Beiträge von CmdrXay

    Hay,


    Zitat

    Zum Thema Sicherheit: Die Nextcloud-Instanz ist lt. scan.nextcloud.com A+ bewertet und gehärtet. Also gegen Bruteforce und Co. abgesichert.

    naja, das ist ja nur eine Anwendung auf dem Webserver... und Dein root-Server als solchen? Wie verwaltest Du den? Per SSH? Das möchten in diesem Fall auch eine Menge anderer Leute, die Du vermutlich nicht kennst, lass mal ein tail aufs logfile laufen (also je nach Linux bzw. Linuxversion z. B. tail -f /var/log/messages, tail -f /var/log/syslog oder journalctl -f) und wenn sich so langsam der kalte Horror entwickelt, mal hier nach ssh root oder fail2ban oder iptables suchen... und das ist dann erst der Anfang 8o


    CU, Peter

    Hay,


    [netcup] Felix , danke für Dein ausführliche Statement - da melde ich mich doch noch einmal zu dem Thema.

    Dieses hat sogar zum Teil richtig dreiste Züge angenommen, da einige Miner 3 Wochen lang unsere Infrastruktur genutzt haben und dann die Server im Rahmen der Zufriedenheitsgarantie zurück gegeben haben. Anschließend wurden wieder neue Root-Server in großen Mengen bestellt und nach 3 Wochen wieder zurück gegeben. Andere Miner hatten gestohlene Paypal-Accounts, wo durch Zahlungen geplatzt sind


    Ich hatte es vermutet, wollte aber keine Unterstellungen in den Raum werfen, insofern danke für diese aufklärenden Sätze. Du hast meine recht allgemeine Aussage bestätigt, dass heute Mining mit gestohlenem Strom durchgeführt wird - direkt oder indirekt. Bei zahlenden Nutzern ist das schon grenzwertig, aber dieses Verhalten sprengt IMHO die Grenzen des Anstands. Gier frisst Hirn.


    CU, Peter

    Hay,

    Insbesondere den fett markierten Teil finde ich heikel.

    damit hast Du recht.


    Ich bin zwar auch kein Jurist, habe seit 14 Jahren aber täglich mit vielen Juristen zu tun, so dass da ein bißchen abgefärtbt ist.


    "Andere Dienste" ist nämlich zu unbestimmt. Aber wie jemand sagte: Heute kann jeder Hoster werden, heute kann jeder sich seine AGB aus dem Internet zurechtklicken und manchmal ist es angeraten, da auch mal einen Anwalt zu konsultieren. Wenn man sich per AGB "überabsichert", indem man die Haftung zu stark beschneidet, kann das genau zum Gegenteil führen... dass man plötzlich voll und für alles haftbar gemacht werden kann.:P


    Aber sei's drum, Klugscheißerei Ende für heute.


    CU, Peter

    Hay,


    lol, die Diskussion entflammt. Packen wir mal das Öl fürs Feuer aus... ich richte mich auf wütendes Herumgekeife ein :Paber kündige jetzt schon an, nach diesem Posting feige wegzurennen und nicht mehr in diesem Thread zu reagieren :whistling:


    Nachvollziehbar: Inkonsistentes Verhalten führt zu Unmut. Ich halte sehr viel davon, Zusagen einzuhalten und sanktioniere ebenfalls das Gegenteil.

    Nachvollziehbar: Ohne Warnung auch bei (nicht eilbedürftigem) Fehlverhalten unmittelbare und ultimative Zwangshandlungen zu begehen, ist bestimmt nicht förderlich für das eigene Geschäft und kann Schadensersatzforderungen nach sich ziehen, wenn das betroffene System tatsächlich produktiv eingesetzt wird.


    Nicht nachvollziehbar: Kindisches Rumgenöle und Wortwahl (Ökofaschismus), unhaltbare Unterstellungen (Ideologie) usw. Offensichtlich weiß der Betreffende auch nicht richtig, wie sogenannte "Cryptowährungen" funktionieren.


