Beiträge von Netaction

Zitat von RAD750

Installier es selbst aus offiziellen Quellen und gut ist.

Ja, ich lese aber nicht alle Mailing Listen, mache tägliche Updates und gehe Checklisten aller Sicherheitsfunktionen durch, daher nehme ich lieber Plesk als gar nichts.

Zitat von nitram

Achtung Download Manager und "Download Manager Pro" sind zwei unterschiedliche Dinge... Haben ja auch andere Versionsnummern.

Klingt logisch, isch 'abe aber gar keinen Download Manager Pro. Aber ja, kann sein, dass Plesk hier ein Plugin sieht, das gar nicht existiert.

Ich bin gerade in allen Plugin-Verzeichnissen die Haupt-PHP-Dateien durchgegangen. Oben in den Kommentar mit den Meta-Daten steht wie erwartet bei keinem Download Manager Pro.

Dieser Bug ist aber für mich eher nebensächlich, vielleicht bekomme ich den selbst noch in den Griff. Schlimmer ist das hier:

Zitat von nitram

Für die erste Meldung gibt es noch kein Update. Denke deswegen wird die auch bleiben.

Doch natürlich. Es der Bug ist mit Wordpress 6.2.1 längst gefixt. Trotzdem meldet Plesk diese Warnung bei allen acht Wordpress-Seiten, die ich habe. Der Screenshot zeigt das:

Screenshot 2023-05-17 171508.png

Zitat von andreas.

Denn wenn du in Plesk als Admin über den Menüpunkt Erweiterungen diese Pakete immer aktuell hältst, bekommst du solche Meldungen auch nicht mehr.

Ich habe bei allen Seiten erzwungene Updates für Core, Themes und Plugins an.

Hi!

Ich habe ein Reseller-Paket. Das Wordpress-Toolkit von Plesk zeigt bei allen Seiten Sicherheits-Warnungen an, die so aussehen wie auf dem Bild. Wordpress ist in der aktuellen Version 6.2.1 und Download Manager in der aktuellen Version 3.2.71. Hat irgendjemand eine Idee, was hier los sein könnte?

Viele Grüße

Thomas

Screenshot 2023-05-17 151914.png

Ihr habt ja hammer coole Lösungen. Dass der Thread sich so entwickelt, hätte ich nie gedacht.

Vielen Dank für den Hinweis zur Storage Box, die habe ich mir gerade bestellt. Wobei Netcup auch bei Helzner wohnt, oder? Das ist also nicht 100% redundant.

Zitat von Copro

Servern, die hinter dem heimischen Router stehen

Mein Problem ist unter anderem, dass Plesk einen Timeout nach einer gewissen Übertragungszeit hat. Da meine Bandbreite mit 12MBit feststeht, ändert ein Raspi nichts. Die Lösung war, in Plesk das Backup in viele kleine 2GB-Blöcke zu teilen. Die Option heißt: "Backup über mehrere Datenträger erstellen, Datenträgergröße (MB)"

Zitat von Olivetti

damit bleiben mir dann auch alle möglichkeiten zum sichern offen

Das heißt, du sicherst auf dem selben Webspace-Paket über FTP? Und dann kann SCP darauf zugreifen? Klingt bis auf den doppelten Datenverbrauch auch sehr schlau.

Viele Grüße

Thomas

Hi!

Wahrscheinlich bin ich im falschen Forum. Und vielleicht ist auch meine Frage blöd, aber ich finde keine Antwort.

Ich administriere leider drei Reseller-Pakete bei Netcup für verschiedene Organisationen.

Wo lasst ihr Plesk die Backups speichern? Man kann ja nur FTP als Protokoll einstellen, also scheiden Dropbox und Co aus. Ein Backup auf die heimische Fritzbox geht, ist aber hakelig.

Viele Grüße

Thomas

Danke. Statify und Koko haben auch noch den riesen Vorteil, dass sie über Javascript arbeiten und damit auch bei eingeschaltetem Nginx-Cache funktionieren. Der Tipp ist super.

Hallo!

Ich habe ein paar Kunden, die ein Gefühl bekommen wollen, welche Seiten besonders oft besucht werden und wie viele Besuche es generell gibt. Sie wollen dafür keine unnötigen Daten erfassen. Netcup hat im Hosting bereits AWStats und Webalizer eingebaut. Die Probleme damit sind: Man braucht das SSH-Passwort zum Zugriff, und für alle Ewigkeit stehen IP-Adressen in der Auswertung.

