Seraphyn Blog

Art of Information Security - Random Insights on Protecting Data, Privacy, and Digital Infrastructure
Kevin Flanagan and I delivered a presentation on Cryptography at this year’s RSA 2010. Now, doing a cryptography presentation at RSA is a bit like putting a target on yourself that says “please shoot me down!”. Well, the presentation was very well received, and the RSA conference folks have asked Kevin and I to do a encore presentation via Webcast. A few quick facts:

This is not your math teacher’s Cryptography presentation !
The core of this presentation is about discussing the various points in an application where a cryptographic control, primarily encryption, can be applied. Kevin and I walk through an expanded version of the 3-tier application architecture. We go beyond discussing the encryption controls available to the web server, application server, and database backends, to expand our scope to include the PC, storage, backup, and file systems. At each point we will discuss the kinds of controls that can be applied, the risks that those controls help manage, and risks which are ofttimes overlooked and remain.

This presentation is more focused than the RSA Version from March.
In our presentation in March we tried to also include an introduction to Key Management. This proved to be too much to bite off, so we have pruned that material from the presentation that is planned for the Webcast. Kevin and I may be submitting a presentation proposal for RSA 2011, 100% dedicated to Key Management. (Feedback on that idea would be of great value… Feel free to comment below.)

In fact, I am always interested in feedback from readers of AoIS. So, if you tune in the the WebCase, please drop me a note. I personally find web and teleconference presentations much more difficult than in the in-person kind…

When and Where ?
The Webcast in this Wed (June 23, 2010) at 1:00 PM EST, 10:00 AM PST, 5:00 PM GMT.
Here is a link to the registration: Webcast: Cryptography: Issues and Insight from Practical Implementations
Cheers, Erik

Ich dachte mir, Mensch, wer hat denn schon wieder meinen seit 15 Jahren im Netz benutzten Nick gereggt, war ich das?
Somit habe ich einfach meinen Nick eingegeben und war entsetzt, dass mir einfach mal eine fremde Emailadresse ohne weitere Abfrage, oder sonstiges in die Hand gedrückt wird. Und jene ist .definitiv. nicht meine
Somit sollte jeder mal lieber von Gravatar die Finger lassen, denn wenn schon so Datenschutz anfängt, dann will ich nicht wissen, wie tief das Wasser noch ist.
Schöne neue Web2.0-Welt...

CIITIX-WiFi 1.0 soll eine debianbasierende Distribution sein, mit welcher sich ein WLAN-Hotspot ziemlich einfach aufsetzen lassen soll.
Sprich Radius, Apache etc inkl Billing sind vorhanden und das ganze kann als LiveCD genutzt, sowohl als auch installiert werden.
Ich habe die Hoffnung, dass die auf Lenny basierende Distribution mir wirklich etwas Arbeit abnimmt, welche ich normalerweise habe. Wenn ich das System durchgekaut und nach meinem Sicherheitsgusto malträtierte, sehe ich im Grunde eine gute Zukunft für jenes System als Firewall. Definitiv ist, dass man da noch einiges an Hand anlegen sollte/muss und ich werde, nur bei Gefallen der Distribution, eine Anleitung schreiben, wie man dieses System weiter ausbaut. Sprich squid, psa, fwsnort, eigener gehärteter Kernel etc. = was in eine private Firewall alles zu einem Selbstschutz gehört. BTW ein WM inkl Forefox gehört IMHO nicht dazu;)

As mentioned it has been customized (patched with ssl support). For ease of management through GUI, a light weight Joe's Windows Manager (JWM) has been setup onto which, ice-weasel has been added for GUI based configuration of "Access Points" (NAS devices) & the users. The distribution is a light weight (~340 MB) live-CD coupled with installation support onto persistent media.