    Kern von "Cryptowährung" ist die Blockchain - das ist eine transaktionssichere, dezentrale Datenbank (und erst einmal nichts anderes - inhaltliche Ideen wie z.B. als Surrogat für Zahlungsmittel oder als Algorithmen oder Urkundenspeicher werden dem System aufdefiniert) und selbst wenn man die Load "nur" auf "seinem" System hochjagt, bedeutet dies, dass man ständig Verbindungen mit anderen hält und Transaktionen auf der Blockchain ausführt. Das kann man gut erkennen, dazu braucht es keinen Stromzähler. Hohe Load + Verbindungen zur Blockchain = Mining. Persönlich bin ich der Meinung, dass z.B. gerade neu "geschürfte" (ansich wie "Mining" ein witziges Wort... für stupides Rumgerechne) Bitcoin im Wesentlichen aus gestohlenem Strom bestehen - gestohlen aus einem Rechenzentrum, von einem Arbeitgeber oder einem gekapertem Server. Für andere "Cryptowährungen" sieht es vielleicht anders aus, da möchte ich mir kein Urteil im Generellen erlauben (das wäre Ideologie).


    Ich bestreite z.B. den Währungscharakter... Blockchain-Produkte entsprechen eher der spekulativen LIebhabersammlung wie Oldtimer und Gemälde (und weils so beliebt in der Argumentation ist: Gold und Silber sind in meinen Augen auch nur Sammlerstücke, Edelmetalle sind schon lange keine Währung mehr - sie dienen noch nicht einmal mehr als "Garant"), für eine Währung ist das Ganze einfach zu unreif; Abgesehen davon sollte z.B. der Bitcoin als Gegengewicht zum "kapitalistischen System" geführt werden und nu... wird der Erfolg daran gemessen, für wieviele Euros oder Dollars man ihn eintauschen kann. Also wenn da eine Ideologie war, dann ist sie auf den Kopf gestellt... und als dritten Punkt neigt der "Anleger" in Bitcoin zum Thesaurieren - Wärung heißt z.B. auf englisch "currency", in dem Wort erkennt man schön die lateinische Abstammung von "currere" - laufen, eilen rennen. Eine Währung ist ein universelles Tauschmittel im "Umlauf", sie muss rennen, nicht sich im Wallet sammeln für spätere Wandlung in echtes Geld. Rennen meint damit auch nicht nur von einem Wallet in ein anderes. Geld wird ja auch nicht mehr dadurch, dass man es von einer Tasche in eine andere steckt...


    Das ist jetzt lediglich eine (aus meiner Sicht begründete) Meinung und fernab von Ideologie. Eher äußert sich Ideologie im fanatischen Pushen von "Cryptowährungen" - mal offensiver, mal defensiver. Jeder wie es ihm beliebt.


    Die Entscheidung, kein Mining zuzulassen, ist eben genau das: eine reine Entscheidung. Man fällt sie oder nicht, netcup hat sie (als Hausherr) so gefällt, dass sie es nicht zulassen wollen. Es kann sein, dass man im Rahmen einer Neubestellung die "neuen AGB" grundsätzlich akzeptiert und nicht nur für den neuen Server, ich kenne die Formulierung nicht. Rechtssicheres Handeln von netcup würde so aussehen, JEDEM die neuen AGB anzubieten. Klassischerweise ist dann entweder die Annahme zu bestätigen oder zu widersprechen. Es liegt netcup frei zu bestimmen, ob ein Widerspruch Konsequenzen hat, z.B. eine automatische Kündigung der oder einiger Verträge auslöst. Das netcup sich überlegen, aber das ist mE der einzige, saubere Weg, auch für Bestandsserver oder Altkunden (ohne Neubestellung) das Mining zu untersagen.

    CU, Peter

    Hay,


    meinem Gefühlt nach ist nicht der 301 schuld, sondern das https. Hatte ich auch bei Piwik, da musste ich das Script auf der Webseite modifizieren, obwohl es das eigentlich erkennen sollte. Die integrierten Statistiken kenne ich nicht, vermutlich ist es da, dass nur das access_log ausgewertet wird und nicht das access_ssl_log... ist aber auch jetzt ein gutes Stück Spekulation dabei, vielleicht findet sich ja jemand, der mir widerspricht :D


    CU, Peter

    Hay,

    Ich bin kein Coder

    offensichtlicher könnt's nicht sein 8o


    Comic Sans ist allerdings auch nicht gut zu lesen - es gibt Empfehlungen wonach man Überschriften (dazu zähle ich auch Topics in Boards) "schnörkellos", d.h. sogar ohne Serifen gestalten sollte, aber lesbaren Fließtext mit Serifen. Google bewertet in der Auffindbarkeit auch die Lesbarkeit, bislang aber (noch?) nicht die Fonts - allerdings bekommen Seiten mit lesbaren Schriften mehr Klicks, mehr Referenzen und darüber beeinflusst das Thema indirekt die Suchergebnisse.


