set ftp:ssl-allow off; » et/ou « set ftp:passive-mode off; »

#!/bin/bash
# Hote Distant
RHOST="remote_server.example.org"
RUSER="remote_user"
RPASS="remote_password"

# Utilisateur Local
LUSER="local_user"

# Domaine de messagerie
DOMAIN="example.org"

# Copy de la configuration et des courriels
/usr/bin/lftp -c "set ftp:list-options -a;
open ftp://$RUSER:$RPASS@$RHOST/;
lcd /home/$LUSER/etc/$DOMAIN;
cd /etc/$DOMAIN;
mirror --delete --verbose;
lcd /home/$LUSER/mail/$DOMAIN;
cd /mail/$DOMAIN;
mirror --delete --verbose"

# Changement de permissions
chown $LUSER:$LUSER -R /home/$LUSER/etc/$DOMAIN/* 
chown $LUSER:$LUSER -R /home/$LUSER/mail/$DOMAIN/* 
chown $LUSER:mail /home/$LUSER/etc/$DOMAIN/passwd* /home/$LUSER/etc/$DOMAIN/quota*

/usr/local/cpanel/scripts/linksubemailtomainacct $LUSER
/scripts/mailperm $LUSER

Publié ici au cas où il serait utile à un autre sysadmin.

Vulnerabilité ntopng dans pfsense

J’ai expédié un avis de vulnérabilité la semaine dernière à l’équipe de pfsense concernant le package ntopng, pour votre information voici le commit de correction https://github.com/pfsense/pfsense-packages/commit/0e931059d5cf44828b0b1dd29a9102618d0ce2a1 . Pas besoin d’inclure de PoC, le diff est assez explicatif sur la vulnérabilité. Donc si vous utilisez le package ntopng v0.2, je vous invite à le mettre à jours.

Structure des tables de Trend Micro OfficeScan 11

L’un des nouveau éléments et pas toujours très connu de la version 11 du logiciel Trend Micro OfficeScan est la possibilité d’utiliser une base de donnée SQL serveur plutôt que la base de données interne (cette option est disponible via l’utilitaire SQLTxfr.exe disponible dans le dossier d’officescan \PCCSRV\Admin\Utility\SQL).

Ceci facile  la mise en place de rapports statistiques et de conformité, la mise ne place de tableau de bord ou d’agent de surveillance et la documentation de la configuration.  C’est un élément qui est peu documenté par Trend Micro, alors à titre d’informations voici un sommaire des principales tables à utiliser pour accéder à la configuration des agents ainsi qu’à la journalisation associée.

Trend Micro OfficeScan 11 - Structure des tables principales

Cette technique permet aussi d’accéder à certain attribut très intéressant, notamment le chemin d’accès AD du poste (DIST_NAME_AD) et le GUID de l’utilisateur, ce qui permet de mieux recouper les informations avec d’autres logiciels de sécurité.

 

Lancement en mode béta de catégo.info

C’est avec plaisir que notre entreprise rend accessible en mode invitation notre plate-forme de gestion de la sécurité catégo.info. Ce produit à été développé pour aider les organisations à gérer de façon dynamique leur sécurité de l’information, notamment leur catégorisation, les analyses de risques et la rédaction de plan directeur.

Je tiens à remercier mon équipe, ainsi que mes clients qui ont participé au développement de cette plate-forme en ligne.

Pour plus d’information visitez decouvrez.catego.info ou sur catego.info

Conférence Hackfest 2013

Vous trouverez ci-bas les ma présentation sur les techniques d’évasions antivirales pour le hackfest 2013. Merci à tous ceux qui sont venu y assister.

Bon hackfest

Personnalisation des CSS par site sous Firefox (ou comment masquer les pub de linked)

Mozilla Firefox intègre des options pour surcharger le CSS des sites. Cette option est utile dans plusieurs contextes (développement, sécurité, intégration) mais aussi pour modifier des sites existants, par exemple contrôler la visibilité de sections ou agrandir des polices (ou dans le cas de réseaux sociaux, masquer le contenu commandité)

Pour ce faire, un fichier nommé userContent.css doit être créer dans le dossier chrome de votre profil Firefox (%AppData%\Roaming\Mozilla\Firefox\Profiles\XXXXXXXXX.default\chrome – il est possible que le dossier chrome ne soit pas créer dans votre profil)

Dans ce fichier, vous identifiez les sites via la directive @-moz-document domain(www.nom_du_domaine.com) { CSS ici } et spécifier les sélecteurs CSS que vous désirez surcharger.

Je ne suis pas très réseaux sociaux, par contre j’utilise linked-in sur une base occasionnelle ainsi voici mes règles associées à Linked-in pour en masquer quelques sections inutiles. Vous pouvez appliquer la même démarche à différents sites Internet.

