Beiträge von My1

Zitat von mainziman

ich denke Du solltest hier 'formell korrekt' definieren, denn lt. RFC ist das korrekt;

lies mal den satz danach. ich meine eben dass emails die nicht nur den zwingenden standards entsprechen, so am rand des machbaren, sondern eben auch in einer form abgesendet werden die nicht gerade den anschein bringt dass man vor hat müll zu bauen also eben bspw sich korrekt ausweisen, eben praktisch "höflich" sein hab vlt das wort formell falsch benutzt, da im englischen "formal" ja auch für höflich steht.

bzgl deines zweiten beispiels folge ich nicht ganz, der reject kommt weil du die ganze .com tld blockiert hast? (Sender address rejected: TLD (.com) blocked;)

dass da google helo sagt ist jetzt nicht vollkommen ungewöhnlich da es ncht nur Google Workspace sondern auch es als generelles feature in GMail die adressen anderer eigener E-Mail konten mitzunutzen, man kann auch das via SMTP korrekt machen, jedoch bietet google es auch an, es gleich direkt zu machen. ich bin nicht firm genug in Mail Logs um zu sagen ob in dem reject oben die die domain das HELO ist und die IP nachgeschlagen worde, oder die IP stimmt und die domain per Reverse Lookup kam oder beides so wie es ist da steht.

In Fact per DNS sieht man sofort dass hier google für E-Mails aktiv genutzt wird als MX und SPF. DMARC haben die gleich explizit ausgemacht.

rein anhand dieser daten würde ich noch keinen komplettblock machen, aber sicher je nach inhalt und sonstiger Daten in den Spam werfen.

Das eine blockade auf Absenderseite gegen blockierlisten hilft definitiv, ich meine eher dass der punkt wo du es um die header geht etwas von dem Thema der Blacklist etwas abschweift.

Mein problem ist halt dass diese blacklists mMn als viel zu heilig angesehen werden, und gerade eine komplette blockade aller mails einer IP insbesondere von einem Sharedhoster mMn recht overkill ist.

Zitat von mainziman

My1 habe soeben im Logfile meines Mailservers etwas interessantes gesichtet ...

Code

Jan 29 14:02:02 vhost01 postfix/smtpd[459]: NOQUEUE: reject: EHLO from statistics-survey.cert.at[83.136.32.58]: 554 5.7.1 <mail.example.com>: Helo command rejected: Host not found; proto=SMTP helo=<mail.example.com>

würdest Du das resultierende Mail tatsächlich - evtl. als SPAM markiert - in Deinem Postfach haben wollen?

(falls überhaupt ein Mail hier eingeworfen worden wäre, dass da einfach mal nach einem EHLO gleich ein QUIT gemacht wird, ist ja nicht ausgeschlossen)

ich wär der Meinung sowas sollte bereits bei der absendenden Stelle geblockt werden;

ich hab übrigens eine Art fail2ban am Laufen, sprich zu jede vollen 10 min werden die letzten 10 Minuten von /var/log/maillog ausgewertet, und dubiose Dinger per IP[6]tables blockiert;

Alles anzeigen

in so nem fall ist die mail aber sowieso nicht formell korrekt. ich meine schon von generell korrekten emails also dass sich leute u.a. richtig ausweisen und so weiter.

und ja so etwas was definitiv nix werden kann kann mMn auch von der sendenden stelle geblockt werden. mMn sollte netcup zumindest bei den hostingsachen auch eine absenderauthentifizoerung machen die funktioniert, denn es kann mit emailadressen versendet werden die einem nicht gehören.

das hat mit der blockierliste eher wenig zutun.

dazu kommt die frage was ist als "postfach" definiert? alles, oder eher der Posteingang?

Zitat von mainziman

Gegenfrage: welches Problem hättest Du, wenn der Hoster die Mails welche er sinnvollerweise nicht annimmt (SPAM-Filter am Incoming-Mailrelay),

gleich im Vorfeld auch am SMTP-Server verweigert?

