Shared posts

14 May 17:32

issue #38: Apache, astsu, Biscuit, Python, Puppet 4, systemd & more!

by mattias

Welcome to cron.weekly issue #38 for Sunday, July 24st, 2016.

This episode is very security minded with news on Xen, OpenSSH, Apache and others. I hope you enjoy your Sunday!

News

Spawn your shell like it’s 90s again!

This post makes use of a privilege escalation vulnerability in NetBSD by using SUID files. There’s lots of exploit code involved, but it also shows the value & dangers of SUID files on *BSD and Linux.

EC to audit Apache HTTP Server and Keepass

The European Commission is going to audit the Apache webserver and Keepass. I’m looking forward to the results and security improvements coming to both projects!

Kubernetes at Box: Microservices at Maximum Velocity

The team behind box.com has transitioned their monolithic PHP application to microservices running on containers with Kubernetes. The entire project took over 18 months and has caused immense speedups in terms of deployment and time-to-market.

Xen Security Announcement

Heads-up: on July 26th 2016 the Xen team will reveal a new security vulnerability. It’s serious enough to have major players like Linode schedule ahead-of-time maintenances to patch systems before things are revealed. The rest of us mortals have to wait until July 26th.

10 Modern Software Over-Engineering Mistakes

Some good tips when writing software, applicable to writing Ansible, Chef or Puppet modules in config management too.

Stack Exchange Outage Postmortem

This isn’t meant to highlight their downtime, but more to encourage more post mortems like this: honest, technical and valuable. The Stack Exchange platform suffered a small 30 minute outage due to a bad regex and failing healthchecks in their load balancers. A good lesson for all of us to not only monitor the state of the homepage as a healthcheck.

OpenSSH enumeration bug

Due to a timing difference between a response for an existing vs. non-existing user, an attacker can use very large passwords to find all existing users on a system by brute force.

HTTPoxy

Due to the way (Fast)CGI protocols work, by passing client-provided HTTP headers directly to the app, there is a vulnerability that can let the attacker insert a proxy of its own to sniff internal HTTP & HTTPs calls. There is a fix we as sysadmins can implement, by stripping the “PROXY” header in our webservers.

Pets vs Cattle

Technically, this isn’t news, as it’s from 2014. But it’s a nice reminder on how our industry is evolving, from “pet” servers that we assign names and cherish to “cattle” servers that we run en-masse, have no feelings for and can create/destroy at our own will in the cloud.

Linux commands “astu” and “astsu” in Mr. Robot

Mr. Robot is a TV series with one of the most accurate appearances of “hackers”. In the series, they use the commands “astu” and “astsu” at the terminal and this blogpost tries to explain what they do.

Tools & Projects

Prometheus 1.0

Prometheus is the monitoring solution in use by SoundCloud and last week, the release their first point release: 1.0. This post has some of the history and highlights the different contributions.

Engintron: nginx on cPanel

Engintron is a free extension for cPanel that introduces the Nginx proxy for static content.

Biscuit

Biscuit is a multi-region HA key-value store for your AWS infrastructure secrets.

Notepad++ 6.9.2: tail -f support

This is essentially a Windows tool, but the latest release has a remarkable feature: it can now “tail -f” a logfile or debug file when using notepad++. So if you’re on a Windows machine, notepad++ just made it slightly easier to work.

Guides & Tutorials

Docker Storage: An Introduction

A very good introduction to the Docker container image, its copy-on-write filesystem, the multiple storage drivers and mounted volumes.

Building Highly Scalable V6 Only Cloud Hosting

This article is about building a new high scalable cloud hosting solution using IPv6-only communication between commodity servers, what problems the team faced with IPv6 protocol and how they tackled them for handling more than ten millions active users.

Puppet 4 upgrade guide

The Puppet team published an updated guide to transition a Puppet 3 codebase into the Puppet 4 era.

The Hitchhiker’s Guide to Python!

An excellent guide on writing Python code: very practical with lots of examples, for both beginners and experts.

View Hardware Information Using the Command Line on Linux

A good reminder on using lscpulshw, lsusb and the likes.

