ITrig

Zum kleinen Freitag exklusiv etwas für die Speerspitze unter den Hackern. Eine ASCII Webcam

Vor einiger Zeit hatte ich einen kleinen Beitrag zur SSL Zertifikaten geschrieben. Damals ging es um die Erstellung einer Anfrage und das eigene Signieren einer Zertifizierungsanforderung. Hin und wieder kann es jedoch vorkommen, dass genau diese CSR Datei noch einmal lesbar ausgelesen werden muss, um die zuvor gemachten Eingaben zu prüfen.

Wird eine CSR Datei in einem Editor geöffnet, werden nur kryptische Inhalte ausgegeben, eingefasst von einem -----BEGIN CERTIFICATE REQUEST----- und einem -----END CERTIFICATE REQUEST-----.

Eine für Menschen leserliche Ausgabe lässt sich mit einem einfachen Konsolenbefehl erreichen.

ubuntu:~$ openssl req -in test.csr -noout -text

Certificate Request:

    Data:

        Version: 0 (0x0)

        Subject: C=DE, ST=Some-State, O=Internet Widgits Pty Ltd, CN=itrig.de

        Subject Public Key Info:

            Public Key Algorithm: rsaEncryption

                Public-Key: (2048 bit)

                Modulus:

                    00:a1:4e:b4:77:61:1a:ee:1c:65:2b:e7:e0:5f:6a:

                    34:83:ff:a4:35:a7:b3:13:63:ac:dd:10:a1:ee:eb:

                    d5:fb:2c:36:93:03:bd:72:88:4f:74:b6:79:d7:05:

                    73:c6:82:37:4b:81:87:db:fa:c6:66:01:79:16:e1:

                    d9:c3:d8:39:80:d4:da:4d:da:76:f1:44:59:c4:01:

                    37:1d:90:44:7c:7f:9a:f9:66:d6:9e:0a:6b:99:5f:

                    .........

PS: Solltet ihr Open SSL verwenden, vergesst das Aktualisieren nicht.

Für den Exchange Server, speziell für die 2013er Version, hatte ich erst vor wenigen Wochen ein paar praktische Befehle für die Exchange Management Shell vorgestellt. Damals ging es hauptsächlich um die Rechtevergabe oder Auswertungen von Einstellungen.

Heute soll es ebenfalls um Auswertungen gehen, aber dieses Mal in Bezug auf die Exchange Funktion an sich, den E-Mailverkehr. Gemeint ist damit das sogenannte Message Tracking Log, welches auf dem Exchange Server grobe forensische Methoden liefert, um den Mailverkehr oder einzelne Mailzustellungen zu untersuchen.

Ich ziehe auch unter Exchange 2013 die Auswertung via Shell vor, es wird zwar auf eine Analyse via Weboberfläche verwiesen. Diese ist aber mehr als schäbig und bringt nicht den gewünschten Komfort einer Konsole mit.

Somit muss für die folgenden Abfragen zunächst die Exchange Management Shell auf dem zu untersuchenden Server gestartet werden. Die Angaben eines Servers, in den kommenden Befehlen habe ich bewusst weggelassen, wer mehrere Server im Betrieb hat, kann eine genaue Auswahl mit "-Server Name" gerne treffen.

Befehle zur Nachrichtenuntersuchung - Exchange Server 2010/2013

Gesamten Mailverkehr ausgeben

Die Ausgabe erfolgt der Übersicht wegen, immer über die sogenannte GridView

Get-MessageTrackingLog | Out-Gridview

Mailverkehr mit Sender, Empfänger, Betreff und Datum anzeigen

Get-MessageTrackingLog -ResultSize Unlimited | select-object eventid,timestamp,source,messageid,sender,recipients,messagesubject | Out-Gridview

Mailverkehr eines bestimmten Datums ausgeben

Get-MessageTrackingLog -ResultSize Unlimited -Start "03 31 2014" | select-object eventid,timestamp,source,messageid,sender,recipients,messagesubject | Out-Gridview

E-Mails eines Zeitraums anzeigen

Get-MessageTrackingLog -ResultSize Unlimited -Start "03 31 2014" -End "04 02 2014"| select-object eventid,timestamp,source,messageid,sender,recipients,messagesubject | Out-Gridview

E-Mails eines bestimmten Nutzer in einem Zeitraum suchen

get-messagetrackinglog -Start "03 31 2014" -End "04 02 2014" -sender: nutzer@domain.de | Select timestamp,EventID,recipients,messagesubject | Out-Gridview

E-Mails eines bestimmten Nutzer in einem Zeitraum suchen und in Datei abspeichern

get-messagetrackinglog -sender: nutzer@domain.de | Select timestamp,EventID,recipients,messagesubject | Out-File D:\Maillog.txt

Mails eines bestimmten Zeitraums sortiert in Datei ablegen 

Get-MessageTrackingLog -ResultSize Unlimited -Start "03 31 2014" -End "04 02 2014" | sort Timestamp | Select timestamp,EventID,recipients,messagesubject | Out-File D:\Maillog-sortiert.txt 

Zum kleinen Freitag gibt es einen ebenso kleinen Tipp.

Heutiges Thema ist das Umbenennen von Windows Diensten. Windows Services werden meist mit einem fest vorgegebenen Namen installiert, normalerweise ist dieser recht aussagekräftig und kann so belassen werden.

Es kann aber vorkommen, dass bestimmte Dienste mit einem anderen Namen angezeigt werden sollen. Zum Beispiel alle Dienste, die zu einer Anwendung gehören oder voneinander abhängen. (Webserver, Datenbankserver, Anwendung).

Windows Dienste umbenennen

Am schnellsten lassen sich Dienste mit dem "sc" Befehl umbenennen, dazu muss lediglich eine Konsole "CMD" geöffnet und sc config Themes DienstName= "Neuer Name" eingegeben werden. Im Beispiel seht ihr, wie dieser Vorgang auf eine PostgreSQL Installation angewendet wird.

Neben einem neuen Namen, lassen sich mit Diensten noch viele andere Dinge anstellen. Um einen Überblick zu erhalten, gebt ihr den "sc" Befehl in der Kommandozeile ein. Wie sich mit der Option "delete" Dienste löschen lassen, hat Hannes bereits ausführlich in einem Artikel beschrieben.