Naja spamfilter auf postfach ebene geben in der regel dem User die möglichkeit nochmal zu schauen ob nicht gerade legitime mail dabei ist.

mMn sollte eine direkte abweisung eher auf parametern wie SPF und DMARC passieren wie der besitzer der Adresse des Absenders extra schon sagt, "weist das ab".

es ist schon blöd wenn der chef sich über netcup aufregt weil keine rechnungen versandt werden können, für etwas wo wir nicht schuld sind.

Zitat von mainziman

Ja

Nein

dann sei doch bitte so nett und gib diese mal durch, gerade auf nem shared hoster, wo jeder jeden ruinieren kann.

dazu gibt es weiterhin das problem dass wenn eine website bspw eine newsletteranmeldung hat (bei der man eigentlich nur die mailadresse anfordern sollte), dass jeder absichtlich ne spamtrap festlegen kann und die opt-in mail ist dann etwas problematisch.

und heuristik zum erkennen von einmal oder wegwerfadressen unahängig davon dass diese auch legitime nutzer treffen kann, funktioniert halt auch dann schlecht wenn alte nicht mehr genutzte (und damit legitime) adressen auch als spamtraps genutzt werden.

aber unabhängig von der seriösität von UCE kann es so schwer sein zu schauen welche e-mails die Spamsache auslösen? man bekommen ja ne minute und die weisen mails die spam treffen mit fehlern ab.

Zitat von mainziman

oder aber wie bescheuert jemand sein muss, dass er es immer noch nicht schnallt, dass er sich seinen Quark von Newsletter sparen kann,

wenn er zu doof ist, seine Adressen-Liste sorgfältig zu pflegen;

naja man sieht spamtrap adresse ja nicht und dank der ganzen sache mit opt-in kann man ja davon ausgehen dass die person erstmal ne woche gesperrt ist dank der opt-in mail. hat nicht mal was mit pflegen zutun, da man spamtrap adressen sicher nicht einfach maschinell erkennen kann, wäre ja sonst ziemlich bescheuert.

auch cool wenn auf der kontaktseite bei UCE

http://www.uceprotect.net/de/index.php?m=8&s=0

ne spamtrap email steht die jemand wundervoll missbrauchen kann um andere auf die Liste zu schicken.

Zitat von H6G

Jetzt soll jeder Australier mit einer Internetverbindung, der dadrüber eine Website anbietet, sich an deutsche Gesetze halten?

Und demnächst soll ich mich auch an das TMG von Timbuktu halten?

So funktioniert das Internet nurnmal nicht - und der Betreiber der Seite, ein Schweizer, muss jetzt nicht Gefahr laufen nach Deutschland ausgeliefert zu werden.

naja wenn man eine Seite erstellt die sich an Deutsche richtet, sollte man sich da an die regeln halten.

Zitat von mainziman

und der Urheber einer Seite kann auch Staatsbürger eines anderen Landes sein, und unterliegt somit NICHT Dt. Recht;

gabs da nicht irgendwie n rechtskonstrukt dass man sich an die gesetze des marktes halten muss in dem man agiert?

aber dass es jetzt seit 2 Tagen ein Lv3 gibt und es soweit ich sehen kann keine öffentliche Rückmeldung hier, sondern eher halt nur das übliche dass die nicht freikaufen als Antwort. (sorry for doppelpost, konnte nicht mehr den ersten post bearbeiten)

Wir haben in letzter zeit immer mal probleme mit Lv1 obwohl es bei uns nicht einmal Newsletter oder so gibt, vielleicht war jemand auf der gleichen webhosting IP aktiv oder so, und netcup hat uns immer gesagt dass der empfänger nicht UCE nutzen soll oder uns whitelisten oder so, wobei ich bezweifle dass das die Stadt einfach so machen würde.

naja nicht ganz, gerade da PHP ein zeitlimit hat und so kann man damit nicht eben so einen hintergrundprozess erstellen.

schaden anrichten kann man sicher aber weniger schaden ist besser

über den support ist auch irgendwie schade. vor allem wenn man es nur teilweise braucht, wäre eine mögliche bessere isolation der domains und wahlweise exec je nach domain exec oder nicht ziemlich nett.