A HAProxy segfault adventure

This technical in-depth article shows how the author debugged HAProxy that segfaulted inside a Docker container. Since Docker containers inherit kernel settings like Apport but may be running an “OS” like Alpine linux that doesn’t have Apport, this can get tricky.

Terraform: Cloud made easy (Part 1 of 4)

Ever wanted to try Terraform, to spin up containers and VMs? This guide has you covered: the first part is very hands-on and sets the structure of the Terraform code you’ll be writing.

systemd: masking units

There’s a fair bit of complexity and possibilities in systemd’s dependencies for service management. One way of ensuring a service is never started, even as a result of a dependency, is to “mask” them. This post makes a very clear point when and how to use that method.

Browse log files using multitail

multitail allows you to tail multiple files at once (hence the name). This post explains how it works and looks and introduces a couple of shortcuts.

24 Jul 10:06

Основатель и ключевые разработчики ownCloud создали форк проекта

Фрэнк Карличек (Frank Karlitschek), создатель облачной платформы ownCloud, который несколько недель назад, ссылаясь на моральные обязательства перед сообществом, покинул компанию ownCloud Inc, объявил о создании форка проекта. К новому проекту, который будет развиваться под именем Nextcloud, также присоединились наиболее активные ключевые разработчики ownCloud и большая часть технического персонала ownCloud Inc. Для сопровождения проекта создана новая компания Nextcloud GmbH. В ближайшее время планируется выпустить релиз NextCloud 9, который можно будет использовать в качестве прозрачной замены ownCloud 9.
01 Jan 20:38

КЛЕЩЕВОЙ ЭНЦЕФАЛИТ: МИФЫ И РЕАЛИИ

В связи с очередным весенним потеплением решил напомнить о клещах. В 2008-ом я писал о клещевых инфекциях: болезни Лайма = клещевом боррелиозе, клещевых риккетсиозах, анаплазмозах. Отдельно писал и о клещевом энцефалите. Этот пост отредактирован и дополнен с учетом новых данных.


Ixodes persulcatus (таёжный клещ) в позе поджидания — самка слева, самец справа. Фото alexchorg

Первое описание заболевания, очень напоминающего КЭ, можно обнаружить в церковных записях скандинавских стран VIII века. Впервые КЭ был описан как самостоятельное заболевание в Австрии в 1931 г. (Schneider H.,1931). Возбудитель инфекции был выделен в 1937 г. российскими учеными под руководством Л.А. Зильбера. Им оказался представитель рода флавивирусов, против которых в мире до сих пор не разработано ни одного эффективного лекарственного средства. Другие флавивирусы вызывают, например, желтую лихорадку, японский энцефалит, лихорадку Денге и лихорадку Западного Нила, которые переносятся комарами и для России являются по большей части экзотическими/завозными инфекциями.

Вирус клещевого энцефалита нейротропен, то есть поражает нервную систему. При этом страдает серое вещество головного мозга и его оболочки (менингоэнцефалит), и часто, но не всегда, вовлекается спинной мозг. Взрослые болеют тяжелее детей; у трети переболевших развиваются пожизненные неврологические последствия, часто с нарушениями психической сферы и инвалидизацией. Однако надо отметить, что заболевание развивается далеко не у всех инфицированных. Многие переносят его вообще бессимптомно.

КЭ распространен от Восточной Европы до российского Дальнего Востока и севера Японии. Поскольку многие мои читатели являются москвичами, оговорюсь, что в Москве и почти во всем Подмосковье клещевого энцефалита пока нет (редкие случаи зарегистрированы в Дмитровском и Талдомском р-нах), зато есть клещевой боррелиоз. Подробнее о зараженных регионах России читайте здесь.

Переносчиком вирусов, как и следует из названия заболевания, являются клещи, а именно собачий клещ Ixodes ricinus и таежный клещ Ixodes persulcatus. Собачий клещ переносит европейский подтип КЭ, тогда как таежный — источник более тяжелого сибирского и дальневосточного подтипов. Летальность при европейском подтипе невысока (1-2%), от сибирского подтипа погибает 2-3% заболевших, а вот на Дальнем Востоке летальность составляет уже от 20 до 25% (по некоторым годам до 40%!), что отчасти связано с селективной регистрацией только тяжелых случаев заболевания. Дальневосточный подтип может вызывать тяжелые формы и у детей и гораздо чаще европейского протекает в хронической прогрессирующей форме.

