Définir le thème Mustang pour Vim dans Debian 8

Va savoir pourquoi ça voulait pas, il faut tout d’abord créer l’arborescence suivante

Dans ce fichier mustang.vim collez-y ceci

Enfin on créer son fichier de propriétés perso

Le contenu de votre fichier perso

Et voila ça roxx

 

 

BIOS pour Recalbox 4.0.0-beta1 – MàJ 14/08/2016

recalbox

Vous avez eu pour Noël un Raspberry Pi et vous y avez installé Recalbox pour pouvoir jouer a des super jeux arcade/console !

Alors tu as chopé un pack de ROMs super trop cool, tu as tout mis sur le RPi sauf que patatra ça marche pas, c’est la mierda et tu découvres qu’il faut ajouter les BIOS…

Sauf que les BIOS pour les trouver c’est pire que pour les ROMs, a moins de s’appeler Sherlock Holmes et de surfer avec 3 anti-pubs et 4 blockeurs de scripts, t’attrapes les pires merdes du monde.

Du coup ce que j’ai fait c’est que j’ai réuni l’intégralité des BIOS nécessaires pour Recalbox dans un ZIP et j’ai calé un lisezmoi.nfo qui t’explique comment faire, tu vas voir c’est très simple.

 

LetsEncrypt rapide et facile

Pour celles et ceux qui veulent faire ça rapide

Configuration utilisée :

  • Debian 7.9
  • Apache 2.2.22
  • LetsEncrypt à jour du 04/12/2015

Je suppute que :

  • vous ayez déjà téléchargé LetsEncrypt depuis le repo Github
  • vous ayez un fichier de conf de vHost par domaine déjà existant.
  • vous n’êtes pas un gros pinpin

Soit.

Allons-y Christian !!

1 – Copier le vHost actuel et le modifier

2 – Modification du vHost en prévision de ce que va nous sortir LetsEncrypt

  • Le port d’écoute pour https c’est 443 je ne vous apprend rien donc on change le port d’écoute
  • On doit activer l’engin de la mort SSLEngine
  • Et on doit mettre tout ça dans un fichier de log distinct

Grosso merdo vous devriez obtenir un fichier dans ce genre là :

Le gros bloc de CipherSuite ce sont les recommandations de SSL-Labs, rapport a HeartBleed etc.

Vous noterez le bloc qui défini les clés utilisées :

J’ai tout simplement anticipé pour la suite, étant donnée que ce sont les chemins utilisés par Let’sEncrypt pour sortir les clés.

3 – Génération des clés avec LetsEncrypt

Générons maintenant les clés en automatique, c’est tout simple

Hop Hop il se débrouille pour générer les clés tout le toutim et tadaaaaaa

On active ce vHost, on regarder si la configuration est correcte, on redémarre Apache2 pour vérifier tout ça et on test voir si le navigateur nous chie pas dans les bottes

Chez moi ça s’est déroulé sans encombre pour mes différents domaines/sites

Monitorer ProFTPd avec Munin

Pour monitorer ProFTPd il faut bidouiller un tantinet, le plugin n’étant plus très à jour.

Pré-requis, installer logtail

Première étape, télécharger les fichiers du plugin

Deuxième étape, ajouter le plugin a munin

Dans la configuration des plugins munin il faut ajouter la configuration pour proftpd

Si le plugin était à jour et maintenu on pourrait se dire c’est bon ça roule. Non ça foire pour proftpd_count et proftp_bytes

Deux raison à cela :

  1. Le chemin indiqué dans le plugin pour xferlog est erroné
  2. Le dossier plugin-state ne contient pas le fichier offset voulu par le plugin

Pour proftpd_bytes voici ce qu’il faut obtenir

Le fichier ne se créer pas de lui même on va l’aider

Pour proftpd_count voici ce qu’il faut obtenir

Le fichier ne se créer pas de lui même on va l’aider aussi

On test voir si la configuration fonctionne (pas de message d’erreur)

Voilà tout devrait fonctionner maintenant !

