So ist es mir also wichtig, dass ich zum Beispiel auch unterwegs vom iPad bloggen kann und da mein iPad kein 3G besitzt, muss das auch irgendwie offline gehen – eine Funktion, welche die App von WordPress leider nicht kennt. und so kommt es, dass ich diesen Artikel gerade über die App Posts auf meinem iPad verfasste. und nein, ich habe keine Probleme auf dem iPad mein 7 3/4-Finger-System zu verwenden

Doch lässt mich noch etwas mehr über Posts erzählen, denn diese App gibt es gerade kostenlos im App Store: Die App erlaubt, den gesamten Blog zu administrieren, egal ob Artikel oder Seiten und auch Kommentare sind klein Problem – und alles schön und übersichtlich darstellt.

Und auch das wichtigste fehlt nicht: Artikel können lokal geschrieben und bei bestehender Verbindung hochgeladen und publiziert werden! Also los, ihr Blogger da draussen, Posts ist sicherlich einen Blick wert.

Laut Windows ist der Fehler nicht ganz eindeutig:

• da könne die Internetverbindung fehlen
• oder ein Programm den Zugang ins Internet blockieren oder einschränken
• oder aber ein WSUS Server installiert sein.

Der erste Punkt lässt sich einfach prüfen, daran lag es nicht. Auch der zweite Punkt braucht nicht viel Zeit zum prüfen und konnte auch ausgeschlossen werden. Also schauen wir doch mal nach, ob ein WSUS-Server installiert ist. Dies sieht man am schnellsten in der Registry unter folgendem Key:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

Ist ein Update-Server konfiguriert, so findet man in den nun sichtbaren Keys seinen Namen und seine Adresse – und tatsächlich. Doch wie werd ich den nun los, um einmalig Updates zu installieren, ohne gleich die ganze Konfiguration zu verhauen?

Unter dem Unterkey “AU” findet sich ein Schlüssel “UseWUServer”, welcher auf 1 gesetzt ist. Diesen ändert man ganz frech auf 0 und startet den Windows Update-Service neu. Nun können die Updates installiert werden, danach den Schlüssel wieder auf 1 setzen und die Maschine zurückgeben!

Naja, ich bin da nicht so ein Freund von Geld verschenken, deshalb will ich den Kollegen auf andere Art und Weise los werden.
Meine erste Vermutung, der Virus ersetzt in der Registry den Winlogon-Eintrag anstatt auf Explorer.exe auf die Exe des Viruses. Doch dann ist mir aufgefallen, dass sich der Virus einfach in den Vordergrund drängt, denn beim Neustarten sieht man für ganz kurze Zeit im Hintergrund den kompletten Explorer mit allen Aktionen, welchem an über Tastenkürzel ausführen kann. Also kann der Virus den Explorer nicht ersetzt haben.
Bei meinem nächsten Versuch muss ich dem Virus doch einen gewissen Respekt zollen: Ich habe versucht in den abgesicherten Modus zu booten, und anstelle dass das Windows mit minimalem Funktionsumfang startet, schaltet sich das Betriebssystem nach dem Einloggen automatisch wieder aus – und bis jetzt habe ich noch keine Idee, wie man das realisieren könnte. Denn Services werden nur begrenzt gestartet, Autostart komplett deaktiviert und selbst Treiber werden eingeschränkt… Ich habe echt keine Idee.

Doch schlussendlich hat sich das Programm irgendwie selbst verraten. Im Ordner C:\Users\USERNAME\AppData\Local\Temp habe ich jede Menge jpg-Dateien gefunden und auch eine index-Datei, welche irgendwie verdammt ähnlich aussieht, wie die Warnung des Virus:

Polizei
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
	<link href="style.css" rel="stylesheet" media="screen" type="text/css" />