Zitat von tab

exec und co waren mal abschaltbar, das wurde vor nicht allzu langer Zeit geändert. Das mit open_basedir ist wohl ttasächlich problematisch, aber eigentlich bei allen meinen Webhostings auch anderswo genauso oder eher noch schlechter geregelt. Also entweder gar nicht aktiv oder grundsätzlich auf den kompletten Webspace begrenzt. Wobei aktiviertes open_basedir nebenbei auch eine ordentliche Performance-Bremse ist.

naja aktiviert ist open_basedir ja sowieso.

ich müsste mal schauen wie es genau bei anderen war aber bspw bekomme ich bei i-mscp für jede angelegte domain/subdomain ne eigene ordnerstruktur im userhome und wahrscheinlich ist open_basedir dann wohl auf diese beschränkt. würde zumindest sinn machen, da man so daten außerhalb des docroot haben kann aber eben ohne dass diese gleich den ganzen webspace übernehmen können.

aber auch lol dass es nicht mehr abschaltbar ist, wie gesagt, mMn gehört sowas per default an und nur mit warnungen aus, dann würden zumindest einige dieser infektionen deutlich weniger schaden anrichten, da diese eben mit den limits von PHP laufen und eben nicht in ner ganzen shell

Zitat von Bachsau

Bist du dir da sicher?

ich habe zwar etwas verdreht aber ja.

es steht nicht die Kundennummer sondern die hostingnummer dran.

mal abgeshehen von meinem Persönlichem Account administriere ich bei 2 weiteren und beide weisen dieses schema auf.

Zitat von Bachsau

Doch selbst wenn, bedeutet das nicht, dass das auch die Adresse ist, die der Server für ausgehende Verbindungen benutzt

okay gutes argument.

was mich aber auch wundert ist warum einfach mal exec und co an und nicht abschaltbar ist? ich meine einfach mal binaries starten ist was was der durchnittsuser nicht braucht und erst recht kein wordpress, normal gehört exec und alles aus der kategorie per default aus und zugeschaltet wenn mans braucht.

was auch nett wäre wäre die open basedir methode so zu machen dass man extra ordner in seinem webspace spezifizieren kann die außerhalb des docroot sind und zugegriffen werden dürfen (wie bspw einen data ordner für eine nextcloud oder so) ohne dass man gleich zugriff auf den ganzen webspace geben muss (bessere isolierung der domains).

exec sollte normal eigentlich die allerletzte lösung für irgendwas sein.

Zitat von Valkyrie

Wäre wahrscheinlich auch technisch wesentlich aufwändiger herauszufinden aus welchem Ordner heraus die Attacken kommen

naja das steht ja direkt im log drin, der per mail.

Zitat von Valkyrie

Da ist dann halt die Quelladresse die vom Netcup Server

meine ich ja mit "von mir". bei IPv6 hat ja jeder kunde seine eigene und da steht ja die kundennummer dran.

und da ich scheinbar nicht bearbeiten kann hänge ich noch ne frage an:

wie kommt die IPv6 zustande die nicht von mir ist?

selbst ohne backup wäre es nicht SO schlimm, da es nur mein test-WP ist.

aber warum muss netcup immer gleich alles zumachen? mMn etwas extrem.

Hallo,

ich habe heute eine abusemeldung bekommen dass angeblich irgendwelche "stealth-prozesse" auf meinem test-wordpress laufen, dass ich kürzlich via Wordfence abgesichert habe

und zum einem gibts eine lange liste mit IP zeug und zum anderem eine liste von dateien die irgendwelches zeug machen (das ich ganz ehrlich nicht komplett verstehe), aber da wird der ordner von Wordfence erwähnt (wflogs), ich bin mir ganz ehrlich nicht ganz sicher was da los ist, ich hab das ding mit wordfence kürzlich aufgeräumt und 2FA angemacht und so weiter, sodass eigentlich das ja abgesichert sein sollte.

ganz ehrlich ich weiß auch nicht was da los sein soll? vor allem weil es meinen main blog scheinbar gar nicht betrifft, der ja auch wordfence drauf hat.

was mich eben falls wundert ist dass die quelladressen die IPv6 sind nicht von mir sind (meine hat 89ee im 4. block)

dazu wäre es mal echt nett wenn netcup nicht gleich alles zu machen würde bei nem abuse, sondern nur betroffene domains oder so.

was sollte man da am besten machen? das ding einfach niederbrennen und neu machen?

