Posts by Domvnxk

Quote from cedrickany

Hi, ich habe seit gestern um 15 Uhr genau das gleiche Problem, auch bei Webhosting 8000.
Bei mir wurde der Miner vermutlich über eine Umami Installation (verwendet Next.js 15) eingeschleust.
Leider hat sich der Support bis jetzt nicht bei mir gemeldet, sodass meine Services und Webseiten seit gestern offline sind.

Vielleicht findet sich ja hier im Forum ein Support Mitarbeiter, welcher das anliegen schneller bearbeiten kann.

Domvnxk wie hast du die betroffenen Dateien gefunden und gelöscht?
Soweit ich weis gibt es bei dem Hosting kein Zugriff auf zB htop um weitere "unerwünschte" Prozesse im Hintergrund zu finden.

Display More

Ich hatte über SSH (Termius) bzw. SFTP Zugriff während meines Wartungsfensters. So bin ich vorgegangen:

Miner finden:

Der Pfad stand ja schon in der Abuse-Meldung (/var/www/vhosts/.../c3pool/). Per SFTP konnte ich das Verzeichnis direkt sehen und löschen. Darin waren:

- xmrig (die Miner-Binary)

- miner.sh (Startscript)

- config_background.json / config.json

- xmrig.log

Persistenz-Mechanismus:

Wichtig - der Angreifer hat auch die .profile Datei im Root-Verzeichnis modifiziert, damit der Miner bei jedem Login neu startet. Die musst du auch bereinigen:

cat .profile

Falls da ein Verweis auf den Miner drin steht, einfach leeren:

echo "" > .profile

Nach weiteren Backdoors suchen:

ls -la
find . -name ".*" -type f
ls -la .ssh/

Danach:

- Alle Passwörter ändern (SSH/FTP)

- Umami bzw. Next.js updaten (npm audit fix)

- CVE-2025-29927 betrifft Next.js < 15.2.3

Wegen Support: Ich hatte am Freitag ein Wartungsfenster für Montag beantragt, das ging relativ schnell. Am besten über das CCP Ticket erstellen, falls noch nicht gemacht.

Update: Problem gelöst

Konnte den Angriffsvektor bestätigen – war tatsächlich CVE-2025-29927 (Next.js 15 RCE). Zwei meiner Seiten liefen auf Next.js 15.0.4 bzw. 15.1.6, die Infektion kam 2 Tage nach Veröffentlichung der CVE.

Was ich gefunden habe:

- Miner lag in /c3pool/ mit config, script und log

- Persistenz über modifizierte .profile (Autostart bei Login)

- Keine Spuren in Access-Logs (typisch für diesen Exploit)

Bereinigung:

- c3pool/ Verzeichnis gelöscht

- .profile zurückgesetzt

- Alle Passwörter geändert

- npm audit fix auf allen Projekten, Next.js 15 auf gepatchte Versionen aktualisiert

Für alle mit Next.js 15: Unbedingt npm audit laufen lassen und updaten!

Danke nochmal an @[netcup] Lars S. für den Hinweis!

Quote from [netcup] Lars S.

Hallo Domvnxk,

wir hatten da heute einige betroffene Kunden, anscheinend stets im Zusammenhang mit NodeJS.

Ich vermute, es besteht hierzu ein Zusammenhang:

https://www.golem.de/news/auch…rsysteme-2512-202894.html

Vielleicht hilft dir das ja bereits.

Ich wünsche dir ein schönes Wochenende.

Display More

Hey Lars,

vielen Dank für die Rückmeldung, das wird es wahrscheinlich sein…

Schaue ich mir am Montag auf jeden Fall an!

Dir ein schönes Wochenende! 😊

Hallo zusammen,

ich habe heute eine Abuse-Meldung von Netcup erhalten – mein Webhosting-Account wurde wegen "schadhafter Stealth-Prozesse" gesperrt. Konkret wurde ein XMRig Miner gefunden:

xmrig --config=/var/www/vhosts/.../c3pool/config_background.json

Ich bin ehrlich gesagt etwas überfragt, wie das passieren konnte, und hoffe dass jemand von euch vielleicht ähnliche Erfahrungen gemacht hat.