Und nun die obligatorischen Screenshots :) und der Torrent

Wer kennt es nicht, man macht ein Update auf seiner Maschine, alles stimmt und rkhunter ist nach dem Update der Meinung, dass ist doch alles Falsch nun.
In diesem Moment sollte man am besten vor dem Update einen Systemcheck durführen ( Händisch, da rkhunter hdparm, /dev/.udev, /dev/.initramfs, /dev/.mdadm.map und portsentry moniert und aptitude nicht weiterläuft, als Bsp. rkhunter -c --cs2 --rwo --sk -X ) und nach dem Update. Schaut nach einer ganz schönen Arbeit aus, nur um seine Maschine einem Update zu unterziehen.
Da springt natürlich für uns eine Funktion ein, welche bei Debian scheinbar nicht vielen bekannt ist und einen mächtigen Syntax besitzt.
Aptitudes und das darunterliegende apt könne konfiguriert werden und zwar über die Datei: /etc/apt/apt.conf.d/70debconf
Wenn man sich die Datei einmal anschaut:
ist in dem Moment noch nicht viel vorhanden, aber das möchten wir ändern.
Ich setze ein Befehl ein, welcher vor dem Update ausgeführt werden und danach.

Macht ein Update der neu installierten Files, bzw der kompletten Datenbank von rkhunter um die False/Positives auszumerzen, sonst bekommt man bei dem nächsten Cronjob sehr viele Fehlermeldungen um die Ohren gehauen. Lustig wird dies vor allem, wenn die coreutils einem Update unterzogen werden ( Einmal ein dpkg -L coreutils und man weiss was ich meine).
Wenn nun ein aptitude update angeschlagen wird, passiert noch nichts.
Nach dem Installieren der Dateien (aptitude safe-upgrade) wird die Datenbank von rkhunter einem Update unterzogen und alle sind Glücklich.
Dieser Tipp dient nicht dem absolutem Schutz vor einem Rootkit und es sollte nicht nur rkhunter lokal ausgeührt werden, sondern auch mal mit einer LiveCD. Wer rkhunter nutzt, sollte sich wirklich mit dem Programm auseinandersetzen und sich im Klaren darüber sein, dass Sicherheit ein laufender Prozess ist und vereinzelte Programme nicht den Menschen ersetzen.
Denn der Computer rechnet vor allem damit, dass der Mensch denkt

Serendipity 1.5.3 has been released, as a security-fix release with no other relevant changes.

A security issue has been discovered by Stefan Esser during the course of the Month of PHP Security. This issue was found in the WYSIWYG-Library Xinha (that Serendipity uses), and affects certain plugins to Xinha (Linker, ImageManager, ExtendedFileManager, InsertSnippet) which can use a dynamic configuration loader. This loader allows to upload file with arbitrary PHP-Code and thus allows remote code execution, even when not logged in to the Xinha/Serendipity backend.

Due to the seriousness of this bug, we urge everyone to upgrade their installations. People who don't want the hassle of a full upgrade and are not using the mentioned Xinha-plugins actively, can simply delete the file htmlarea/contrib/php-xinha.php, which will render the mentioned plugins and exploits useless.

Thanks to Stefan Esser for reporting this issue to us, and making a quick bugfix possible.

Ich liebe meine Firewall. Wirklich ich mache das, sie ist immer weiter gewachsen, Gut dokumentiert und im Gegensatz zu anderen Produkten vertraue ich Ihr Voll und Ganz. Dies liegt nicht an den anderen Produkten, ich meine es gibt viele Firewalls, welche wirklich für mich, auch von der Evaluation her, eine super Sache sind, vor allem wenn man nur Grundkenntnisse besitzt und mehr möchte als ein ISP-Router bietet. Für mich ist dies leider nichts, da ich so eine Distribution, sei es ein *BSD/oder Linux, erst einmal ReverseEngineere um zu Wissen wie sie funktionieren und dann ist auch nicht das vorhanden, welches ich vielleicht möchte und durch massive Abänderung ist es dann nicht mehr das Original und somit kann ich es gleich selbst machen.
Also 0mypfw.deveth.hq  filtert mir Werbung mit automatischen Shalla-List updates und natürlich Squid und SquidGuard, nutzt Snort-Regeln mit positives to iptables, cached deb-Files für 40 Tage, hostapd und und und. Das ganze hat ein RAID und begnügt sich mit netten 768MB RAM, wovon in maximalen Fall 500ebbes mal genutzt wurden. Auch werde ich per Mail über Angriffe, Hitzeprobleme, Updates, usw informiert. Alles erkläre ich nicht, der geneigte Leser weiß warum;)
Somit, mypfw ( War ein kleiner Witz für mich der $HOSTNAME bedeutet My personal firewall *g*) und ich haben einen mehr als tollen Kommunikationsfluss und ist auch nicht gerade wenig frequentiert bei einem 1 Familienhaus mit 5 surfenden Mitgliedern.
So, dies als vorhergehende Erklärung, kommen wir nun zu der Zensur durch/über die Firewall.