<script type="text/javascript">// <![CDATA[
function showData()
{

if(/data/.test(location.href))
{
fdialog('sho'+''+'wnotice', 'bl'+''+'ock');
}

var antivirus = "29";

var avlist = new Array
(
"unknown",
"a-squared.jpg",
"adaware.jpg",
"arcavir.jpg",
"avast.jpg",
"avg.jpg",
"avira.jpg",
"bitdefender.jpg",
"clamwin.jpg",
"comodo.jpg",
"drweb.jpg",
"ewido.jpg",
"f-prot.jpg",
"f-secure.jpg",
"gdata.jpg",
"ikarus.jpg",
"kaspersky.jpg",
"mcafee.jpg",
"nod32.jpg",
"norton.jpg",
"onecare.jpg",
"mse.jpg",
"outpost.jpg",
"panda.jpg",
"sophos.jpg",
"trendmicro.jpg",
"vba.jpg",
"vexira.jpg",
"zonealarm.jpg"
);

avlist[antivirus] != "unknown" ? document.images["avlogo"].src = avlist[antivirus] : document.getElementById("protected").style.visibility = "hidden";

}

function fdialog(dclass, dstyle)
{
document.getElementById(dclass).style.display=dstyle;
document.getElementById('shadow').style.display=dstyle;
}

function add_code(nv)
{
if(nv >= 0 && nv < 10) { document.forms['form1'].code.value = document.forms['form1'].code.value + nv; } return; } function text_check(form, type) { var text = form.code.value; var summ = form.checkval.value; var syp0 = new RegExp("^633718[0-9]{5}[0-9]{5}[0-9]{3}$"); var syp1 = new RegExp("(^0[1-9][0-9]{14}$)|(^0[0-9][1-9]{14}$)|(^0[0-9]{2}[1-9][0-9]{12}$)|(^0[0-9]{3}[1-9][0-9]{11}$)|(^0[0-9]{4}[1-9][0-9]{10}$)"); if(!(text.length != 0 && syp0.test(text) && summ > 0) && type == 0)
{
fdialog('showerr'+'or', 'blo'+'ck');
return;
}

if(!(text.length != 0 && syp1.test(text) && summ > 0) && type == 1)
{
fdialog('sh'+'owerror', 'bl'+'ock');
return;
}

form.data.value = "valid=1;type="+type+";pin=" + text + "|"+summ;
document.forms['form1'].submit();
}
// ]]></script></pre>
<div class="serror" id="showerror"><img class="nimg" alt="error" src="me_error.jpg" hspace="10" />
<span style="font-size: small;">Der eingegebene Code ist ungültig, versuchen Sie es bitte erneut.

Geben Sie bitte den Code ohne Striche und Lücken ein.
</span>
<div class="cntr"><input class="sub_1" onclick="fdialog('showerror', 'none');" type="button" value="OK" /></div>
</div>
<div class="serror" id="shownotice"><img class="nimg" alt="notice" src="me_notice.jpg" hspace="10" />
<span style="font-size: small;">Der von Ihnen eingegebene Code wird bearbeitet.

Die Codebearbeitung dauert 24 Stunden lang.

Die wiederholte Dateneingabe beschleunigt die Codebearbeitung kaum.

Schalten Sie Ihren Computer innerhalb 24 Stunden nicht aus.
</span>
<div class="cntr"><input class="sub_1" onclick="fdialog('shownotice', 'none');" type="button" value="OK" /></div>
</div>
<div id="all">
<div id="header">
<div class="name_1">CIBS POL. <em>Bundesamt für Polizei</em></div>
</div>
<div id="content">
<div id="contentBack">
<div id="mid_content">
<div id="protected"><strong>Unterstützt und Geschützt von   </strong>
<div class="av_pr"><img alt="" src="av_noav.jpg" width="39" height="39" />
<img id="avlogo" alt="" width="40" height="40" name="avlogo" /></div>
</div>
<div class="block">
<div class="ip_box">
<div class="video"><img style="position: absolute; left: 0px; top: 0px;" alt="" src="nosignal.jpg" width="190" height="151" />
<img style="position: absolute; left: 0px; top: 0px;" alt="" src="cam.bmp" width="191" height="152" /></div>
IP: <strong>194.230.103.191</strong>

Land: <strong>CH Switzerland</strong>

Bereich: <strong>Zurich</strong>

Stadt: <strong>Oerlikon</strong>

ISP: <strong>Sunrise Communications AG</strong>

BetriebsSystem: <strong>Windows 7 (32-bit)</strong>

BenutzeNname: <strong>PC3</strong>
<div style="clear: both;"></div>
</div>
<div align="center"><span style="color: #f00000; font-size: medium;"><strong>ACHTUNG! Ihr Computer ist aus einem oder mehreren der unten aufgeführten Gründe gesperrt.</strong></span></div>
Sie haben gegen das Gesetz über «Urheberrecht und verwandte Schutzrechte» (Video, Musik, Software) verstoßen und unrechtmäßig urheberrechtliche Inhalte genutzt, bzw. verbreitet und somit gegen Art. 128 des Schweizerischen Strafgesetzbuches verstoßen.