Was kann einem Kunden statt dessen gegeben werden? Netcup speichert ja immer die Zugriffe der aktuellen Woche und der letzten Woche, also für 7-14 Tage. Ist es schlau, die Files für eine kleine Auswertung zu parsen? Wäre ein PHP-Script besser, das auf AWStats oder Webalizer zugreift und die wichtigsten Diagramme rausholt? Das Problem gab es bestimmt schon hundertmal, deshalb wollte ich hier fragen.

Alternativ könnte ein Javascript von einem Mini-Matomo geholt werden. Hat jemand so etwas im Einsatz für PHP oder als Wordpress-Plugin?

Viele Grüße

Thomas

Hi!

Lässt sich im Plesk des Webhosting Seafile installieren? Ich habe ein Reseller-Webhosting und damit auch Python. Ich weiß, das Python und Nodejs in Plesk ist fast nicht zu gebrauchen, aber vielleicht hat es doch schon jemand probiert.

Viele Grüße

Thomas

Der Netcup-Support schrieb, dass die Pakete im CCP nicht benannt werden können. Das war nicht die Frage, aber ich gebe es mal so weiter.

Mir wird gerade klar, dass ich den Reseller-Webspace ausprobieren sollte.

Dann werden die Projekte in Plesk verwaltet, und dort sind sie mit Namen aufgelistet.

Ich weiß wirklich nicht, warum ich das jetzt erst merke.

Mir fällt auch gerade auf, dass die Pakete auch in den Mails immer mit dem ganzen Text "…Webhosting 4000…" bezeichnet werden und nicht nur der Nummer. Der lässt sich doch bestimmt ändern.

Komisch, dass der Support nie hier antwortet.

Hi!

Wie lassen sich die Pakete benennen? Ich finde mich jetzt schon nicht durch, und die Zahl der Pakete wird erheblich wachsen.

Das Problem betrifft nicht nur das Customercontrolpanel. Auch die Rechnungen und die Wartungs-Mails enthalten bei mir nur die Zahlen.

Thomas

customercontrolpanel-hostings.jpg

Ich habe eine erstaunliche Information vom Support bekommen: PHP mail() soll gar nicht verwendet werden, sondern SMTP an einen richtigen Mailserver. Die Webserver sind für Mail nicht besonders geeignet. Gut zu wissen!

Also zur Ausgangsfrage: Der Fehler liegt bei Wordpress, das PHP mail() für eine gute Idee hält. Wir können aber ganz einfach in der wp_config.php über den Hook phpmailer_init SMTP konfigurieren.

Thomas

Webhosting 1000 geht, gar kein Problem. Allerdings können Webhosting 1000 glaube ich kein Cron, das heißt auch kein automatisches Backup. Deshalb habe ich alles auf Webhosting 2000.

Zitat von mainziman

die Mail, die Du übergibst, den Wert bereits gesetzt hat?

Es gibt tatsächlich ein Wordpress-Plugin mit 10 Zeilen, das genau das macht und den Return-Path setzt. (Quellcode)

Ist das hier ein Bug in Wordpress, und alle Netcup-Kunden müssen das Plugin installieren, oder ist der Fehler doch bei Netcup? Ich habe eben mit All-Incl und Domainfactory verglichen, die setzen schlauere Header.

Aus Sicht von SPF steht fest, dass einer der beiden kaputt ist und falsche Daten liefert.

Hallo!

Wordpress setzt in ausgehenden Mails keinen SENDER, sondern nur FROM.

Die Mails gehen über PHP mail() und Phpmailer an den Mailserver.

Phpmailer nimmt die From-Einstellung für den From: Header und die Sender-Einstellung für den MAIL FROM: Header. Im Falle von Wordpress gibt es MAIL FROM also nicht.

Die Mail geht weiter zum Postfix, wo aus MAIL FROM der Header Return-Path: wird.

Das ist alles so weit richtig, aber: Wordpress setzt ja am Anfang keinen SENDER, und am Ende kommt der Unix-Username als Return-Path raus. So kommt eine Mail von Wordpress an:

Return-Path: <hosting106351@hosting106351.a2f21.netcup.net>
...
Received: by a2f21.netcup.net (Postfix, from userid 31014) id C89AEF035D; Tue, 27 Oct 2020 22:22:28 +0100 (CET)
To: schmidt@netaction.de
Subject: [Netaction] Registrierung eines neuen Benutzers
Date: Tue, 27 Oct 2020 21:22:27 +0000
From: Edukids Noreply <edukids-noreply@charite.de>
Message-ID: <9rvEXV1yBYryTG9gg4GJ8rfUHrU54bMnVPnRtR2bCo@pflaume.netaction.de>
X-Mailer: PHPMailer 6.1.6 (https://github.com/PHPMailer/PHPMailer)
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
X-NC-CID: APixEyvKg8fcbJGmOFtEIJYbiK27iXsJr/o6l5YvjNqHWLoFCSmyD+sHJMfgwyr5S9MY1rOp/tJb7Ewi

Gibt es irgend ein Argument für diesen Return-Path? Ich habe viele andere Mailserver verglichen, die setzen alle FROM als Return-Path oder den Domainnamen der Webseite.