Ежегодно в мире регистрируется до 10 000 случаев КЭ (ВОЗ). В России в последние годы регистрируется около 2000 случаев КЭ. В природе основным резервуаром инфекции, помимо самих клещей, являются дикие млекопитающие, но по мере заселения Сибири и Дальнего Востока и вытеснения зверей из лесных зон деревень и пригородов прокормителями кровососов становятся всё чаще становятся люди.


Ареалы обитания собачьего и таежного клещей. Красным пунктиром отграничена территория распространения КЭ. (Lancet, 2008)

Вирус передается человеку через слюну клеща в течении нескольких минут от момента присасывания, поэтому быстрое удаление клеща ничего не гарантирует (сразу отмечу, что удалять клеща, тем не менее, надо немедленно, как только обнаружили для профилактики клещевого боррелиоза). Отмечены редкие случаи заражения человека при употреблении сырого козьего и коровьего молока от больных животных.

Клещи становятся активными, как только температура устанавливается на +6°C и выше, поэтому для этого заболевания характерна четкая сезонность. Активизируясь, перезимовавшие клещи выбираются из лесной подстилки и размещаются на травинках или низкорослых кустарниках (обычно не поднимаясь выше полуметра), где и поджидают прокормителя. В этот период главное для самки клеща напиться крови, которая необходима для развития её многочисленных яиц. Стоит оказаться рядом теплокровному животному, как он прицепляется к коже, шерсти, одежде и незаметно ползет вверх, пока не найдет укромное место — у человека обычно под одеждой, чтобы присосаться к телу. У людей таким местом чаще является спина, подмышки, пах, у диких и домащних животных — голова, шея, пах. Насытившись за 5 — 6 дней кровью, самка спадает с прокормителя на лесную подстилку, откладывает там несколько тысяч яиц и погибает.

Вирус наиболее активно реплицируется в клещах при температуре +6—25°C и влажности окружающей среды > 85%. В жарком и сухом климате вирус не "выживает". Поэтому в России пик заболеваемости приходится на конец мая — начало июля.

Сами клещи заражаются, присасываясь к больным животным, а кроме того передают вирус своему потомству трансовариально (т. е. через яйца). Клещ может переносить КЭ как во взрослом состоянии, так и на стадиях личинки и нимфы. В случае с собачьим клещом заражение чаще всего происходит от личинок и нимф; в лесу их гораздо больше, они малоразборчивы в прокормителях, а кроме того очень малы, так что их сложно обнаружить на теле до присасывания. Что касается таежного клеща, в передаче инфекции гораздо большую роль играют взрослые клещи.

Европейский КЭ протекает, как правило, в 2 фазы. Первая гриппоподобная фаза развивается через 1-2 недели после присасывания клеща и длится подобно гриппу около недели. А вот через несколько дней наступает вторая фаза с поражением головного мозга (от легкого менингита до тяжелого энцефалита со спинальным параличом).

Дальневосточный КЭ начинается остро с лихорадки, головной боли, кишечных расстройств, за которыми может быстро последовать нарушение чувствительности, кома, судороги и паралич. Смерть может наступить через неделю.


Насосавшаяся крови самка увеличивается до размеров фасолины.

ДИАГНОСТИКА

Сдавать кровь сразу после присасывания клеща бессмысленно — анализы ничего не покажут. Кровь на клещевой энцефалит имеет смысл исследовать не ранее чем через 10 дней после укуса. Самая ранняя диагностика возможна методом ПЦР, а через две недели после укуса клеща можно исследовать кровь и на антитела к вирусу клещевого энцефалита. Антитела ищут серологическими тестами. У больного с уже развившейся неврологической симптоматикой обнаруживаются острофазные TBEV-IgM, как правило, вместе с TBEV-IgG. На МРТ головного мозга примерно у 20% острых больных определяется отек базальных ганглиев, талямуса и ствола, но сама по себе МРТ диагноза не установит.