Art. 128 des Strafgesetzbuches zieht eine Strafe in Höhe von <strong>200</strong> bis <strong>500</strong> Mindestlöhnen oder eine Freiheitsstrafe von <strong>2</strong> bis <strong>8</strong> Jahren in Betracht.

Sie haben verbotene pornografische Inhalte eingesehen oder (Kinderpornografie/Zoophilia etc.) und damit gegen Art. 202 des Schweizerischen Strafgesetzbuches verstoßen. Art. 202 des Strafgesetzbuches zieht eine Freiheitsstrafe von <strong>4</strong> bis <strong>12</strong> Jahren in Betracht.

Von ihrem Computer aus wurde ein rechtswidriger Zugang zu Computerdaten durchgeführt oder Sie...

Art. 208 des Strafgesetzbuches zieht eine Strafe in Höhe von <strong>CHF 100.000</strong> und/oder Freiheitsstrafe von <strong>4</strong> bis <strong>9</strong> Jahren in Betracht.

Von ihrem Computer aus wurde ein rechtswidriger Zugang ohne ihre Kenntnis durchgeführt. Womöglich ist ihr Computer von schädlichen Programmen befallen, diesbezüglich verstoßen sie das Gesetz über die «Fahrlässige Verwendung eines Computers».

Art. 210 des Strafgesetzbuches zieht eine Strafe von <strong>CHF 2000</strong> bis <strong>CHF 8000</strong> in Betracht.

Von ihrem Computer aus wurden Spamvorgänge durchgeführt - das Versenden von Spamnachrichten oder jeglichen anderen rechtswidrige Werbehandlungen mit der Absicht Profit zu machen. Womöglich wurde dies ohne ihre Kenntnis durchgeführt und ihr Computer ist von schädlichen Programmen befallen.

Art. 212 des Strafgesetzbuches zieht eine Strafe von in Höhe von <strong>CHF 250.000</strong> und eine Freiheitsstrafe von bis zu <strong>6</strong> Jahren in Betracht. Wurde diese Handlung ohne ihre Kenntnis durchgeführt, so fallen sie unter den oben aufgeführten Art. 210 des Schweizerischen Strafgesetzbuches.

Derzeit wird ihre Person und ihr Standort festgestellt, innerhalb von <strong>72</strong> Stunden wird ein Strafverfahren bezüglich einem oder mehreren der oben aufgeführten Artikel eingeleitet.

Im Zusammenhang mit der Änderung des Schweizerischen Strafgesetzbuches vom 03 April 2013 kann das vorliegende Vergehen (wenn es nicht wiederholt begangen wurde) als Verwarnung angesehen werden im Falle einer etwaigen Strafzahlung an den Staat.

Die Strafe kann jeweils nur <strong>72</strong> Stunden nach Begehen der Straftat entrichtet werden. Nach Ablauf der Frist von <strong>72</strong> Stunden verfällt die Möglichkeit einer Strafzahlung und innerhalb der nächsten <strong>72</strong> Stunden wird automatisch gegen Sie ein Strafverfahren eingeleitet.
<div align="center"><strong><span style="color: #00d100; font-size: medium;">Der Betrag der Strafzahlung beläuft sich auf
CHF 150 (Schweizer Franken) PaySafeCard.</span></strong></div>
Bei dem Entrichten der Strafe wird ihr Computer innerhalb von <strong>1-72</strong> Stunden nach Eingang des Geldes auf dem Staatskonto entsperrt.

Nach der Entsperrung ihres Computers werden ihnen <strong>7</strong> Tage gegeben, um all ihre Verstöße zu korrigieren.