Es ist klar, dass ich zensiere. Sei es die Werbung, bestimmte Seiten mit nicht positiven Inhalten, oder auch das blocken von bestimmten Dateiendungen. Sprich Domains werden vorgefiltert, welches jedem schon durch die Werbung klar ist. Hier habe ich eine gewollte Zensur.
Die ungewollte Zensur ist, wenn ich einen vermeintlichen Angreifer blocke, bei mir befindet sich nur freenode auf der Whitelist, damit ich diese nette Mail nicht mehr bekomme:
--------- SCHNIPP ---------
Scanned TCP ports: [40-65506: 163 packets]
TCP flags: [SYN: 163 packets, Nmap: -sT or -sS]
iptables chain: INPUT (prefix "Firewall BlockFw -- DENY"), 163 packets
Source: 85.190.0.3
DNS: proxyscan.freenode.net
MAC: 00:30:b8:ca:69:31
OS guess: Linux (2.4.x kernel)
Destination: XXXXXXXXXXXXXXXXXXXX
DNS: XXXXXXXXXXXXXXX
MAC: XXXXXXXXXXXXXXX
Overall scan start: Tue Apr 20 19:32:37 2010
Total email alerts: 1
Complete TCP range: [40-65506]
Syslog hostname: mpfw
Global stats: chain:   interface:   TCP:   UDP:   ICMP:
INPUT    eth0         163    0      0
[+] TCP scan signatures:
"BACKDOOR GateCrasher Connection attempt"
dst port:  6969 (no server bound to local port)
flags:     SYN
sid:       147
chain:     INPUT
packets:   1
classtype: misc-activity
usw und sofort
--------- SCHNIPP ---------
Einer der vielen kleinen Dienste, welche dort laufen, psad mit fwsnort, aber wie gesagt, nicht der einzige.
Was mir klar ist, dass viele Angreifer aus bestimmten Ländern kommen und ich nun mit Hilfe von GeoIP und einem neukompilierten iptables diese Länder sperren könnte, ein reject ist da die nette Art und nicht ein drop btw.
Nun stelle ich mir die Frage, ist dies Fair?
Ich bin für ein freies Netz und gegen eine Zensur, wo ich natürlich schon für die Zensur von bestimmten Inhalten und Ihrer drakonischen Bestrafung der Täter bin, dies ist aber nicht das Thema gerade. Wenn ich mich nun hinsetze und genau diese Funktion mit in meine Firewall setze befinde ich mich meiner Meinung nach auf einer Ebene, auf welcher ich mich definitiv nicht befinden möchte/will. Ich watsche ein Land mit meiner Firewall ab, nur weil sich dort ein paar Idioten befinden. Auch stellt sich in dem Moment die Frage, ist die IP wirklich die Echte, oder haben wir hier einen netten Fall von Spoofing. Eine Idee, welche ich Gestern mit sqall besprach, ist die Kunst eines Gegenangriffes bzw die Rückleitung des Verkehrs zu dem Angreifer. Nur auch hier haben wir das Problem eines IP-Spoofing und ich mache mich in dem Moment strafbar, weil ich einen Host angreife, welcher nicht wirklich der Angreifer ist. Meine Antwort darauf ist im Grunde mal wieder ein HoneyNet, nur verursacht ein kleines Honigtöpfchen mir die Kosten (Strom/HW/Audit/etc.) und dies Alles nur damit ein Scriptkiddie spielen kann?