ЛЕЧЕНИЕ

Как я уже отметил, специфического лечения против флавивирусов не существует. Острые формы лечат только симптоматически. В России часто применяют кортикостероиды, хотя их эффективность при этом заболевании не подтверждена никакими исследованиями (ссылка).

ПРОФИЛАКТИКА

Специфического лечения нет, зато разработаны очень эффективные вакцины! В последние годы заболевание практически не регистрируется в Австрии, где привиты более 86% населения. Вообще австрийцы стали применять свою вакцину ФСМЕ-ИММУН® с 1976 г. Ее эффективность достигает 95% (ссылка). С 1991 г. применяется не менее качественная вакцина Энцепур®, разработанная в Германии. Кроме зарубежных вакцин у нас применяются и две отечественные — вакцина ФГУП им. М. П. Чумакова и вакцина «ЭнцеВир». Правда, время от времени отдельные партии «ЭнцеВира» отзывались из обращения в связи с превышением допустимого уровня побочных реакций, что возможно связано с ненадлежащей очисткой препарата (брак). Специальная комиссия, как у нас водится, не обнаруживала технологических погрешностей на заводе, однако факт случавшихся групповых побочек остается фактом. Надеюсь, производители сделали выводы из этих скандалов и нынче поставляют качественную вакцину (подробнее читайте Письмо Роспотребнадзора от 07.05.2010 N 01/7060-10-32 "О приостановлении иммунизации детей вакциной «ЭнцеВир»" и см. ссылку)

Вакцину прививают по основной и экстренной схемам:

Основная схема: 0, 1-2, 9-12 месяцев для Энцепура® и 0, 1-3, 5-12 месяцев для ФСМЕ-ИММУН®. Выполняется с последующей ревакцинацией каждые 3-5 лет. Чтобы сформировать иммунитет к началу эпидсезона, первую дозу вводят осенью, вторую зимой.

Экстренная схема: три укола (0, 7, 21 день) для Энцепура® и два укола (0, 14 день) для ФСМЕ-ИММУН®. Экстренная схема применяется для невакцинированных лиц, приезжающих в эндемичные очаги весной-летом. Экстренно провакцинированные лица приобретают иммунитет только на один сезон (он развивается через 2-3 недели), через 9-12 месяцев им ставится бустерный укол, затем опять же ревакцинация каждые 3-5 лет. Все зарегистрированные у нас вакцины взаимозаменяемы в прививочных схемах.

Детям: детские формы — ФСМЕ-ИММУН Джуниор® и Энцепур детский® — можно вводить с 1-ого года жизни; российские вакцины — с 3 лет.

В России при обнаружении присосавшегося клеща невакцинированным лицам вводят внутримышечно специальный иммуноглобулин (= гамма-глобулин), т. е. готовые антитела к вирусу, в дозе от 1,5 до 3 мл в зависимости от возраста. Спустя 10 дней повторно вводят 6 мл. Хотя сама по себе профилактика иммуноглобулином кажется теоретически обоснованной, в Европе она не рекомендуется. Дело в том, что до сих пор не получены данные об эффективности этого метода и не всё понятно с повторным введением препарата. Кроме того, существуют обоснованные опасения, что введение иммуноглобулина может спровоцировать обострение заболевания (ссылки здесь, здесь и здесь).

Так что, как ни крути, лучше привиться!

Не покупайтесь на преступную рекламу неэффективных средств типа Йодантипирина, с которой мне нередко приходится сталкиваться в России, особенно в Новосибирске и Томске — родине этого фуфломицина (подробнее ругался здесь). Совершенно неэффективен Анаферон (деятелей, назначающих его для профилактики КЭ, следует поганой метлой гнать из врачебной практики). Клещевой энцефалит — потенциально смертельное заболевание, так что не стоит с ним шутить!