Mein Setup:

• Webhosting 8000, schon länger in Betrieb
• Mehrere Node.js-Webseiten (Dashboards, CDN, Landingpages für Discord-Bots)
• Keine Upload-Funktionen, die direkt aufs Webhosting schreiben
• Datenspeicherung läuft komplett über separate Root-/KVM-Server
• Aktiv verändert habe ich seit Monaten nichts

Meine Vermutung:

Möglicherweise veraltete npm-Pakete? Ich gebe zu, dass ich Updates da nicht regelmäßig gemacht habe. Andere Einfallstore kann ich mir bei meinem Setup kaum vorstellen.

Meine Fragen:

1. Hat jemand von euch schon mal so einen Fall gehabt? Wie seid ihr vorgegangen?
2. Gibt es bestimmte Logs oder Stellen, die ich im Wartungsfenster prioritär prüfen sollte?
3. Irgendwelche Tipps, wie ich den genauen Angriffsvektor identifizieren kann?

Wartungsfenster habe ich für Montag beantragt. Bin für jeden Hinweis dankbar!

Danke und schönes Wochenende

Quote from Paul

Ja, es sind immer wieder die gleichen Produkte. Monat für Monat, Jahr für Jahr. Aber trotzdem sind es gute Angebote. Man bekommt das reguläre Produkt mit monatlicher Kündigungsfrist und zusätzlich +100% SSD. Die Webhosting Produkte sind deutlich reduziert. Wenn man gerade Bedarf hat, lohnen diese sich definitiv (alleine schon wegen der kurzen Vertragslaufzeit - was erfreulicherweise mittlerweile zum Standard geworden ist - früher gab es die Aktionsprodukte fast immer nur in einem Jahrestarif). Wir Stammkunden sind sicherlich mittlerweile gut eingedeckt (vor allem weil es die Aktion jeden Monat gibt), aber dennoch braucht man ab und zu mal einen neuen Server. Dann wartet man eben einen solchen Aktionstag ab.

Dass du den aktuellen VPS 2000 mit +100% für 11€ bekommen hast, würde ich ehrlich gesagt etwas anzweifeln. Den gab es bisher immer nur für 14,99 € (inkl. MwSt.). Es sei denn du meinst den VPS 2000 ARM. Aber das ist ein anderes Produkt.

Da hast du Recht, mein Fehler - ARM und ein normaler VPS sind natürlich ein Unterschied! 😄

Kann nur mit einem normalen VPS nichts mehr anfangen, da mein ARM VPS genau die gleichen Specs hat wie die VPS jetzt im Angebot. Es laufen halt dann nur nicht alle Dinge wie auf einem VPS (Bisher noch nicht erlebt).

Kommt mir das nur so vor oder sind das fast immer nur die gleichen Produkte zu immer den gleichen Preisen, die dann als “Deal” angeboten werden? 😅

Neukunden wird der Preis sicher gefallen, aber wenn ich sehe, dass ein VPS 2000 für 14,99€ angeboten wird und ich diesen vor nicht allzu langer Zeit für 11€ bekommen habe, dann fragt man sich schon, wo da das Angebot ist… Klar kann man immer weiter nach oben (4000 etc.), aber man muss ja nicht gleich übertreiben! 😛

Wäre schön, wenn man auch mal wieder andere Produkte als Deal angeboten werden! 👀

Quote from MyMattes

Schau' mal auf den Tab "Erste Schritte"

Das ist mir jetzt peinlich... Ich könnte schwören, dass ich in dem Reiter gewesen bin und dort nichts war. Danke!

Hallo zusammen,

ich wollte heute auf einer von mir erworbenen .gg-Domain Node.JS installieren.

Das habe ich bereits für etliche andere Domains, hier aber mit der .de-Endung, gemacht und es funktioniert auch alles super.

Nun bin ich aber etwas stutzig geworden, da der Node.JS-Button für die Domain nirgends aufzufinden ist (siehe Bilder)...

pasted-from-clipboard.png

(.gg-Domain)

pasted-from-clipboard.png

(.de-Domain)

Habe ich vielleicht einfach irgendwo etwas übersehen oder muss noch etwas irgendwo einstellen? Beide Domains sind ebenfalls dem gleichen Webhosting zugeordnet.

Unter "Anwendungen" werden mir auch nur die .de-Domains aufgelistet und ich finde nirgends eine Möglichkeit für die Installation von Node.JS auf der .gg-Domain.