Stellt sich langsam die Frage und dies nicht nur mir, wie sollen wir auf Länder reagieren, welche in diesem Zuge sich nicht wirklich bemühen, dass dies nicht geschieht? Mir kann keiner mit einer Aussage kommen, dass diese Länder es nicht nicht mitbekommen. Ich nehme als Beispiel China, weil jeder Person dort die Zensur durch die Medien wirklich klar ist. China zensiert, China schaut sich den Netzwerkverkehr wirklich sehr stark an und ich muss schon zuegeben, dass ich auf die Hardware neidisch bin;) Nun, wenn China wirklich den ganzen Netzwerkverkehr in Realzeit observiert und ich gehe nun nicht auf die Netzwerkschichten ein, wie kann es sein, dass aus diesem Land so viel Spam und Angriffe kommen. Vor allem Angriffe auf die IP-Ranges welche von einem ISP für das Kundensubnetting(simpel ausgedrückt) benutzt wird. Auch das werkeln an BGP kommt aus diesem Land verstärkt vor und natürlich haben die Überwacher dies nicht mitbekommen.  Soll ich mich nun hinstellen und wirklich das ganze Land abwatschen? Natürlich kann ich noch Seiten aus diesem Land abrufen und die Daten kommen auch bei mir an, wer sich mit iptables auskennt weiss wie. Nur im Grunde müsste ich dies doch mit allen Ländern machen, ich bekomme ja auch Angriffe aus dem SubNet meines ISP, anderen ISPs in Deutschland, aus Europa, aus Nordamerika etc etc etc.
Wo ist denn da genau Seraphyns Problem, er filtert mit GeoIP einfach nur vor, aber er hat ein freies Netz, ist doch eine tolle Erweiterung seiner heissgeliebten Firewall?
Eigentlich ist jeder Verkehr, welcher nicht von mir ausgeht und ankommt schon einmal Falsch, außer ich habe ein forwarding. Somit ist GeoIP in dem Punkt obsolet. Ich könnte mir das Mail senden sparen bei Angriffen, nur hilft es mir nicht Securityfehler oder Angriffe aufzudecken. Für mich fängt genau das Problem damit an, dass ich mich hinsetze und ein Land als Security-Enemy einsetze. Mein neuer Klassenfeind wird erschaffen. Im Moment pushen wir in der Realität schon China als neuen "Wir-brauchen-für-den-kalten-Krieg-ähnlichen-Zustand-ein-neues-Russland-Amerika-bla-bla" hoch und viele im Netz nutzen schon GeoIP und blocken gerade mal China und schreiben auch Anleitungen dazu.
Terrorismusparanoia, damn, der Chinese kommt, es ist nicht nur Einer, Millionen, Milliarden,Fantastilliarden... wir werden alle gehaaaaaackt!!!!
So etwas frisst sich für mich schon meiner Meinung nach durch die Fontanelle und wird nett in das Unterbewusstsein geparsed. Ich kann es mir nicht anders erklären, sonst hätte ich die Woche nicht die Frage eines iPhone-Besitzers nach einer Firewall gehabt mit welcher man China blocken kann, weil damit kann man ja surfen.
Ich denke nun versteht man die Überschrift und die Antwort habe ich dazu auch gegeben. Ich werde ein Land nicht komplett rejecten und wehre mich auch gegen einen Schubladenlapsus gegen Länder, Menschen, oder deren Kultur. Ich möchte dies auch nicht mir gegenüber, somit, ich wünsche weiterhin viel Spaß beim Angreifen, nur lasst mir etwas mehr Bandbreite übrig, denn einen QoS für Angriffe ist mir leider, vielleicht noch nicht, möglich.
Vielleicht liege ich ja mit diesem Denken falsch und habe GeoIP nicht wirklich verstanden, doch ich sehe GeoIP in anderen Dingen als ein gutes Werkzeug an, nur in dem Punkt, ich bin von meiner Meinung nicht dafür und lasse mich aber auch gerne eines anderen belehren...

