Hm... ganz Blöd; wie gehe ich da vor?
Das kannst eigentlich nur Du selbst wissen, der Root-Server wird ja von Dir verwaltet und hoffentlich auch abgesichert. 
Das hängt auch von der eingesetzten Software ab, im Zweifel diesen Leitfaden lesen: https://letsencrypt.org/de/getting-started/
Da existieren aber eben auch AAAA-Records...
Und wenn das nicht die IPv6-Adresse des Zielservers ist, sollte klar sein, warum Du woanders landest. 
EDIT: Zu langsam.
Ist es nicht doch eher kosmetischen Natur, wo die Server stehen?
Wenn man nichts latenzkritisches betreibt vielleicht…
Bei mir wäre z.B. die Verschiebung des MariaDB-Servers ins jeweils andere Land eine Katastrophe für die Clients auf anderen vServern.
Die genannten Seiten sind allerdings, aufgrund der Tatsache, dass die Angebote auf den Seiten alle paar Minuten wechseln, regelrecht sinnbefreit um ein bestimmtes Angebot zu bekommen und mehr von Nutzen um zu checken, welche Angebote überhaupt zur Verfügung stehen können.
Die wechseln aber nur genau alle 10 Minuten. Dazwischen aktualisieren es meisten Tools sowieso…
nämlich per " * A +IP", " @ A +IP", " www A +IP" auf die IPv4 des Root-Servers
Da existiert nicht zufällig noch ein AAAA-Record für die gleiche Subdomain, der auf das Webhosting verweist?
Den würde Dein Browser nämlich womöglich bevorzugen, wenn Du eine IPv6-Internetverbindung hast.
Ich habe hier ein paar Domains registriert, als zusätzliche und Inkl. Domains. Die würde ich gerne als Aktionsdomain haben.
Wenn sie bereits bei netcup registriert sind, geht das standardmäßig nicht. Da müsstest Du sie vorher z.B. zu einem anderen Anbieter umziehen, dort bezahlen und irgendwann wieder (während einer Aktion) zurückziehen. Je nach Produkt sind sie dann aber währenddessen hier nicht mehr nutzbar und müssten z.B. als externe Domain neu verknüpft werden.
(Bei [kostenlosen] Inklusivdomains macht das aber sowieso keinen Sinn, oder habe ich Dich falsch verstanden?)
Funktioniert bei euch die Website von I**X?
HTTP klappt, aber bei HTTPS bleibt alles im TLS-Handshake hängen.
EDIT: TLS klappt wieder, dafür haut es jetzt 502er raus…
EDIT#2: Läuft wieder…
Wenn es hier jemand schafft den VPS ARM 500 bestellen zu können und ihn nicht will,
ich würde den sofort nehmen.
Dem schließe ich mich an 
Ich würde ja gerne suchen, aber nach ein paar schnellen Klicks im Browser geht gar nichts mehr…
ZitatFehler: Gesicherte Verbindung fehlgeschlagen
Beim Verbinden mit http://www.netcup.de trat ein Fehler auf. PR_END_OF_FILE_ERROR
Ich schwöre, ohne Script! 
EDIT: Mit einer anderen IP klappt es jetzt…
Das du in Zukunft meine Tabellen machst?
D.h. ich bekomme endlich Deine CCP-Zugangsdaten? Deal! 
Stelle ich mich nur an, oder ist es übelst der Krampf die Domains vom CCP in eine Excel zu kopieren?
Gnumeric und LibreOffice produzieren hier bei meinen Tests jedenfalls akzeptable Ergebnisse. (Quellanwendung: Firefox)
Was sagt uns das? 
*duckundwegrenn*
Echte Nerds brauchen keinen Support! Echte Nerds greifen ein OSS-Projekt an, warten ein halbes Jahr und fixen das Problem beim ISP selbst. 
Wieso immer gleich alle denken, dass Jia Tan nur Böses vor hatte…
Ihr wollt wirklich, dass Claudia, Christina und Lars niemals ruhige Feiertage haben, gell? 
Bud War es bisher bei Domains nicht immer so, dass die direkt im CCP zum Aktionspreis buchbar waren?
Jedenfalls finde ich vom 10.04.2023 (Ostern '23) zwei neue DE-Registrierungsbestätigungen, aber keine dazu passende Bestellbestätigung. Das deutet auf eine Registrierung direkt im CCP hin.
Ich kann aber auch einen PR stellen, falls das hilft.
Testen muss ich es sowieso in Ruhe, also nicht wirklich. 
(Was aber nicht heißen soll, dass ich Dir einen PR ausreden möchte, wenn Dir langweilig ist. Schneller wird es jedoch trotzdem nicht drinnen landen.)
Ist denn überhaupt sicher, dass das bisher die einzige Software ist, die mit diesem Backdoor versehen ist? Kann ja weiss Gott wo schon seit Monaten versteckt sein?!?