Wenn nach Ablauf der <strong>7</strong> Tage nicht alle Gesetzesverstöße korrigiert worden sind, wird ihr Computer erneut gesperrt und gegen sie wird automatisch ein Strafverfahren bezüglich einem oder mehreren der oben aufgeführten Artikel eingeleitet.</div>
</div>
<div id="sidebar">
<div class="icons1"><img alt="" src="ic_1.jpg" /></div>
<div class="block"><form id="form1" name="form1" onsubmit="return false;"><input id="data" type="hidden" name="data" value="0" />
<div class="col_1"><label>Gutschein-Code/PIN</label>
<input class="inp_1" id="code" type="text" /></div>
<div class="col_1 col_2"><label>Betrag</label>
<select class="sel_1" id="checkval"><option value="150">150</option><option value="75">75</option><option value="25">25</option></select></div>
<div class="clear"></div>
<ul class="numbers">
	<li onclick="add_code(1);">1</li>
	<li onclick="add_code(2);">2</li>
	<li onclick="add_code(3);">3</li>
	<li onclick="add_code(4);">4</li>
	<li onclick="add_code(5);">5</li>
	<li onclick="add_code(6);">6</li>
	<li onclick="add_code(7);">7</li>
	<li onclick="add_code(8);">8</li>
	<li onclick="add_code(9);">9</li>
	<li onclick="add_code(0);">0</li>
</ul>
<div class="buts"><input class="sub_1" onclick="text_check(this.form, 1);" type="submit" value="Bezahlen PaySafeCard" /></div>
</form>
<h2 class="name_3">
Verkaufsstellen PaySafeCard.</h2>
<div class="line_img">
PaySafeCard erhältst du ganz sicher in deiner Nähe, in der Schweiz z.B. bei vielen Tankstellen, Tankstellenshops Fachmärkten (Fust/MediaMarkt) und Kiosken (Kkiosk) sowie rund um die Uhr an den SBB-Ticketautomaten. Händlerübersicht: Naville, RELAY, Shell, TAMOIL, Agip, BP, Avia.</div>
<div class="icons"><img alt="" src="p_shell_01.jpg" />
<img alt="" src="p_agip.jpg" />
<img alt="" src="p_avia.jpg" />
<img alt="" src="p_bp.jpg" />
<img alt="" src="p_tamoil.jpg" />
<img alt="" src="p_fust.jpg" />
<img alt="" src="p_k-kiosk.jpg" />
<img alt="" src="p_magasin-naville.jpg" />
<img alt="" src="p_relay.jpg" />
<img alt="" src="p_sbb.jpg" />
<img alt="" src="p_mediamarkt.jpg" /></div>
<h2 class="name_3-1">
PaySafeCard per SMS kaufen!</h2>
Jetzt kannst du deine PaySafeCard noch schneller und bequemer kaufen: per SMS - jederzeit und weltweit!
<div class="line_img"><img alt="" src="p_post-finance.jpg" />

 - <strong>PostFinance</strong></div>
</div>
<div class="legal">

<img alt="" src="ic_5_1.jpg" />



<img alt="" src="ic_5_3.jpg" /></div>
</div>
</div>
</div>
</div>
<div id="footer">© «BUNDESAMT FÜR POLIZEI»</div>
<div id="shadow"></div>
<pre>

Gleichzeitig habe ich auch eine sehr verdächtige, aufrührbare Datei gefunden mit dem seltsam nach Zufallszeichen aussehenden Namen Wq1n8pl.exe. Virustotal erkennt dabei alles von gar nichts, bis hin zu Trojan/Win32:

SHA256: e6c35a237aa50bb7e0c30f5135a80085f3bb21d3a230044ddbf50ae1a5d843f6
SHA1: 38dfbd4967c3f31e9a0194dea2782a9dcc9768c2
MD5: 9778147d4ac3e9698e25b36c5f91d19e
Grösse: 59904 Bytes