Compte-Rendu d’infection par CryptoWall 3.0 – 2015/04/29

—————— Infection

Jeudi matin à 8h44 est apparu sur le poste cuisine-pc.dir.lan un virus sous la forme d’une fausse mise à jour Adobe Flash Player.

Ce virus non détecté par l’Antivirus en place et à jour Trend OfficeScan, la signature étant apparu la veille selon Virus-total, utilise le mécanisme CryptoWall / CryptoLocker dans sa version 3.0

Ce virus fonctionne de la sorte :

  • Injection/Lancement d’une binaire au démarrage du poste (clés de registre situées dans HKLM\Software\Microsft\Windows\CurrentVersion\Run et HKCU\Software\Microsft\Windows\CurrentVersion\Run)
  • Ajout d’une entrée également dans le Menu Démarrer\Démarrage pour tous les utilisateurs
  • La binaire se lance et exécute plusieurs outils par le biais de commandes batch.
  • L’empreinte mémoire atteignait 17 000 à 27 000 Ko pour chaque instance.

Chaque instance lancée chiffre les fichiers situés sur le disque dur du poste client ainsi que les éventuels lecteurs réseaux, périphériques de stockage (clé USB/disque dur externe), sur lesquels l’utilisateur courant à les droits d’écriture.

Les répertoires qui ne sont pas impactés sont :

  • Windows
  • Program Files
  • Temp

Cela permet à l’ordinateur de continuer à fonctionner « normalement ».

Les types de fichiers touchés sont :

  • Images JPG/PNG : le nom du fichier reste identique, l’aperçu dans l’explorateur reste le même, le contenu est altéré et l’image illisible.
  • Documents doc/docx/xls/xlsx : le nom du fichier reste identique, le contenu est altéré et le fichier illisible
  • Même conséquence pour les fichiers PDF, ODF, MKV, AVI, MP4

Voici la liste de tous les types de fichiers concernés (source : https://blog.fortinet.com/post/cryptowall-another-ransomware-menace )

filetypes

Ne sont pas concernés les fichiers .exe/.ini/.cfg ce qui en soit est « intéressant » dans le monde professionnel car le virus n’altère pas les fichiers de configuration de logiciels installés à la racine du disque (c’est souvent le cas avec les logiciels métiers anciens).

Dans chaque dossier/sous-dossiers où se trouvaient des fichiers chiffrés par le virus sont joint 4 fichiers :

fichiersduplique

C’est le seul effet vraiment visible de ce virus puisque rien n’est détruit, tous les fichiers sont réécrits en lieu et place des existants.

La page HTML est très simple, sans fioritures et contient le même texte que l’image PNG et le fichier texte.

  • Les trois fichiers sont rédigés dans un français correct avec quelques fautes.
  • Le quatrième fichier est un raccourci vers une page internet qui permet à la personne infectée de payer une rançon afin d’obtenir la clé de déchiffrement.

prompted

Un des effets qui a alerté l’utilisateur était le ralentissement du poste client.

La charge CPU nécessaire au chiffrement des fichiers est assez importante ce qui explique la lenteur soudaine. Une analyse avec Sysinternals Process Explorer montre également une forte activité réseau pour chaque instance du virus.

Chaque instance semblait se comportait comme un client/serveur, transmettant des requêtes HTTP en UDP (de mémoire le port 3192). Après recherches l’interface de commande du virus utilise le réseau Tor pour contrôler les postes infectés, le poste infecté était probablement utilisé comme relais de commande Tor.

Mon investigation s’est arrêtée là par manque de temps, il me fallait éviter une éventuelle propagation et rétablir les services touchés.

—————— Recherches

Après recherches sur le virus en question, plusieurs autres choses sont exécutées en arrière-plan et non des moindres :

  • Suppression des sauvegardes automatiques des volumes :
    • vssadmin.exe Delete Shadows /All /Quiet

La désactivation de ce service signifie que les copies des fichiers éventuellement sauvegardées par Windows dans un point de restauration précédent sont supprimées, aucune récupération avec des logiciels spécialisés tels que Recuva ou testdisk/PhotoRec n’est possible.