    Ein weiterer Tipp bezüglich Deines Forums (habe nur auf autor-x geschaut): Es sind einige Beiträge mit sehr allgemeinen Inhalt dabei ("Verbraucherinfos"), die ein Gast nicht lesen kann. Mir persönlich wär es schon egal, aber wenn Gast nicht lesen kann, kann Google auch nicht lesen... no content, no ranking... also solltest Du schauen, ob Du ein paar allgemeine Themen auch für die Öffentlichkeit lesbar machst, damit Du über mehr Keywords gefunden wirst. Und jeder Klick aus dem Suchergebnis von Google auf Deine Seite quittiert Google mit Wohlwollen und mehr Reputation, höheres Ranking, mehr Besucher kommen, mehr User melden sich an (wenn die Beiträge dann auch noch attraktiv sind, deswegen sollten ein Forenbereich, der sich mit den spezielleren Themen beschäftigt, auch sichtbar sein.


    CU, Peter

    Hay,


    ja, ist so. fail2ban benutzen!


    Auf einem Honeypot (nicht hier natürlich grins) habe ich 26.000 ssh-Angriffsversuche pro Woche.


    P.S.: Und ringelnatz Tipps beherzigen: ssh nur mit normalen Nutzer, root verbieten, mit Keys und su.


    CU, Peter

    Hay,

    wurde vorher durch Schlamperei gewonnen ...


    richtig. Die Laufzeiteinbußen kommen, weil die OS jetzt um Intels Schlamperei herumprogrammieren müssen. Ob es mit der Prüfung durch die CPU selbst jetzt schneller wäre als durch angepasste Software, ist erst einmal Spekulation - die CPU-interne Prüfung wird auch ein paar Taktzyklen zusätzlich brauchen.


    Bitte mal mit dem Bug als solchem beschäftigen... die CPU macht was von sich aus, um besonders schnell daher zu kommen und verzichtet auf eine nachträgliche Prüfung, ob das überhaupt so erlaubt ist, sobald sie "geraten" hat, wie es im Code weitergeht.


    Der Pentium-Bug von 1990(?) war dann auch nicht Intels Schuld - der verdammte, nachlässige Programmierer hätte ja nicht den FDIV-Befehl benutzen müssen, das kann man ja auch zu Fuß ausrechnen, statt der CPU die passende Instruktion zu geben. Zwei CPUs habe ich damals getauscht bekommen... da ist Intel noch anders mit solchen Themen umgegangen.


    CU, Peter

    Hay,

    nicht um das richtige Produkt

    ich gebe (ohne die fertige Anwendung zu kennen) KORN3Y insofern recht, dass sich "Neuling" und "vServer mit root-Rechten (und Möglichkeiten)" in der Regel nicht besonders gut vertragen. Das soll Dich aber nicht hindern, einen vServer zu bestellen und damit genau in diesen Dingen zu üben - darf halt nur nichts Wichtiges oder Produktives darauf laufen, einen Totalausfall/-verlust musst Du verkraften können :P


    Zu allem anderen: Da Du auf dem Server (fast, siehe Nutzungsbestimmungen) alles machen kannst, was Du willst, macht es auch kein Problem, virtuelle Hosts zu betreiben (ich habe derzeit 45 Domains auf meinem Server plus 2-3 externe inkl. E-Mail) oder Docker zu benutzen - auf meinem Server z.B. hat ein Kunde einen Docker mit Nexus laufen.


    CU, Peter

    Hay,

    Nun zu einem Punkt, für den ich keine Erklärung habe:

    auch wenn ich Dir zu den anderen Punkten nicht weiter helfen kann: Den Ping gibt es erst, wenn das OS auf dem Server den Netzwerkkarten treiber geladen, den TCP/IP-Stack zur Verfügung und (ggf.) per DHCP nach einer IP-Adresse gefragt und erhalten hat. Es heißt in Deinem Zusammenhang leider nichts anderes, als dass das Rettungssystem komplett durchbootet, die Netzwerkkarte findet und korrekt initialisiert und das Windows halt davor schon gescheitert ist... kein Trost, ich weiß.


    CU, Peter

    Hay,


    hat das Dingens wirklich nur 5G - mit OS? Klingt ohnehin sehr knapp...