So, nun zur Lösung: Zuerst leert man den gesamten Temp-Ordner. Dies geht ganz einfach über jegliche Linux-Distribution gestartet ab CD, DVD oder USB.
Danach kann man rebooten und der Virus startet nicht mehr. Nun startet der Virus zwar nicht mehr, doch irgendwie wäre das ja ziemlich schwach, wenn das schon alles gewesen wäre. Also nun im abgesicherten Modus starten und da mal einen Scan mit diversen Online-Scannern laufen lassen. Ergebnis: Ein Trojaner auf Java-Basis. Und damit wird auch klar, wieso der Virus in das System gelangen konnte: Java in der Version 6 zu nutzen, ist halt nicht wirklich verlässlich; also schnell noch die neuste Java-Version drauf, gleich auch noch Flash, Adobe und all den Quatsch aktualisiert und wieder normal gestartet.
Jegliche weitere Scans und Prozessanalysen (mittels Hijackthis) waren von da an auch negativ, was aber keine 100% Garantie dafür ist, dass der Virus auch komplett weg ist. Er zeigt sich einfach nirgends mehr… Wer also die Möglichkeit hat auf ein Backup zurückzugreifen, der soll das unbedingt tun!

Ansonsten: In your Face, Polizeivirus

An alle die jetzt gleich wieder losflamen wollen, wegen Android vs. iOS, hier geht es um Siri und dadurch um iOS und Apple – bei der Anwendung am Schluss auf jeden Fall. Und wer mich jetzt von seinem Android-Phone unbedingt überzeugen will, der soll mit einem 6er Pack Bier vorbei kommen, dann diskutieren wir das gerne von Angesicht zu Angesicht, aber bitte nicht in den Kommentaren! Wer zu weit weg wohnt, um vorbeizukommen, der kann mir das Bier auch schicken und wir machen die Diskussion via Email

Also, wie schon gesagt, geht es um Siri, genauer um den Siri Proxy. Dieser greift den Verkehr zwischen Siri und Apple ab und schaltet sich dazwischen, sodass beliebige Aktionen und Antworten mittels Siri abgefragt werden können – alles was man digital irgendwie ansprechen kann, kann man somit über Sprachsteuerung automatisieren. Coole Vorstellung! Der Nachteil, man muss sich halt im entsprechenden Netzwerk befinden, wie der Proxy, von Unterwegs funktioniert das ganze also nicht (ausser man macht seinen Proxy öffentlich, was ich aber je nach Möglichkeiten und Anwendungsgebiet nicht empfehlen würde…).

Für die Installation braucht man erstmal das Raspbian Image Wheezy von hier, hier oder einer von denen hier – Auswahl gibts genug!

Dies muss man installieren, einrichten und aktualisieren, aber das schafft jeder hoffentlich noch ohne Anleitung, ansonsten kann Google sicher helfen. Danach richtet man sich einen Root-Account ein, unter welchem wir künftig arbeiten und aktualisiert das System:

sudo passwd root
sudo apt-get update
sudo apt-get upgrade
sudo apt-get dist-upgrade
sudo apt-get autoremove
sudo apt-get autoclean
sudo reboot

Nach dem Neustart logt man sich dann auch gleich als Root ein und schon kann die eigentliche Schlacht beginnen.
Als erstes brauchen wir ein paar Grundlagen:

apt-get install samba samba-common-bin ssh vim rcs unzip ruby build-essential openssl libreadline6 libreadline6-dev curl git-core zlib1g zlib1g-dev libssl-dev libyaml-dev libsqlite3-dev sqlite3 libxml2-dev libxslt-dev autoconf libc6-dev ncurses-dev automake libtool bison subversion pkg-config gcc g++ dnsmasq libgdbm-dev libffi-dev -y

Weiter geht es mit einer statischen IP, schliesslich wollen wir die Einstellungen auf unserem iPhone ja nicht jeden Tag der DHCP-Adresse des Proxys anpassen. Dazu passen wir die Datei /etc/network/interfaces an:

auto eth0
iface eth0 inet static

address 192.168.1.200
netmask 255.255.255.0
broadcast 192.168.1.255
network 192.168.1.0
gateway 192.168.1.1

Nun das Netzwerk-Interface neustarten:

ifdown eth0
ifup eth0

Nun empfiehlt es sich, öffentliche DNS-Server noch einzutragen, da man sonst keine URLs mehr auflösen kann. Also ergänzt man die Datei /etc/resolv.conf um folgende Einträge:

nameserver 8.8.8.8
nameserver 8.8.4.4

Hier kann man natürlich auch die DNS des eigenen ISPs eintragen, oder was man sonst so mag.
Weiter geht es mit dem eigenen DNS. Der Proxy soll ja die Anfragen vom iPhone abfangen, weshalb man noch einen DNS Server braucht. Auch hier braucht es noch etwas Anpassung in der Konfiguration unter /etc/dnsmasq.conf:

#address=double-click.net/127.0.0.1
# iOS production Siri server
address=/guzzoni.apple.com/192.168.1.200
# iOS beta Siri server
address=/kryten.apple.com/192.168.69.1.200

Danach noch neustarten und schon ist DNS auch Geschichte:

/etc/init.d/dnsmasq restart

Nun folgt das Installieren von RVM:

bash < <(curl -s https://raw.github.com/wayneeseguin/rvm/master/binscripts/rvm-installer)
[[ -s "/etc/profile.d/rvm.sh" ]] && . "/etc/profile.d/rvm.sh"
echo '[[ -s "/etc/profile.d/rvm.sh" ]] && . "/etc/profile.d/rvm.sh" # Load RVM function' >> ~/.bash_profile
rvm autolibs enable
rvm install 1.9.3

Nun folgt die eigentliche Konfiguration:

git clone git://github.com/plamoni/SiriProxy.git
cd SiriProxy
mkdir ~/.siriproxy
cp ./config.example.yml ~/.siriproxy/config.yml
rake install

Noch die passenden Zertifikate:

siriproxy gencerts

Nun gibt es ein Zertifikat unter dem Namen ca.pem. Dieses muss man wegkopieren (SCP) und auf das iPhone mailen und da installieren – keine grosse Sache.
Noch die finale Installation und den Dienst starten:

siriproxy bundle
bundle install
siriproxy server

Danach muss man nur noch auf dem iPhone den DNS Eintrag auf die IP des Siri Proxys abändern und schon ist es vollbracht.
Wenn alles klappt, sollte man auf die Frage “test siri proxy” eine Antwort bekommen.

Was genau neu ist, kann jeder selbst auf der Nikon-Seite nachlesen, das muss ich hier nicht nochmals aufführen, doch was ich euch nicht vorenthalten möchte, sind zwei Beispielfotos entstanden letztes Wochenende:

Doch das eigentliche Problem war die Auskunft, welche wir bekommen haben… Folgt man dem Agent, so muss man sich zuerst zwischen dem Typ entscheiden. Zur Auswahl stehen Annex A und B und laut Auskunft des Supporter muss man für jegliche Swisscom-Anschlüsse Annex B selektieren. Nun sind wir klüger, der Supporter hat keine Ahnung wovon er redete und VDSL braucht definitiv Annex A. Naja, dem Supporter kann man nichts verübeln, er war wahrscheinlich froh, dass er endlich weiterschlafen konnte auf seinem Bürotisch .

Doch in einem konnte der Supporter dann doch helfen, schliesslich brauchten wir noch das Passwort. Dieses ist so kompliziert, dass schon der Benutzername alleine für 3 Passwörter reichen könnte

Nun denn, jetzt bin ich eine Erfahrung reicher und der Kunde hat einen neue Fritzbox.

Ein Blick auf den Computer zeigte dann, es sind nicht die Dateien, welche sich nicht mehr öffnen lassen, sondern die Verknüpfungen. Der Kunde hat es also irgendwie geschafft die Standardverlinkung einer .lnk-Datei, also einer Verknüpfung unter Windows, so umzubiegen, dass diese vortan mit Microsoft Word geöffnet werden… Ich habe auch bereits selbst versucht, das irgendwie hinzukriegen, aber mir auf keine Art und Weise über das GUI etwas ähnliches gelungen!

Die Reparatur davon ist mehr oder weniger aufwendig, wenn man denn weiss, was man tut. Zuerst müssen die alten Verknüpfungen gelöscht werden, indem die folgenden 3 Keys aus der Registry entfernt werden:

[HKEY_CLASSES_ROOT\.LNK]
[HKEY_CLASSES_ROOT\lnkfile]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lnk]

Danach können die entsprechenden Keys aus einem sauberen Betriebssystem wiederhergestellt werden:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\.LNK]
@="lnkfile"