• es würde bescheiden für uns aussehen, wenn da was nicht wirklich funzt


• es funktioniert nur mit den ActiveX-Freunden


• wir bauen unsere Verkaufsmaßnahmen so aus, das Sie kaufen müssen, nur haben wir da nichts im Angebot

Oder wie soll ich nun das ganze verstehen:

Dabei wollte ich nur meine neu überarbeite Firewall mal von versch. Anbietern eines freien Scans einem Scan unterziehen lassen... ¿Hablas UniX/LinuX

Linux-Magazin.de: Buchverlosung zum Welttag gegen Internetzensur
Die Organisation Reporter ohne Grenzen macht am Freitag, 12. März, auf die zunehmende Internetzensur und Repressionen gegen Blogger und Internetnutzer aufmerksam. Aus diesem Anlass gibt es bei Linux-Magazin Online Bücher über Anonymisierung und Twittern zu gewinnen.

An diesem Tag wird Reporter ohne Grenzen wie auch in den Vorjahren eine Liste mit dem Titel "Feinde des Internet" veröffentlichen, auf der sich Staaten wie Iran, China, Saudi-Arabien, Vietnam und Tunesien finden, die den Online-Zugang beschränken.

Die Initiatoren haben für den Aktionstag eine Kampagnen-Seite eingerichtet, auf der Banner zur Aktion in mehreren Formaten zu finden sind. Wer die Kampagne unterstützen möchte, bringt Banner und Link auf seiner Seite an oder schreibt einen Beitrag über Internetzensur.

PSSSSSSSSSSTTTTTTTTTTTTTTTTTTTT... weitersagen;)

Ich bin ja lange nicht mehr Bus gefahren. In die Arbeit nimmt mich meine Partnerin mit, denn ich bin nicht weit von meiner Arbeit entfernt und sie mit dem Bus in die Arbeit zu schicken würde ich als Frechheit empfinden.
Somit, kein Auto und mal wieder öffentliche Verkehrsmittel. Scheinbar war ich zu lange nicht mehr in einem öffentlichen Verkehrsmittel, den als ich dort stand und meine 4 Stationen fuhr ( sind immerhin 12KM) fiel mein Blick nach oben an die Decke und ich traute meinen Augen nicht:
Kameras in Bussen und nicht nur eine, sondern alle 50cm, fernsteuerbar...


Vielleicht für manche ein alter Hut, nur für mich entschieden Neu und vor allem an der Eingangstür wird nicht darauf hingewiesen und auch der Fahrer hat keinen Bildschirm bei sich. Empfinde ich als Heftig, ganz offen gesagt

Die Meldung zur 24ten Ausgabe von (IN)secure erreichte mich eben per Mail.



Als Aufmacher gibt es in dieser Ausgabe folgende Themen:

• Writing a secure SOAP client with PHP: Field report from a real-world project
• How virtualized browsing shields against web-based attacks
• Review: 1Password 3
• Preparing a strategy for application vulnerability detection
• Threats 2.0: A glimpse into the near future
• Preventing malicious documents from compromising Windows machines
• Balancing productivity and security in a mixed environment
• AES and 3DES comparison analysis
• OSSEC: An introduction to open source log and event management
• Secure and differentiated access in enterprise wireless networks

Somit wieder ein wenig mehr Wissen, welches man sich aneignen sollte.
Der Download befindet sich wie immer auf http://www.net-security.org/insecuremag.php

Und im Grunde ist er doch so richtig schön, dieser SPAM:

X-policyd-weight: NOT_IN_SBL_XBL_SPAMHAUS=-1.5 NOT_IN_SPAMCOP=-1.5 NOT_IN_BL_NJABL=-1.5 DSBL_ORG=SKIP(0) CL_IP_EQ_HELO_MX=-3.1 (check from: .packstation. -
helo: .s15348457.onlinehome-server. - helo-domain: .onlinehome-server.) FROM/MX_MATCHES_NOT_HELO(DOMAIN)=1; rate: -6.6
To: XXXXX@XXXXXXX
Subject: PACKSTATION Systemupdate
From: DHL AG