    However, Du kannst Dich mit dem du -h behelfen. Damit kannst Du verzeichnisweise herausfinden, wie voll die sind und Dich weiter durchhangeln. Also wenn Du wissen willst, wieviel im etc drin sind: dh -h /etc/. Das -h steht für "human readable", damit schön in Kilobyte, Megabyte oder Gigabyte angezeigt wird.


    Favoriten für viel Speicherverbrauch sind /var/ (z.B. Logfiles im /var/log/, zum Beispiel des Systems oder des Webservers; ev. logrotate aktivieren falls noch nicht geschehen und für die Partitionsgröße passen konfigurieren) und /tmp/.


    CU, Peter

    Hay,

    Hallo, du könntest einen DynDNS Dienst nutzen und diese Adresse in der Firewall (iptables?) eintragen. Das sollte dein Problem lösen.

    das wird dieses spezielle Problem NICHT lösen, da iptables nur IP-Adressen verwaltet. Man kann zwar auch einen Domainnamen angeben, wenn man die Regel einträgt, aber dann wird nichts anderes gemacht als ein spontaner DNS-Lookup und die erhaltene IP-Adresse (des Moments) fix eingetragen.


    OpenVPN fühlt sich hier in der Tat als die Lösung der Wahl an.


    CU, Peter

    Hay,


    macht mir die Meldung aktuell Angst, dass nachher irgendwelche Skripte o.ä. gelöscht sind


    üblicherweise begegnet man seiner Angst so, dass man einen Dump von den Datenbanken macht und zusammen mit den Inhalten des Webservers auf seinen lokalen Rechner herunterlädt. Empfiehlt sich bisweilen sowieso mal zu machen. Dann kann mit dem Webspace passieren, was will... wenn man ein Backup hat.


    CU, Peter

    Hay,


    wie mein Vorredner: Ich bin kein Webhosting-Kunde, sondern genieße die Vorzüge, auf meinem Server sehr freizügig machen zu können, was ich will.


    Ein ähnliches Problem hatte ich aber mal bei einem anderen Webhoster (kein Zugriff auf php.ini), da hatte ich zwei alternative Lösungsmöglichkeiten:


    1) Auf Verzeichnisebene konnte ich eine Datei mit Namen .user.ini (führender Punkt!) anlegen, mit der für dieses Verzeichnis Konfigurationswerte gesetzt werden konnten. Muss dann in jedes Verzeichnis, für die die Werte gelten soll, wenn also so etwas wie typo3 läuft, wirds ziemlich nervige Arbeit. Sofern man ssh-Zugriff hat, eine Hauptdatei anlegen und den Rest mit Symlinks erledigen (in .htaccess FollowSymlinks nicht vergessen).

    Nachschlag: http://php.net/manual/de/configuration.file.per-user.php


    2) Es gibt einen Befehl innerhalb PHP, um Einstellungen des laufenden Scripts zu überschreiben: ini_set(). Nachschlag: http://php.net/manual/de/function.ini-set.php


    - und als ergänzende Bemerkung -


    3) Ich glaube nicht, dass hier PHP als php_mod im Apache läuft. Wenn aber doch, dann liesse es sich durch die Konfiguration in der .htaccess-Datei realisieren.


    Was alle drei gemeinsam haben: Nicht jede Konfigurationsvariable lässt sich ändern.


    Viel Erfolg!


    CU, Peter

    Hay,

    Kann ich mir nicht vorstellen. Dann lege ich als externe Domain "gmail.com" an und kann ab da alle Mails von Kunden, die an gmail versendet werden, abfangen..

    Unsinn - dass es als externe Domain angelegt ist, heißt ja nicht, dass ein DNS darauf verweist. Aber Du kannst eine Domain in einem anderen DNS, den DU UNTER KONTROLLE HAST auf Deine IP-Adresse verweisen lassen, die bei einem Hoster liegt, welche die Domain nicht im Zugriff hast. So funktioniert DNS halt.


    Im Gegenteil. Die Virenscanner schreibschützen die Hosts-Datei auf Deinem Rechner, weil Du damit Spoofen kannst - trag "<deine IP> gmail.com" ein und leg auf Deine IP einen Webserver, der auf gmail.com antwortest und bau das Google-Login nach und Du kannst die gmail-Accounts des gehackten Rechners pishen.


    CU, Peter