Posts by My1

Bachsau wrote:

Bist du dir da sicher?

ich habe zwar etwas verdreht aber ja.

es steht nicht die Kundennummer sondern die hostingnummer dran.

mal abgeshehen von meinem Persönlichem Account administriere ich bei 2 weiteren und beide weisen dieses schema auf.

Bachsau wrote:

Doch selbst wenn, bedeutet das nicht, dass das auch die Adresse ist, die der Server für ausgehende Verbindungen benutzt

okay gutes argument.

was mich aber auch wundert ist warum einfach mal exec und co an und nicht abschaltbar ist? ich meine einfach mal binaries starten ist was was der durchnittsuser nicht braucht und erst recht kein wordpress, normal gehört exec und alles aus der kategorie per default aus und zugeschaltet wenn mans braucht.

was auch nett wäre wäre die open basedir methode so zu machen dass man extra ordner in seinem webspace spezifizieren kann die außerhalb des docroot sind und zugegriffen werden dürfen (wie bspw einen data ordner für eine nextcloud oder so) ohne dass man gleich zugriff auf den ganzen webspace geben muss (bessere isolierung der domains).

exec sollte normal eigentlich die allerletzte lösung für irgendwas sein.

Valkyrie wrote:

Wäre wahrscheinlich auch technisch wesentlich aufwändiger herauszufinden aus welchem Ordner heraus die Attacken kommen

naja das steht ja direkt im log drin, der per mail.

Valkyrie wrote:

Da ist dann halt die Quelladresse die vom Netcup Server

meine ich ja mit "von mir". bei IPv6 hat ja jeder kunde seine eigene und da steht ja die kundennummer dran.

und da ich scheinbar nicht bearbeiten kann hänge ich noch ne frage an:

wie kommt die IPv6 zustande die nicht von mir ist?

selbst ohne backup wäre es nicht SO schlimm, da es nur mein test-WP ist.

aber warum muss netcup immer gleich alles zumachen? mMn etwas extrem.

Hallo,

ich habe heute eine abusemeldung bekommen dass angeblich irgendwelche "stealth-prozesse" auf meinem test-wordpress laufen, dass ich kürzlich via Wordfence abgesichert habe

und zum einem gibts eine lange liste mit IP zeug und zum anderem eine liste von dateien die irgendwelches zeug machen (das ich ganz ehrlich nicht komplett verstehe), aber da wird der ordner von Wordfence erwähnt (wflogs), ich bin mir ganz ehrlich nicht ganz sicher was da los ist, ich hab das ding mit wordfence kürzlich aufgeräumt und 2FA angemacht und so weiter, sodass eigentlich das ja abgesichert sein sollte.

ganz ehrlich ich weiß auch nicht was da los sein soll? vor allem weil es meinen main blog scheinbar gar nicht betrifft, der ja auch wordfence drauf hat.

was mich eben falls wundert ist dass die quelladressen die IPv6 sind nicht von mir sind (meine hat 89ee im 4. block)

dazu wäre es mal echt nett wenn netcup nicht gleich alles zu machen würde bei nem abuse, sondern nur betroffene domains oder so.

was sollte man da am besten machen? das ding einfach niederbrennen und neu machen?

(auch lol scheinbar werden hier domains zensiert dass man nciht mal logs sinnvoll posten kann

mfnalex wrote:

Oha, unter dem roten Button würde ich definitiv den Löschen-Button vermuten und dann instinktiv auf den grauen klicken, wenn ich das abbrechen wollen würde

volle zustimmung, das ist schon etwas lustig (/s) aber gut dass es das überhaupt gibt

es gab aber noch nicht immer eine Warnung. als ich eine externe Domain bei einem Netcup konto hatte das ich verwalte, und diese dann bei einem anderem konto einspielen wollte gab es bei der löschung der domain aus den externen keine hinweise, keine sicherheitsabfragen GAR NICHTS.

einfach nur klick, warten, weg, fand ich nicht schön.

war kein wirklicher schaden entstanden, aber es war halt schon doof.

Ich habe noch das Video vom Februar, das ich an den support sendete.

es wurde kein tarif oder nichts gekündigt, nur die domain abgezogen. ich ging davon aus dass ich erst die domain schieben kann da das eh dauert und in der zwischenzeit dann die daten via SFTP übertragen kann, nope, nix is

Edit: keine ahnung ob es dort jetzt eine abfrage gibt, eine vorwarnung wie oben gezeigt gibts jedenfalls bei externen domains aktuell scheinbar nicht und ich werde es nicht nochmal extra probieren

Edit 2: ich fände es ja nett wenn netcup via script vor dem löschen die daten einfach mal alle flott exportiert und im hostingroot (nicht document root lol) ablegt, einfach weils nett ist

gibts zu dem sinnvolle updates? das problem ist der ist ja ne ganze ecke vor der 2119 wo die wortwahl standardisiert wurde. (sieht man auch daran dass "may" kleingeschrieben ist)

damals galt wahrscheinlich eher normales englisch.

und wenn man da mal den folgendenden satz baut:

"You may cache the record for X seconds"

zu deutsch:

"du darfst den record für X sekunden zwischenspeichern".

das klingt für mich nach ner Maximumforderung, selbst nach 2119 w+rde ich denken dass es ein "solange oder gar nicht" ist.

damit wäre normal eher gemeint cache solange oder lass es und nicht cache in die ewigkeit.

die einzige sichere lösung ist wahrscheinlich ein update das das genauer fasst, denn ich finde das unendlich cachen von DNS zeug auch doof

m_ueberall wrote:

Sofern man selbst SSHFP-Einträge im CCP für die dort verwalteten Domänen anlegt, sieht man die key fingerprints dort ja auch; verwendet man nicht-öffentliche Einträge/eigene Nameserver, lassen sich diese zumindest explizit manuell abfragen:

und wo soll ich die keys herholen die ich da eintrage, ich generiere die ja nicht sondern Netcup (also bei den servern von bspw webhosting)

customer wrote:

Und die PubKeys der User bekommst du über unsichere Kanäle zugesandt, die du dann blind akzeptierst? Ich denke nicht.

zu ende lesen. es wurde gesagt:

gunnarh wrote:

Somit ist da kein "sicherer Kanal" im Sinne von Vertraulichkeit nötig.

ich hab mal markiert.

solange du sicherstellen kannst, dass die information echt ist bspw signatur oder telefongespräch was weiß ich, braucht man keine geheimhaltung bsow verschlüsselung, da es nur um pubkeys geht.

die Idee dass Netcup bei seinen eigenen SSH instanzen den serverpubkey mal irgendwo fallen lässt wäre ja schon geil da man selbst ohne SSHFP zumindest manuell nachschauen kann und im ccp hat man ja HTTPS also (zumindest einigermaßen) einen sicheren kanal

customer wrote:

Fehlt nur noch ein Admin, der sich genauso verhält und jeden unsicher übertragenen PubKey blind akzeptiert

kriegst du bei den meisten hostern mit SSH Support, da man die server pubkeys nicht zu sehen bekommt

das ist sehr schade wäre aber verdammt praktisch. aber wie gesagt auch wenn clients es nicht prüfen könnte man die keys ja im panel listen sodass man diese selbst prüfen kann.

SSHFP klingt nett. was aber auch zumindest toll wäre wäre die SSH Prints im CCP/SCP/whatever zu zeigen, sodass man das zumindest dort sehen kann

aber sollte nicht zumindest TLS1.2 aktiv sein dass aktuelle clients einigermaßen sicher kommunizieren können? TLS1.0 only ist ja auch etwas doof.