naja nicht ganz, gerade da PHP ein zeitlimit hat und so kann man damit nicht eben so einen hintergrundprozess erstellen.
schaden anrichten kann man sicher aber weniger schaden ist besser
Posts by My1
-
-
über den support ist auch irgendwie schade. vor allem wenn man es nur teilweise braucht, wäre eine mögliche bessere isolation der domains und wahlweise exec je nach domain exec oder nicht ziemlich nett.
-
exec und co waren mal abschaltbar, das wurde vor nicht allzu langer Zeit geändert. Das mit open_basedir ist wohl ttasächlich problematisch, aber eigentlich bei allen meinen Webhostings auch anderswo genauso oder eher noch schlechter geregelt. Also entweder gar nicht aktiv oder grundsätzlich auf den kompletten Webspace begrenzt. Wobei aktiviertes open_basedir nebenbei auch eine ordentliche Performance-Bremse ist.
naja aktiviert ist open_basedir ja sowieso.
ich müsste mal schauen wie es genau bei anderen war aber bspw bekomme ich bei i-mscp für jede angelegte domain/subdomain ne eigene ordnerstruktur im userhome und wahrscheinlich ist open_basedir dann wohl auf diese beschränkt. würde zumindest sinn machen, da man so daten außerhalb des docroot haben kann aber eben ohne dass diese gleich den ganzen webspace übernehmen können.
aber auch lol dass es nicht mehr abschaltbar ist, wie gesagt, mMn gehört sowas per default an und nur mit warnungen aus, dann würden zumindest einige dieser infektionen deutlich weniger schaden anrichten, da diese eben mit den limits von PHP laufen und eben nicht in ner ganzen shell
-
Bist du dir da sicher?
ich habe zwar etwas verdreht aber ja.
es steht nicht die Kundennummer sondern die hostingnummer dran.
mal abgeshehen von meinem Persönlichem Account administriere ich bei 2 weiteren und beide weisen dieses schema auf.
Doch selbst wenn, bedeutet das nicht, dass das auch die Adresse ist, die der Server für ausgehende Verbindungen benutzt
okay gutes argument.
was mich aber auch wundert ist warum einfach mal exec und co an und nicht abschaltbar ist? ich meine einfach mal binaries starten ist was was der durchnittsuser nicht braucht und erst recht kein wordpress, normal gehört exec und alles aus der kategorie per default aus und zugeschaltet wenn mans braucht.
was auch nett wäre wäre die open basedir methode so zu machen dass man extra ordner in seinem webspace spezifizieren kann die außerhalb des docroot sind und zugegriffen werden dürfen (wie bspw einen data ordner für eine nextcloud oder so) ohne dass man gleich zugriff auf den ganzen webspace geben muss (bessere isolierung der domains).
exec sollte normal eigentlich die allerletzte lösung für irgendwas sein.
-
Wäre wahrscheinlich auch technisch wesentlich aufwändiger herauszufinden aus welchem Ordner heraus die Attacken kommen
naja das steht ja direkt im log drin, der per mail.
Da ist dann halt die Quelladresse die vom Netcup Server
meine ich ja mit "von mir". bei IPv6 hat ja jeder kunde seine eigene und da steht ja die kundennummer dran.
-
und da ich scheinbar nicht bearbeiten kann hänge ich noch ne frage an:
wie kommt die IPv6 zustande die nicht von mir ist?
-
selbst ohne backup wäre es nicht SO schlimm, da es nur mein test-WP ist.
aber warum muss netcup immer gleich alles zumachen? mMn etwas extrem.
-
Hallo,
ich habe heute eine abusemeldung bekommen dass angeblich irgendwelche "stealth-prozesse" auf meinem test-wordpress laufen, dass ich kürzlich via Wordfence abgesichert habe
und zum einem gibts eine lange liste mit IP zeug und zum anderem eine liste von dateien die irgendwelches zeug machen (das ich ganz ehrlich nicht komplett verstehe), aber da wird der ordner von Wordfence erwähnt (wflogs), ich bin mir ganz ehrlich nicht ganz sicher was da los ist, ich hab das ding mit wordfence kürzlich aufgeräumt und 2FA angemacht und so weiter, sodass eigentlich das ja abgesichert sein sollte.
ganz ehrlich ich weiß auch nicht was da los sein soll? vor allem weil es meinen main blog scheinbar gar nicht betrifft, der ja auch wordfence drauf hat.
was mich eben falls wundert ist dass die quelladressen die IPv6 sind nicht von mir sind (meine hat 89ee im 4. block)
dazu wäre es mal echt nett wenn netcup nicht gleich alles zu machen würde bei nem abuse, sondern nur betroffene domains oder so.
was sollte man da am besten machen? das ding einfach niederbrennen und neu machen?