  • Désactivation des notifications d’Erreur de Récupération Windows :
    • bcdedit /set {default} recoveryenabled No
    • bcdedit /set {default} bootstatuspolicy ignoreallfailures
  • Désactivation des services Centre de Sécurité, Windows Defender, Windows Update, Service de Transfert Intelligent en Arrière-Plan (BITS).

L’exploit utilisé semble être celui-ci documenté sur le blog Malware Don’t Need Coffee : http://malware.dontneedcoffee.com/2015/04/cve-2015-0359-flash-up-to-1700134-and.html

 ——————- Impact et rétablissement

impacted

Impact

Les dégâts subis suite à cette infection ont empêché le fonctionnement du self du collège pour une journée.

Ont été touchés :

  • Fichiers du lecteur réseau mappé en écriture pour le logiciel de restauration
  • Fichiers du lecteur réseau mappé en écriture pour les documents de restauration
  • Fichiers situés dans les Documents utilisateur et le Bureau
  • Fichiers situés dans la deuxième partition du disque du poste client

Le logiciel de restauration utilise une borne de contrôle d’accès biométrique + lecteur de carte associé à un distributeur de plateau commandé par le réseau. Le logiciel de communication avec la borne de contrôle étant situé sur le poste infecté, nous avons dû fonctionner en manuel pour une journée.

Tous les postes du VLAN concerné ont été déconnecté manuellement du réseau, et un scan viral lancé avec l’outil Kaspesky Removal Tool. Au final cela n’a été d’aucune efficacité puisque le virus étant juste sorti, la signature du fichier était inconnu de cet outil. Méthode à revoir.

Fort heureusement aucune infection sur les postes du VLAN concerné n’a été signalée, cela reste à confirmer.

 

Rétablissement de l’activité

Pour le rétablissement de l’activité il a fallu dans l’ordre :

  • Extraire le disque de la machine infecter et le remplacer par un autre disque
  • Installer le système d’exploitation de la machine
  • Installer le logiciel de restauration
  • Installer le logiciel de communication avec la borne de contrôle
  • Installer le logiciel de contrôle en température des chambres froides
  • Paramétrer la messagerie Outlook
  • Installer les périphériques (imprimantes)
  • Intégrer le poste au domaine et mise en place du poste

Pour le rétablissement des données, n’étaient sauvegardées de manière journalière et mensuelle que les données du logiciel de restauration + documents de restauration.

Les utilisateurs ont pour consigne de ne sauvegarder que le minimum de choses dans leur dossier utilisateur et leur bureau. Egalement les données éventuellement stockées dans la partition 2 du disque dur infecté (photos, documentation) n’ont pu être récupérées puisque non sauvegardées.

Ce manquement de sauvegardes sur les clients sera comblé par le déploiement de la solution gratuite Veeam Endpoint Backup qui permet la sauvegarde de données sur postes clients.

Grâce aux sauvegardes différentielles effectués la nuit précédente et complète en début de mois les pertes de documents ont été minimes voir nulles.

La réinstallation rapide des logiciels métiers spécifique et leur paramétrage a pu être faites facilement car le virus ignore les fichiers de configuration .ini et binaires .exe ce qui a permis de récupérer les configurations précédentes sur l’ancien disque dur et de tout relancer sans l’intervention d’un technicien spécialisé.

Au final le service a été rétabli le lendemain midi soit 24h après la constatation de l’infection. Dans notre cas c’est une durée très satisfaisante.

Attention nouvelle menace : Ransomware / Lockers

Il est déjà trop tard a ce moment là...

Il est déjà trop tard a ce moment là…

 

Se développe une nouvelle menace pour les sociétés/établissements/particuliers appelés Ransomware ou Lockers. (logiciels « rançon » si on veut traduire ça rapidement)

On connaissait déjà les virus/malwares du type « Gendarmerie » qui bloquaient un ordinateur en vous indiquant que pour obtenir le code de déverrouillage il fallait verser un montant par carte de crédit. C’était du bluff, il était assez facile pour un réparateur de vous dépatouiller d’une telle situation.

Les cyber-criminels sont passé a l’étape supérieur avec un logiciel du même type mais qui a la fâcheuse tendance de chiffrer tous vos documents (doc/xls/ppt/jpeg/mp3/etc..) , en sus il vous demandera de verser un montant avoisinant 200€ afin d’obtenir la clé de chiffrement … que vous n’obtiendrez jamais.