Ein Problem mit dieser Konfiguration entsteht in Spam-Filtern. SPF geht nach dem Return-Path, und da ergibt so eine Domain keinen Sinn. Hier ein Beispiel von Google Mail.

spf=neutral (google.com: 188.68.61.102 is neither permitted nor denied by best guess record for domain of hosting106351@hosting106351.a2f21.netcup.net) smtp.mailfrom=hosting106351@hosting106351.a2f21.netcup.net;

Ich könnte es verstehen, wenn Return-Path auf einen festgelegten Wert gesetzt wird, z.B. info@domainname. Aber wo lässt sich dieser Wert festlegen?

Mir ist bekannt, dass es im Customercontrolpanel eine Option für PHP mail() gibt und Wordpress über den Hook phpmailer_init den Wert setzen kann. Aber das sind Workarounds für einen fragwürdig konfigurierten Mailserver.

Viele Grüße

Thomas

Ich bekomme seit Tagen den selben Fehler beim Versand von Google Mail an Netcup Webspace. Scheinbar ist Sorbs leider immer noch im Einsatz.

554 5.7.1 Service unavailable; Client host [209.85.214.65] blocked using new.spam.dnsbl.sorbs.net; Currently Sending Spam See: http://www.sorbs.net/lookup.shtml?209.85.214.65

Ich sehe, dass seit meinem letzten Post die Einstellungsoptionen nachgebessert wurden. Es gibt jetzt zwei Möglichkeiten:

Default (unsicher)

open_basedir: {WEBSPACEROOT}{/}{:}{TMP}{/}{:}{/}var{/}lib{/}php5{/}sessions

upload_tmp_dir: {WEBSPACEROOT}{/}tmp

Uploads gehen hierhin:

/var/www/vhosts/hosting106xxx.xxxxx.netcup.net/tmp/php9P7L2K

Einstellbar (schon besser)

open_basedir: {DOCROOT}{/}{:}{TMP}{/}{:}{/}var{/}lib{/}php5{/}sessions{:}{WEBSPACEROOT}{/}tmp

upload_tmp_dir: {DOCROOT}{/}tmp

Uploads gehen hierhin:

/var/www/vhosts/hosting106xxx.xxxxx.netcup.net/domains/pflaume/tmp/phpfvP0wy

Die beiden TMP-Verzeichnisse und standardmäßige Session-Pfad können leer gehalten werden, damit sieht dieser Aspekt jetzt so weit in Ordnung aus.

Die ursprüngliche Frage, welche Einstellungen optimal sind, bleibt weiterhin offen. Es gibt ja Angreifer, die bei einem gehackten Wordpress

Privilege escalations automatisiert suchen. Das Thema sollte schon umfassend geklärt sein.

Ergänzung: Woltlab und einfache Upload-Scripte gehen nicht. Wordpress kommt mit den Setup klar, ich weiß nicht genau warum. Eventuell verstellt Wordpress das Upload-Verzeichnis?

Ich stelle gerade fest, dass upload_tmp_dir nicht innerhalb von open_basedir = {DOCROOT}{/}{:}{TMP}{/} liegt. Das ist laut PHP-Doku erlaubt:

Wenn das hier angegebene Verzeichnis nicht beschreibbar ist, nutzt PHP stattdessen das Standardverzeichnis für temporöre Dateien.

Nur leider scheint das Standardverzeichnis falsch gesetzt zu sein, es ist nämlich nicht das erlaubte /tmp. Dateien landen vielmehr hier:

/var/www/vhosts/hosting106xxx.xxxxx.netcup.net/tmp/phpox46IS

/var/www/vhosts/hosting106xxx.xxxxx.netcup.net/tmp/phpJbU5Oe

/var/www/vhosts/hosting106xxx.xxxxx.netcup.net/tmp/phpR8q4zZ

Bei mir sind also PHP-Uploads nur möglich, wenn die Domain Vollzugriff auf alle Domains hat.

Danke für die Einschätzung.

Das heißt, selbst wenn komplexe Privilege Escalations wie über mail() blockiert wären, wäre der Abschottung nicht zu trauen?

Sonst habe ich Lücken bei Hostern gefunden. Ihr sagt von euch aus, dass die Domains nicht richtig getrennt sind. Find ich gut!

Einzelne Pakete buchen ist ja kein Problem.