Vielleicht ist das nur etwas Kleines, das ich übersehe, aber über alle Hilfen & Tipps bin ich dankbar!

Quote from H6G

Die gibt es nur bei den stundenbasierten Angeboten. Wenn du die Laufzeit änderst, gibt es keine Einrichtungsgebühren.

Ja, das habe ich auch gesehen, aber der Kunde von mir möchte lieber pro Monat bezahlen und nicht die 12 Monate Laufzeit.

Hey zusammen,

netcup hat ja vor Kurzem ihre "tollen" vServer G11 angekündigt und in das Sortiment mit aufgenommen. Sind von nun an die G10er nicht mehr verfügbar?

Irgendwie sehe ich es nicht ein, den momentanen Preis + die hohen Einrichtungskosten für jeden der vServer zu bezahlen...

Sollte das nicht der Fall sein, dann muss ich mich eventuell mal anderweitig umsehen oder werde hoffentlich in der Tauschbörse fündig.

Danke euch im Voraus!

Quote from Win98SE4ever

Meines Wissens dürfen seit dem damaligen BGH Urteil Verbraucherverträge (also nicht geschäftliche Verträge) nach der Mindestvertragslaufzeit nicht mehr pauschal um 1- oder gar 2-Jahreslaufzeiten verlängert werden.

Ich habe lustigerweise heute dazu etwas auf X gelesen. Wird aber dann wohl so sein wie oben beschrieben und ich erhalten dann eine Gutschrift!

Quote from aRaphael

Tja, da sind alle Provider gleichermaßen unkulant.

Jap, kenne ich aber schon, alles gut!

Quote from aRaphael

Sicher, dass da 2024 steht und nicht etwas 2025?

pasted-from-clipboard.png

Aber vielleicht hat das dann ja wirklich eine monatliche Kündigungsfrist nach Ablauf der Mindestvertragslaufzeit...

Ich habe am 03. April 2024, nachdem ich ein besseres Angebot an Ostern ergattert habe, mein Webhosting gekündigt.

Dieses hat eine Kündigungsfrist von 31 Tage und muss immer 12 Monate im Voraus bezahlt werden. Dazu habe ich heute die Rechnung erhalten, weil die 31 Tage um ein paar Tage nicht eingehalten wurden.

In einer Mail von netcup wird allerdings erwähnt, dass am 08. Mai 2024 das Produkt (Webhosting + Inklusivdomain) abgeschaltet wird.

Wenn ich diese Rechnung bezahle und alles im Mai abgeschaltet wird, bekomme ich dann für den nicht genutzten Zeitraum eine Gutschrift oder verstehe ich hier das Wort "abschalten" falsch und das Webhosting läuft dann noch ein Jahr lang?

Danke im Voraus!

Quote from Copro

Aktiviere mal im WCP Plesk Modul für Node.js den development Modus, damit Dir der Phusion Passenger Anwendungsserver mehr Informationen ausgibt, was genau da schief läuft. Im Modus "production" steht da vermutlich einfach nur die "something went wrong" Fehlermeldung, damit der normale Benutzer nicht die Meldungen aus dem Unterbau sieht.
...

Der aktuelle Port des Phusion Passenger Node.js Prozesses kann mit process.env.PORT angegeben werden.

Danke für die Rückmeldung!

Ich habe dann auch mal auf dem Server den Entwicklermodus aktiviert und dort etwas herumprobiert. War dann deutlich einfacher auf das Problem zu kommen, auch wenn es mehrfache Anläufe gebraucht hat, um die Ports vollständig zu killen.

Es scheint, als habe dem Anwendungsserver eine "echte" .js-Datei zum Starten gefehlt. Meine .tsx-Datei wurde nicht akzeptiert bzw. hat einen Fehler ausgeworfen.

Nachdem ich diese also erstellt habe, scheint nun alles zu klappen. Falls es Interessenten gibt, das ist die besagte Datei:

const { createServer } = require('http');
const { parse } = require('url');
const next = require('next');

const app = next({ dev: process.env.NODE_ENV !== 'production' });
const handle = app.getRequestHandler();

app.prepare().then(() => {
  createServer((req, res) => {
    const parsedUrl = parse(req.url, true);
    handle(req, res, parsedUrl);
  }).listen(process.env.PORT || 3000, () => {
    console.log(`> Ready on http://localhost:${process.env.PORT || 3000}`);
  });
});

Diese muss dann im Root des Projektes liegen und unter "Anwendungsstartdatei" angegeben werden.