[-- Automatische Anzeige mittels /usr/bin/links -dump ''/tmp/mutt.html'' --]
Sehr geehrte(r) Christian Grube. Da wir in den letzten Wochen unser
Serversystem auf den neusten Stand gebracht haben, bitten wir Sie, aktiv
bei unserem umfassenden Systemcheck mitzuwirken. Dieser dient dazu,
eventuelle Fehler zu beseitigen. Wir bitten Sie daher darum, sich auf der
DHL-Seite einzuloggen um Ihre PACKSTATION-Daten zu u:berpru:fen.
http://PACKSTATI0N.6x.to/index.php?id=7f85b1b32aa9836 Schla:gt der
Loginversuch fehl, bitten wir Sie, sich unter folgender Nummer zu melden:
0800 343 435 36 (0 ct/Min*) Viel Spass weiterhin mit Ihrer PACKSTATION
wu:nscht Ihnen Ihr PACKSTATION Team *) Aus dem deutschen Festnetz
----------------------------------------------------------- DHL Vertriebs
GmbH Co. OHG Rathausplatz 1 10234 Berlin

Spamhaus hat den scheinbar nicht mitbekommen, da bei pfeifen es die Spatzen vom Dach

Und im Grunde ist er doch so richtig schön, dieser SPAM:

X-policyd-weight: NOT_IN_SBL_XBL_SPAMHAUS=-1.5 NOT_IN_SPAMCOP=-1.5 NOT_IN_BL_NJABL=-1.5 DSBL_ORG=SKIP(0) CL_IP_EQ_HELO_MX=-3.1 (check from: .packstation. -
helo: .s15348457.onlinehome-server. - helo-domain: .onlinehome-server.) FROM/MX_MATCHES_NOT_HELO(DOMAIN)=1; rate: -6.6
To: XXXXX@XXXXXXX
Subject: PACKSTATION Systemupdate
From: DHL AG


[-- Automatische Anzeige mittels /usr/bin/links -dump ''/tmp/mutt.html'' --]
Sehr geehrte(r) Christian Grube. Da wir in den letzten Wochen unser
Serversystem auf den neusten Stand gebracht haben, bitten wir Sie, aktiv
bei unserem umfassenden Systemcheck mitzuwirken. Dieser dient dazu,
eventuelle Fehler zu beseitigen. Wir bitten Sie daher darum, sich auf der
DHL-Seite einzuloggen um Ihre PACKSTATION-Daten zu u:berpru:fen.
http://PACKSTATI0N.6x.to/index.php?id=7f85b1b32aa9836 Schla:gt der
Loginversuch fehl, bitten wir Sie, sich unter folgender Nummer zu melden:
0800 343 435 36 (0 ct/Min*) Viel Spass weiterhin mit Ihrer PACKSTATION
wu:nscht Ihnen Ihr PACKSTATION Team *) Aus dem deutschen Festnetz
----------------------------------------------------------- DHL Vertriebs
GmbH Co. OHG Rathausplatz 1 10234 Berlin

Spamhaus hat den scheinbar nicht mitbekommen, da bei pfeifen es die Spatzen vom Dach

Adeona, an sich ein guter Service und ein kleines Rad in einem laufenden Prozess genannt Sicherheit.
Nur, wer sich wirklich einmal Gedanken macht und die weitere Sicherheit seines Laptops gut geplant hat, wird wohl oder übel auch die komplette Festplatte verschlüsselt haben, davon gehe ich aus.
Sei es nur mit einem Passwort, oder wie es sich gehört, auch zusätzlich gleich mit einem USB-Stick, ohne diesen zusätzlich Part zu dem Passwort bleibt die HD verschlüsselt.
Ergo, der Dienst wird nicht gestartet, weil die HD nicht entschlüsselt wurde und die Maschine wird somit von dem "freundlichen" neuen Besitzer ( Nicht wirklich der Eigentümer, da gibt es Unterschiede ) mit seinem Betriebssystem der Wahl bespielt. Wenn er nun noch so Klug ist und die MAC der NICs ändert, ist die Suche nicht mehr sehr einfach. Lassen wir mal die Seriennummer außer acht, ich will ja keine Anleitung dafür geben;)
Wenn schon das ganze System nicht verschlüsselt wurde, der Dieb nun wirklich das Gerät startet, dann kann man auf Netzwerkkommunikation, sprich Anschluss an das WAN hoffen.
//ironie Vielleicht hat man ja UMTS und einen GPS-Sender eingebaut //ironie
Wie ich schon sagte, in dem Sinne keine schlechte Idee, wenn es an einem Ende laggt, nur kann wirklich auf einen dummen Dieb hoffen und nicht auf einen klugen, wobei, wer Klug ist klaut keinen Laptop. Denn sowas macht man einfach nicht.
Laptopdiebstahl wird bei mir nicht unter 42 Stunden Windows Vista mit Tokyo Hotel geahndet;)