(auch lol scheinbar werden hier domains zensiert dass man nciht mal logs sinnvoll posten kann
-
Oha, unter dem roten Button würde ich definitiv den Löschen-Button vermuten und dann instinktiv auf den grauen klicken, wenn ich das abbrechen wollen würde
volle zustimmung, das ist schon etwas lustig (/s) aber gut dass es das überhaupt gibt
-
es gab aber noch nicht immer eine Warnung. als ich eine externe Domain bei einem Netcup konto hatte das ich verwalte, und diese dann bei einem anderem konto einspielen wollte gab es bei der löschung der domain aus den externen keine hinweise, keine sicherheitsabfragen GAR NICHTS.
einfach nur klick, warten, weg, fand ich nicht schön.
war kein wirklicher schaden entstanden, aber es war halt schon doof.
Ich habe noch das Video vom Februar, das ich an den support sendete.
es wurde kein tarif oder nichts gekündigt, nur die domain abgezogen. ich ging davon aus dass ich erst die domain schieben kann da das eh dauert und in der zwischenzeit dann die daten via SFTP übertragen kann, nope, nix is
Edit: keine ahnung ob es dort jetzt eine abfrage gibt, eine vorwarnung wie oben gezeigt gibts jedenfalls bei externen domains aktuell scheinbar nicht und ich werde es nicht nochmal extra probieren
Edit 2: ich fände es ja nett wenn netcup via script vor dem löschen die daten einfach mal alle flott exportiert und im hostingroot (nicht document root lol) ablegt, einfach weils nett ist
-
gibts zu dem sinnvolle updates? das problem ist der ist ja ne ganze ecke vor der 2119 wo die wortwahl standardisiert wurde. (sieht man auch daran dass "may" kleingeschrieben ist)
damals galt wahrscheinlich eher normales englisch.
und wenn man da mal den folgendenden satz baut:
"You may cache the record for X seconds"
zu deutsch:
"du darfst den record für X sekunden zwischenspeichern".
das klingt für mich nach ner Maximumforderung, selbst nach 2119 w+rde ich denken dass es ein "solange oder gar nicht" ist.
damit wäre normal eher gemeint cache solange oder lass es und nicht cache in die ewigkeit.
die einzige sichere lösung ist wahrscheinlich ein update das das genauer fasst, denn ich finde das unendlich cachen von DNS zeug auch doof
-
Sofern man selbst SSHFP-Einträge im CCP für die dort verwalteten Domänen anlegt, sieht man die key fingerprints dort ja auch; verwendet man nicht-öffentliche Einträge/eigene Nameserver, lassen sich diese zumindest explizit manuell abfragen:
und wo soll ich die keys herholen die ich da eintrage, ich generiere die ja nicht sondern Netcup (also bei den servern von bspw webhosting)
Und die PubKeys der User bekommst du über unsichere Kanäle zugesandt, die du dann blind akzeptierst? Ich denke nicht.
zu ende lesen. es wurde gesagt:
Somit ist da kein "sicherer Kanal" im Sinne von Vertraulichkeit nötig.
ich hab mal markiert.
solange du sicherstellen kannst, dass die information echt ist bspw signatur oder telefongespräch was weiß ich, braucht man keine geheimhaltung bsow verschlüsselung, da es nur um pubkeys geht.
die Idee dass Netcup bei seinen eigenen SSH instanzen den serverpubkey mal irgendwo fallen lässt wäre ja schon geil da man selbst ohne SSHFP zumindest manuell nachschauen kann und im ccp hat man ja HTTPS also (zumindest einigermaßen) einen sicheren kanal
Fehlt nur noch ein Admin, der sich genauso verhält und jeden unsicher übertragenen PubKey blind akzeptiert
kriegst du bei den meisten hostern mit SSH Support, da man die server pubkeys nicht zu sehen bekommt
-
das ist sehr schade wäre aber verdammt praktisch. aber wie gesagt auch wenn clients es nicht prüfen könnte man die keys ja im panel listen sodass man diese selbst prüfen kann.
-
SSHFP klingt nett. was aber auch zumindest toll wäre wäre die SSH Prints im CCP/SCP/whatever zu zeigen, sodass man das zumindest dort sehen kann
-
aber sollte nicht zumindest TLS1.2 aktiv sein dass aktuelle clients einigermaßen sicher kommunizieren können? TLS1.0 only ist ja auch etwas doof.