COMMAND    PID          USER   FD   TYPE     DEVICE SIZE/OFF NODE NAME
mwebp_64 18992 hostingXXXXXX    5u  IPv4 1323492481      0t0  TCP 91.204.46.61:46434->31.22.2.93:https (SYN_SENT)
mwebp_64 18992 hostingXXXXXX   15u  IPv4 1323476517      0t0  TCP 91.204.46.61:54208->213.186.33.2:http (SYN_SENT)
mwebp_64 18992 hostingXXXXXX   16u  IPv4 1323487634      0t0  TCP 91.204.46.61:35446->178.62.45.113:https (ESTABLISHED)
mwebp_64 18992 hostingXXXXXX   17u  IPv4 1323481863      0t0  TCP 91.204.46.61:36570->87.98.154.146:https (SYN_SENT)
mwebp_64 18992 hostingXXXXXX   18u  IPv4 1323520350      0t0  TCP 91.204.46.61:37506->148.72.8.193:https (ESTABLISHED)
mwebp_64 18992 hostingXXXXXX   19u  IPv4 1323485353      0t0  TCP 91.204.46.61:54182->198.54.126.24:https (SYN_SENT)
mwebp_64 18992 hostingXXXXXX   21u  IPv6 1323486575      0t0  TCP [2a03:4000:30:a517::14:2841]:45518->[2606:4700:3031::681b:b598]:https (ESTABLISHED)