@-moz-document domain(www.linkedin.com) {

/* Masquer les nouvelles sponsorisées */
#my-feed-post li.linkedin-sponsor {
      display:none;
      }

/* Masquer les emplois recommandés - (J'ai ma propre entreprise, alors pourquoi changer) */      
#my-feed-post li.linkedin-recommend-job {
      display:none;
      } 

/* Masquer les endossements - Personne veut endosser mes compétences en CSS ? */            
#my-feed-post li.linkedin-endorse-by {
      display:none;
  }  
 
/* Non, je ne prendrai pas un compte premium, inutile de me le rappeler */  
div.upsell {
      display:none;
}

/* Masquer la section sur les offres d'emplois */
div#jobsForYou {
      display:none;
}
  
}

Firefox doit être redémarrer pour que les changements s’appliquent.

C’est simple et efficace.

Désactiver les animations dans Office 365

Pour les gens comme moi, qui n’apprécie pas trop les animations dans Office 365, il est possible de les désactiver en modifiant une clé dans la base de registre.

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\Graphics]
"DisableAnimations"=dword:00000001

(Vous pouvez télécharger le fichier en format registre ci-dessous, il est recommandé de démarrer après considérant que certains service d’Office sont toujours en mémoire malgré la fermeture des applications.)

desactivation animation office 365.reg (943 téléchargements)

Conférence hackfest 2013 – Techniques d’évasion antivirale

Je serai conférencier pour l’édition 2013 du hackfest avec conférence sur les techniques d’évasion antivirale. Plus de détails à venir. Entre-temps, visiter le site du hackfest pour plus d’informations.

Techniques d’évasion antivirale

Pour chaque millier de variantes de virus, certains réussissent à survivre et à prospérer. Comment ont-ils passé à travers les mailles des filets et comment un attaquant pourrait s’en inspirer ?

Au cours des dernières années l’arsenal des solutions antivirales a évolué : sandboxing, systèmes de réputation, solutions cloud, analyse comportementale, etc. Mais pour chaque nouvelles défenses, des nouveaux vecteurs d’attaques ont fait leurs apparitions.

L’objectif de cette conférence est de comprendre comment ces mécanismes fonctionnent en détail analyser leurs vulnérabilités, et voir comment un attaquant peut les exploiter à son avantage et les utiliser pour contourner et affaiblir la sécurité d’une organisation.

En espérant vous y voir en grand nombre !

Checklist Trend Micro Deep Security 9 / Vmware ESX 5.1

L’un des excellents produits de sécurité des environnements virtuels sur le marché est Deep Security de Trend Micro. Ayant réalisé plusieurs déploiements sous cette plateforme, j’ai décidé de publier l’un de mes checklists pour la mise en place de ce produit.

Ce checklist est réalisé en fonction des environnements Deep Security 9 et ESX 5.1.

Checklist-Deep-Security-9-et-ESX-5.1 (677 téléchargements)

En espérant que celui-ci vous sera utile dans le cadre de vos déploiements, n’hésitez pas à me donner vos commentaires, il me fera plaisir de le bonifier.

Authentification Système sous MySQL (LAMP)

Un élément important de la sécurité des base de données est est l’authentification système (réutilisé l’authentification système d’exploitation), cette méthode évite d’avoir des mots de passe en clairs dans les configurations. Cette méthode était facile à implanter sous PHP/IIS/SQL Server, mais était plus problématique à déployer sous plateforme LAMP (Linux / MySQL)

Depuis MySQL 5.5 une nouvelle infrastructure d’authentification modulaire rend possible l’utilisation de nouvelles méthodes d’authentification, notamment l’authentification via socket qui permet une connexion transparente si l’utilisateur système est identique à l’utilisateur MySQL.

– Apache (si possible avec un MPM peruser)
– MySQL 5.5 local
– PHP utilisant les drivers natifs MySQL (MYSQL_MODULE_TYPE = External)

Activer le module dans le serveur MySQL en ajoutant la plugin-load dans la section mysqld

[mysqld]
plugin-load=auth_socket=auth_socket.so

Créer votre compte mysql et assigné les permissions sur la base désirée

CREATE USER 'apache'@'localhost' IDENTIFIED WITH auth_socket;
GRANT SELECT,INSERT,UPDATE,DELETE ON mon_schema.* TO apache;

Normalement, chaque pool d’application devrait fonctionner avec son propre GUI (soit via php-fpm, ou l’utilisation du MPM ITK) donc apache devrait rouler avec un UID différent. Donc, votre application à besoin d’identifier son nom d’utilisateur, et par la suite de se connecter à la base de données.

$username = exec('whoami);
$db  = new PDO('mysql:unix_socket=/var/lib/mysql/mysql.sock', $username, '' ,array(PDO::MYSQL_ATTR_INIT_COMMAND => 'SET NAMES 'UTF8''));
$db->exec('USE mon_schema');

Et le tout sans mot de passe, cette méthode fonctionne aussi bien en console via php-cli ou via d’autres environnement comme nginx.

Haut de page