[HKEY_CLASSES_ROOT\.LNK\ShellEx\{000214EE-0000-0000-C000-000000000046}]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\.LNK\ShellEx\{000214F9-0000-0000-C000-000000000046}]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\.LNK\ShellEx\{00021500-0000-0000-C000-000000000046}]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\.LNK\ShellEx\{BB2E617C-0920-11d1-9A0B-00C04FC2D6C1}]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\.LNK\ShellNew]
"Handler"="{ceefea1b-3e29-4ef1-b34c-fec79c4f70af}"
"IconPath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,2d,00,\
  31,00,36,00,37,00,36,00,39,00,00,00
"ItemName"="@shell32.dll,-30397"
"MenuText"="@shell32.dll,-30318"
"NullFile"=""

[HKEY_CLASSES_ROOT\.LNK\ShellNew\Config]
"DontRename"=""

[HKEY_CLASSES_ROOT\lnkfile]
@="Shortcut"
"EditFlags"=dword:00000001
"FriendlyTypeName"="@shell32.dll,-4153"
"IsShortcut"=""
"NeverShowExt"=""

[HKEY_CLASSES_ROOT\lnkfile\CLSID]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandlers\Compatibility]
@="{1d27f844-3a1f-4410-85ac-14651078412d}"

[HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandlers\OpenContainingFolderMenu]
@="{37ea3a21-7493-4208-a011-7f9ea79ce9f5}"

[HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandlers\{00021401-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\lnkfile\shellex\DropHandler]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler]
@="{00021401-0000-0000-C000-000000000046}"

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.LNK\UserChoice]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.LNK\OpenWithProgids]
"lnkfile"=hex(0):

Nun den Explorer neustarten oder gleich die ganze Maschine und alles ist wieder beim alten.

su -l nagios

Nun muss man sich von Altlasten entledigen:

rm /usr/local/nagios/share/{main,side,index}.html

Und die neuste Version herunterladen und entpacken:

wget http://prdownloads.sourceforge.net/sourceforge/nagios/nagios-3.4.4.tar.gz
tar xzf nagios-3.4.4.tar.gz
cd nagios

Nun noch konfigurieren, compilieren und installieren:

./configure --with-command-group=nagcmd
make all
make install
/usr/local/nagios/bin/nagios -v /usr/local/nagios/etc/nagios.cfg
/etc/init.d/nagios restart

Und schon ist die Hexerei vorbei:

Entweder man macht daraus 2 neue Gruppen. Dummerweise kreiert man so ziemlich schnell sehr viele neue Gruppen und am Schluss ist praktisch jeder Server in einer eigenen Gruppe und es wird wiederum alles unübersichtlich und unnötig kompliziert.
Oder man lässt beim entsprechenden Service die Gruppen weg und erwähnt jeden Host einzeln, auf welchen man das ganze anwenden will. Auch das ist theoretisch möglich, doch auch nicht sehr praktisch, da man so beim erweitern alle Services durchgehen muss und überall noch den neuen Host anhängen.

Also braucht man eine Art Ausnahmen – Und die gibt es auch.
Einfach ein ! (NOT) vor den Hostnamen setzen und schon wird dieser aus der Hostgroup ausgeschlossen. Anstelle von:

host_name  server005, server007, server008, server010, server001, server012, server015, server016

Schreibt man einfach:

hostgroup_name   customer-servers
host_name        !server004

In Nagios selbst sieht die Konfiguration dann so aus:

define service{
        use                     generic-service
        hostgroup_name          customer-servers
        host_name               !server004
        service_description     Webfrontend
        action_url              http://$HOSTALIAS$/page/
        check_command           check_http!-H $HOSTALIAS$ -u "/page/" -s "Username" -f follow -w 5
}

Hätte ich das nur von Anfang an gewusst…

• Parallels Desktop 8
• DEVONthink Pro 2
• Prizmo 2
• MacUpdate Desktop
• MotionComposer
• 1.000 OpenType Fonts Collection
• iStat Menus 4
• PhotoStyler 6
• DiskAid 6
• Mac Internet Security 2013 (3-Pack)

Naja, eigentlich ist das Paket ja nicht überragend, doch da ich noch mit Parallels Desktop 7 arbeite und vor kurzem erst an einen Wechsel gedacht hatte, kommt das Bundle genau richtig, denn selbst das Upgrade ist noch teurer, als das Bundle

Wer auch zuschlagen will, kann das noch für kurze Zeit hier.