Неспецифическая профилактика предусматривает меры, препятствующие присасыванию клеща. Напоминаю основные правила:

1) В клещевой сезон старайтесь не посещать без необходимости места наибольшего скопления клещей (лесные биотопы с высокой травой, кустарником). В походах следует держаться троп.  Для выбора места отдыха, стоянки или ночевки в лесу предпочтительны сухие сосновые леса с песчаной почвой или участки, лишенные травянистой растительности, где клещи встречаются крайне редко.

2) Используйте репелленты с ДЭТА не менее 25 — 30% (менее концентрированные не особо эффективны) или средства с акарицидными пиретроидами (перметрином и альфа-перметрином) типа Гардекс экстрим®, которые парализуют лапки клеща. Существуют и очень эффективные комбинированные акарицидно-репеллентные средства, содержащие ДЭТА и пиретроид одновременно. Распыляйте такие средства не только на открытые участки тела, но и на обувь и одежду. Особенно густо обработайте места, где клещ может перебраться с одежды на тело (лодыжки, пояс).

3) Выходя в лес, одевайтесь правильно! Надевайте светлую одежду, на которой легко заметить кровососа. Так называемые энцефалитки цвета хаки без акарицидной пропитки совершенно не годятся. Заправьте штанины в носки, опустите рукава, спрячьте волосы под головной убор, лучше под пришитый капюшон. В последние годы в продаже появились и специальные костюмы типа «Биостоп», с нашитыми трикотажными препятствиями-ловушками и с тканевой пропиткой синтетическими пиретроидами, сохраняющей противоклещевой эффект до 50 стирок. Такие костюмы можно рекомендовать людям, работающим в лесу, а также охотникам, грибникам и другим любителям лесных прогулок.

4) Регулярно осматривайте свою одежду и одежду спутников в лесу. Помните, что очень важно своевременно снять клеща с одежды или кожи, пока тот не присосался. Для трети заболевших присасывание клеща остается незамеченным, особенно если переносчикам была личинка (нимфа).

5) По возвращении домой тщательно осмотрите тело. Поскольку некоторые участки тела недоступны самоосмотру, следует прибегнуть к помощи близких для осмотра спины и волосистой части головы.

6) Поскольку личиночные формы клещей очень мелки, их можно не заметить на одежде. Во избежание их присасывания в доме одежду следует простирать в горячей воде.

7) При обнаружении присосавшегося клеща, его следует немедленно удалить! Удалять клеща можно клещедёром, маникюрным пинцетом или нитью, обвязав её вокруг головы паразита. На практике не глубоко присосавшегося клеща легко удалить просто ногтями, ухватив его в районе головы как можно ближе к коже. Клещ удаляется раскачивающе-выкручивающими движениями. При этом не допускайте раздавливания клеща! После удаления ранку можно обработать любым дезинфицирующим раствором (хлоргексидин, раствор йода, спирт, и т. п.). Если в ранке остался ротовой аппарат клеща, не беда — удалите его как занозу. Совершенно бесполезно смазывать клеща маслом или чем-то еще в надежде перекрыть кровососу кислород: имеющегося воздуха в разветвленных трахеях клещу хватит на долгое время. Не надо идти для снятия клеща в поликлинику! Чем раньше клещ удален, тем меньше вероятность подхватить инфекцию. Удаленного клеща рекомендуется сдать живым в лабораторию вашей инфекционной больницы для исследования его методом ПЦР на КЭ и клещевой боррелиоз (правда, такие лаборатории есть только в крупных городах — их перечень с адресами здесь).

ПОМНИТЕ: если в течение месяца после присасывания клеща вы почувствовали резкое изменение в самочувствии, отметили повышение температуры или увеличивающееся красное пятно — необходимо незамедлительно обратиться к врачу!


12 Mar 20:50

Выпуск Vagrant 1.5, инструментария для создания виртуальных окружений

Представлен релиз Vagrant 1.5, инструментария для упрощения формирования, установки и управления образами виртуальных машин при разработке и тестировании проектов с использованием различных систем виртуализации. В базовой поставке проект предоставляет средства интеграции с VirtualBox, но через подключение плагинов позволяет использоваться и другие платформы виртулизации (VMware, AWS и т.д.). Код проекта распространяется под лицензией MIT.