Guten Abend zusammen!

Ich habe mir in der Oster-Aktion das Webhosting 4000 zugelegt. Im WCP habe ich dann Node.js für die spezifische Webseite (Basiert auf NextUI) aktiviert und alle Dateien hochgeladen.

Beim Starten der Anwendung habe ich keine Probleme und diese zeigt nach einiger Zeit an, dass sie läuft (siehe unten).

Wenn ich jetzt zum Beispiel npm run dev/start als Befehl ausführe, dann bekomme ich in meiner Log-Datei Folgendes:

⚠ Port 3000 is in use, trying 3001 instead.
▲ Next.js 13.5.6
- Local:        http://localhost:3001
- Environments: .env.local

✓ Ready in 1556ms

Was ja an sich nicht schlecht ist, nur bei der Ansicht der Seite spuckt diese dann Folgendes aus:

pasted-from-clipboard.png

Bei meiner Suche nach einer Lösung bin ich schon auf folgende netcup-Beiträge gestoßen:

• NodeJS in Webhosting 4000 NGINX?
• NodeJS Anwendung in Webhosting 4000 stoppen?

Diese haben aber nicht zu meiner Lösung geführt.

Lokal auf meinem PC funktioniert alles, auch im dev-Modus. Ich gehe jetzt stark davon aus, dass also irgendetwas in meinem Code für die Webseite nicht so ganz funktioniert?

Da ich mich damals nicht so viel mit dem Webhosting beschäftigen muss, und ich mit meiner damaligen Seite auch keine Probleme hatte, ist das jetzt alles Neuland für mich.

Danke im Voraus für jegliche Tipps/Anregungen! Falls etwas fehlt, wie mögliche Code-Schnipsel oder Erklärungen, gerne Bescheid geben!

Quote from Homwer

Ich glaube nicht dass der Support in der Lage wäre dir eine Kündigung aus Kulanz anzubieten.

Für mich machen die hart den Eindruck dass da externe die Standard-Text-Blöcke zurück schicken und erst auf penetrante Nachfrage wird man an den second Level Support durchgereicht.

Ist auch das größte Manko an Netcup - der schlechte / langsame Support.

Vielleicht ist anrufen da wirklich die beste Lösung…

Ist halt bisher immer die gleiche Antwort bei mir gewesen, wie vor ein paar Monaten auch, aber da habe ich das aufgrund des geringen Preises einfach so hingenommen!

Quote from Exception

Also grundsätzlich ist ja schon alles gesagt worden, allerdings noch eine Anmerkung was Kulanzfälle betrifft. Ich persönlich würde immer anrufen statt E-Mails schreiben. Das kommt immer viel besser rüber, zumal du dann deinen Fall ausführlich beschreiben kannst.

Außerdem wirst du dann auch nicht mit einem Textbaustein abgewiesen.

Merke ich mir für das nächste Mal!

Anrufen klingt aber auch immer leichter gesagt als getan!

Quote from joas

Biete doch einfach den VPS Server mit Ablösesumme in der Tauschbörse an. Die Chance, den Server mit +/- Summe loszuwerden ist relativ hoch.

Müsste ich mich mal mit beschäftigen, wie das am Ende funktioniert, Danke!

Quote from Bud

Aber dann sollte der Server doch nun monatlich kündbar sein? Sicher das du nicht vielleicht die Abrechnungsperiode mit der Kündigungsfrist verwechselst, bzw. andersherum? Wenn du den Server für diesen Monat kündigst, bekommst du im Normalfall die zwei zu viel bezahlten Monate zurück – wenn ich richtig vermute.

Ich hab den Server am 1. April gekündigt. Die Rechnung für April auch gestern bezahlt.

Die Kündigung wurde eingetragen für den 31. Mai 2024. Nächste Abrechnung ist am 1. Mai 2024…

Quote from H6G

Du kannst ihn hier in der Tauschbörse anbieten.

Was hat der Server für Spezifikationen?

8 Cores

8 GB Arbeitsspeicher

Standort NUE

240GB SSD

80TB Traffic