Es wurde auch endlich mal Zeit, dass ein "böses" Debianpaket aufschlägt und ich hatte es schon früher erwartet. Nicht nur ich, auch andere Debianer warteten auf den Moment bei welchen es richtig los geht. Dieser Moment ist nun gekommen und eine Aussage, welche ich immer in die Welt hinausposaune ist jene:

- Installiere nur Pakete aus Quellen, welche Dir bekannt sind.
- Sind Dir die Quellen nicht bekannt, nimm den Quellcode sichte Ihn und baue selber eines.
- Kannst Du jenes nicht, warte bis das Paket Deine Distributionsserver erreicht, ist dem nicht so, schlage das Paket vor.
- Nimmt sich keiner des Paketes an, lerne Debianpakete zu bauen.

Scheinbar ist dies eine Situation, welchen nicht Allen Linuxnutzern bekannt ist und jene scheinen sich darauf zu verlassen, Linux sei Sicher. Dem ist nicht so, es ist vielleicht sicherer, aber nicht sicher per se. Wird es auch niemals¹. Nur im Gegensatz zu Windows, kann man mit einem unixoiden System einiges mehr anrichten, als mit einem Windows, welches von Haus aus nicht so massive Werkzeuge mit sich bringt, wie ein Unix/Linux.
Zum Glück, das ist es wirklich, hat sich der kleine Scripthippie nicht auf eine sehr böse Sache spezialisiert, sondern er haut einfach ein "paar" Pings auf eine Domain. Ich erinnere nochmals daran, dass man ein Paket mit Rechten des Benutzers root installiert. Stellt sich die Frage, was wäre, wenn er etwas mehr in die Trickkiste gegriffen hätte und sich die Maschinen wirklich unter den Nagel reißen würde. Remote. Eine Firewall dazwischen ist nicht wirklich das Problem, denn Outbound ist immer etwas erlaubt. Man muss es nur versuchen. Eine Anleitung dazu gebe ich nicht.
Also, Pakete nur aus bekannten Quellen installieren.

¹ Software, von Menschen geschrieben, wird immer einigen Fehlern unterliegen. Ich meine wir sind Menschen. Ich denke, dass muss ich nicht weiter ausbreiten.

• Wer gerne vor dem Login per SSH eine Anzeige für die Benutzer haben möchte schreibt dies in die Datei /etc/issue.net.
  Nicht vergessen auch Banner /etc/issue.net in der Datei /etc/ssh/sshd_config anzugeben.
  Als Beispiel:

  
  ***************************************************************************
  NOTICE TO USERS
  
  
  This computer system is the private property of its owner, whether
  individual, corporate or government. It is for authorized use only.
  Users (authorized or unauthorized) have no explicit or implicit
  expectation of privacy.
  
  Any or all uses of this system and all files on this system may be
  intercepted, monitored, recorded, copied, audited, inspected, and
  disclosed to your employer, to authorized site, government, and law
  enforcement personnel, as well as authorized officials of government
  agencies, both domestic and foreign.
  
  By using this system, the user consents to such interception, monitoring,
  recording, copying, auditing, inspection, and disclosure at the
  discretion of such personnel or officials. Unauthorized or improper use
  of this system may result in civil and criminal penalties and
  administrative or disciplinary action, as appropriate. By continuing to
  use this system you indicate your awareness of and consent to these terms
  and conditions of use. LOG OFF IMMEDIATELY if you do not agree to the
  conditions stated in this warning.
  
  ****************************************************************************
  

• Wer vor dem lokalen Login einen Text anzeigen lassen möchte, nimm dafür die Datei /etc/issue.
• Wer nach dem erfolgreichen lokalen Login, aber vor der Aktiviering der Login-Shell, in das System einen Text anzeigen lassen möchte nutzt die Datei /etc/motd dafür.

Hoffe es hilft einigen, da ich die Frage schon öfters gestellt bekommen habe.