La grosse différence avec la première version est qu’une fois les fichiers chiffrés il est impossible de faire machine arrière, une fois infecté c’est foutu de chez foutu la seul solution sera de réinstaller votre système d’exploitation, et tant pis pour vos données !

Ce virus va également chiffrer tout ce qui pourrait se trouver connecté à votre PC : clés USB, disque dur externes, NAS, Dropbox/hubiC/SkyDrive/etc..

C’est pourquoi je rappel qu’il est important de faire des sauvegardes sur support externe régulièrement de vos documents/cours/photos + d’installer un antivirus et un antimalware, les maintenir a jour + surfer responsable !

USBKEY – Magie de Nowel – LE RETOUR DU COMEBACK !

Swiss-Army-USB,A-B-301043-13
Le tutoriel rapide pour nettoyer le pc de tata jacqueline qui fait n’importe quoi :
Si vraiment c’est trop encrassé, nettoyez avec TronRescue : http://bmrf.org/repos/tron/Tron%20v4.3.1%20(2014-12-18).exe
TronRescue sur votre clé USB de Nowel sera la seul chose utile puisque c’est le script de la mort qui fait tout !
Bonnes Vacances !

Blockulicious, une extension Firefox/Chrome pour éviter de télécharger des merdes

Salut la compagnie, j’ai découvert une extension pour Mozilla Firefox/Google Chrome qui est la véritable barrière de protection pour madame Michu contre ces « Programmes qui s’installent tout seul » qui nous mènent inévitablement à des « J’AI PU GOOGLE »

Disponible dans les markets d’extensions propre a chaque navigateur, le principe est simple : tu click malencontreusement sur un lien vers un site de merde type Softonic ou autres sources à merdes/toolbars/proxy de merde … « BLAM » auto-redirection vers une page de blocage !

Tiens, prend ça Softonic, dans tes dents !

Tiens, prend ça Softonic, dans tes dents !

C’est pas trop magique ? L’extension agit un peu comme un proxy filtrant au final, ce serait le top du top si on pouvait intégrer ça a la liste de Toulouse pour SquidGuard, la mon copain on serait bien !

A ajouter d’urgence dans vos navigateurs et ceux des vot’ famille :

Partagez cet article autour de vous, ça ne peut que faire du bien aux PC des gens !

Source : http://www.crdf.fr/product/blockulicious/

Rentrée 2014 – Tu veux un PC Portable ? tiens

Tu veux travailler, t’as pas besoin de jouer, faut que ça tourne, faut que ça tienne la route.

Compter environ 600€, en dessous c’est cheap et ça envoie pas le steak

Grosso modo les mêmes configurations pour les 3, un petit plus pour le Toshiba qui embarque un processeur Intel Core i5 donc légèrement plus puissant.

Ils font tous les trois parti de la gamme professionnelle de ces constructeurs, gage de fiabilité et de robustesse comparativement aux gammes grand publique un peu cheap en plastoc.

La configuration de ces 3 bestioles :

  • Processeur Intel Core i3-4000M (Dual-Core 2.4 GHz – cache 3 Mo) pour les 2 premiers – Intel Core i5 pour le 3eme
  • 4Go de mémoire vive
  • 500Go de disque dur pour les 3 – mention au modele Lenovo avec un disque a 7200rpm
  • 2x Ports USB3 – Lecteur carte SD
  • Sortie HDMI
  • Wifi N – Bluetooth – RJ45 Gbe – Webcam
  • Autonomie de 6 heures environ

Remplacez le disque dur par un SSD de 128Go (80€) et par la même un boitier HDD externe USB (22€)  dans lequel vous mettez votre ancien disque de PC portable, vous gagnerez en rapidité !

EDIT : Et pour les joueurs, celui-ci devrait faire l’affaire, mais rajoutez ~150€ (Core i5 – 8Go Ram – Nvidia GTX 850M) – PC portable MSI GE60 2PL-075XFR Apache http://www.ldlc.com/fiche/PB00168860.html