COMMAND    PID          USER   FD      TYPE             DEVICE SIZE/OFF       NODE NAME
mwebp_64 18992 hostingXXXXXX  cwd       DIR                8,3     4096  129892366 /var/www/vhosts/hostingXXXXXX.a2e3d.netcup.net/subdomains/wptest/wp-content
mwebp_64 18992 hostingXXXXXX  rtd       DIR                8,3     4096          2 /
mwebp_64 18992 hostingXXXXXX  txt       REG                8,3  2389416  129892442 /var/www/vhosts/hostingXXXXXX.a2e3d.netcup.net/subdomains/wptest/wp-content/mwebp_64 (deleted)
mwebp_64 18992 hostingXXXXXX  mem       REG                8,3  1738176     393227 /lib/x86_64-linux-gnu/libc-2.19.so
mwebp_64 18992 hostingXXXXXX  mem       REG                8,3   140928     393224 /lib/x86_64-linux-gnu/ld-2.19.so
mwebp_64 18992 hostingXXXXXX  mem       REG                8,3   137384     393222 /lib/x86_64-linux-gnu/libpthread-2.19.so
mwebp_64 18992 hostingXXXXXX    0r      CHR                1,3      0t0       1028 /dev/null
mwebp_64 18992 hostingXXXXXX    1w      CHR                1,3      0t0       1028 /dev/null
mwebp_64 18992 hostingXXXXXX    2w      CHR                1,3      0t0       1028 /dev/null
mwebp_64 18992 hostingXXXXXX    3r      CHR                1,3      0t0       1028 /dev/null
mwebp_64 18992 hostingXXXXXX    4u      REG                8,3        5  129892419 /var/www/vhosts/hostingXXXXXX.a2e3d.netcup.net/subdomains/wptest/wp-content/.pid
mwebp_64 18992 hostingXXXXXX    5u     IPv4         1323544700      0t0        TCP a2e3d.netcup.net:43046->ns44-out.dnscini.com:http (ESTABLISHED)
mwebp_64 18992 hostingXXXXXX    6u     unix 0xffff92fe68ed8400      0t0 1318155284 /var/lib/apache2/fcgid/sock/4709.274
mwebp_64 18992 hostingXXXXXX    7u     0000               0,11        0       7639 anon_inode
mwebp_64 18992 hostingXXXXXX    8r      CHR                1,9      0t0       1033 /dev/urandom
mwebp_64 18992 hostingXXXXXX    9u      REG                8,3       51  130025264 /var/www/vhosts/hostingXXXXXX.a2e3d.netcup.net/subdomains/wptest/wp-content/wflogs/ips.php
mwebp_64 18992 hostingXXXXXX   10u      REG                8,3      611  130025334 /var/www/vhosts/hostingXXXXXX.a2e3d.netcup.net/subdomains/wptest/wp-content/wflogs/config.php
mwebp_64 18992 hostingXXXXXX   11u      REG                8,3    40083  130025341 /var/www/vhosts/hostingXXXXXX.a2e3d.netcup.net/subdomains/wptest/wp-content/wflogs/attack-data.php
mwebp_64 18992 hostingXXXXXX   12u      REG                8,3    11576  130025329 /var/www/vhosts/hostingXXXXXX.a2e3d.netcup.net/subdomains/wptest/wp-content/wflogs/config-synced.php
mwebp_64 18992 hostingXXXXXX   13u      REG                8,3      913  130025366 /var/www/vhosts/hostingXXXXXX.a2e3d.netcup.net/subdomains/wptest/wp-content/wflogs/config-livewaf.php
mwebp_64 18992 hostingXXXXXX   14u      REG                8,3  1238216  130025343 /var/www/vhosts/hostingXXXXXX.a2e3d.netcup.net/subdomains/wptest/wp-content/wflogs/config-transient.php
mwebp_64 18992 hostingXXXXXX   15u     IPv4         1323537960      0t0        TCP a2e3d.netcup.net:42614->cluster002.---.net:http (SYN_SENT)
mwebp_64 18992 hostingXXXXXX   16u     IPv4         1323543898      0t0        TCP a2e3d.netcup.net:48956->premium37-1.web-hosting.com:https (SYN_SENT)
mwebp_64 18992 hostingXXXXXX   17u     IPv4         1323525851      0t0        TCP a2e3d.netcup.net:39920->vps-212557.genesysapp.site:https (ESTABLISHED)
mwebp_64 18992 hostingXXXXXX   18u     IPv4         1323531988      0t0        TCP a2e3d.netcup.net:47070->da601.elit.net:https (ESTABLISHED)
mwebp_64 18992 hostingXXXXXX   19u     IPv4         1323535310      0t0        TCP a2e3d.netcup.net:40568->vs1051.eigenwijze.nl:https (ESTABLISHED)
mwebp_64 18992 hostingXXXXXX   20u     IPv4         1323532732      0t0        TCP a2e3d.netcup.net:39990->sh1.robohost.nl:http (SYN_SENT)
mwebp_64 18992 hostingXXXXXX   21u     IPv4         1323538149      0t0        TCP a2e3d.netcup.net:44722->server263-31.web-hosting.com:https (SYN_SENT)
mwebp_64 18992 hostingXXXXXX   22u     IPv4         1323533692      0t0        TCP a2e3d.netcup.net:39902->world-346.fr.planethoster.net:https (SYN_SENT)
mwebp_64 18992 hostingXXXXXX   23u     IPv4         1323546981      0t0        TCP a2e3d.netcup.net:57142->webs01rdns1.websouls.net:http (SYN_SENT)
mwebp_64 18992 hostingXXXXXX   24u     IPv4         1323531629      0t0        TCP a2e3d.netcup.net:45560->dedi259.jnb3.host-h.net:http (SYN_SENT)
mwebp_64 18992 hostingXXXXXX   25u     IPv4         1323546206      0t0        TCP a2e3d.netcup.net:49176->server181-3.web-hosting.com:https (SYN_SENT)
mwebp_64 18992 hostingXXXXXX   26u     IPv4         1323495104      0t0        TCP a2e3d.netcup.net:44720->full-cdn-01.cluster014.---.net:https (SYN_SENT)
mwebp_64 18992 hostingXXXXXX   27u     IPv4         1323535267      0t0        TCP a2e3d.netcup.net:53084->bugis.warnahost.com:https (ESTABLISHED)
mwebp_64 18992 hostingXXXXXX   28u     IPv4         1323536207      0t0        TCP a2e3d.netcup.net:56668->ip-166-62-28-94.ip.secureserver.net:https (SYN_SENT)

(auch lol scheinbar werden hier domains zensiert dass man nciht mal logs sinnvoll posten kann

Zitat von mfnalex

Oha, unter dem roten Button würde ich definitiv den Löschen-Button vermuten und dann instinktiv auf den grauen klicken, wenn ich das abbrechen wollen würde

volle zustimmung, das ist schon etwas lustig (/s) aber gut dass es das überhaupt gibt