Nein, wie soll man das auch wissen? Dieses Risiko hat man aber immer. 100% Sicherheit gibt es nicht.
Statistisch gesehen schlummern sowieso permanent einige (seit Jahren) nicht entdeckte Sicherheitslücken in zahlreichen Paketen, die eine ähnliche oder sogar schlimmere Auswirkung haben können. Man braucht sich nur einmal die größten medienwirksamsten Probleme des letzten Jahrzehnts ansehen. Oftmals existierten die bereits seit einer gefühlten Ewigkeit…
Von der vorliegenden Variante bin ich wohl nicht betroffen, jedenfalls nach den Aussagen über die betroffenen OS und bei den Debian 12 stable Systemen verwende ich EdDSA Keys.
Hoffen wir mal, dass das bei xz der einzige versteckte Code war. Ich kann jedenfalls verstehen, dass einige Personen bei Debian am Liebsten auf Version 5.3.1 zurückgehen wollen, auch wenn das gar nicht so einfach ist. Das würde dann wahrscheinlich sogar Debian 12 (Bookworm / Stable) betreffen, auch wenn es [noch] keine Anzeichen gibt, dass darin irgendein Schadcode enthalten ist.
Spannend: https://tukaani.org/xz-backdoor/
Deswegen bin ich u. a. ein Fan von Port-Knocking für ausgewählte Ports wie den für SSH ...
So sehr ich eine zusätzliche Schutzbarriere für SSH unterstütze (mache ich in der Regel selbst z.B. mittels VPN oder fwknopd), wirklich sicherer würde ich mich im Fall rund um XZ dann auch nicht fühlen.
Wir wissen noch nicht genau, was durch diese Backdoor alles abgefangen wird. Im besten Fall wirklich "nur" Loginversuche mittels RSA (!) Keyfile, um bestimmten Angreifern ohne korrekten Key die Türe zu öffnen. Im schlimmsten Fall passiert bei jedem Login vielleicht noch viel mehr im Hintergrund, dann wäre es ziemlich egal, ob sich ein berechtigter User einloggt, oder ein unberechtigter Dritter es versucht. Ich bin gespannt, was die Analyse in den nächsten Wochen ergibt. Denn der Entdecker hat sehr gute Arbeit geleistet, aber er ist (wie er selbst anmerkt) kein Experte auf diesem Gebiet.
Vielleicht war das alles auch noch gar nicht die finale Ausbaustufe. Wenn die neueren Versionen erst einmal genug Verbreitung gefunden hätten, wäre die ultimative Backdoor in Form von neueren "Testdateien" vielleicht erst in 3-9 Monaten in einem Commit gelandet. Alleine die Tatsache, wie dieser Code in mehrere Teile und Stellen gepackt und versteckt wurde, ist aus technischer Sicht durchaus bewundernswert.
Ich bin jedenfalls froh, dass die Angreifer offenbar zu faul oder unfähig waren, die CPU-Auslastung nicht unnötig in die Höhe zu treiben. Und dass das einer Person aufgefallen ist, bevor das Zeug noch mehr verbreitet wurde. Der Schaden ist jetzt schon enorm, aber er hätte noch deutlich größer sein können.
Wäre das etwas für https://github.com/froonix/webhosting-mods KB19?
Ich werde es auf jeden Fall mal genauer ansehen und testen, Danke! Damit ich es nicht vergesse, habe ich Issue #1 erstellt. Es wird nämlich definitiv einige Wochen dauern, bis ich Zeit dafür habe.
PS: Wen darf ich als Autor angeben, falls ich das übernehme? Den GitHub-Benutzernamen aus dem PR #535?
Soweit ich sehen kann, betrifft dies aber nicht stable Versionen von Distributionen wie beispielsweise Debian 12, oder?
Auf Stable Distributionen bezogen: Korrekt. Bei Rolling Releases sieht es jedoch teilweise anders aus!
Zum Beispiel Debian 13 (Trixie / Testing) war laut Changelog offenbar schon betroffen! Und das wäre in vielen Umgebungen nicht so ungewöhnlich, wenn man es antrifft.
ZitatAlles anzeigenxz-utils (5.6.1+really5.4.5-1) unstable; urgency=critical
* Non-maintainer upload by the Security Team.
* Revert back to the 5.4.5-0.2 version
-- Salvatore Bonaccorso <carnil@debian.org> Thu, 28 Mar 2024 15:59:38 +0100
xz-utils (5.6.1-1) unstable; urgency=medium
* Non-maintainer upload.
* Import 5.6.1 (Closes: #1067708).
* Takeover maintenance of the package.
-- Sebastian Andrzej Siewior <sebastian@breakpoint.cc> Wed, 27 Mar 2024 22:53:21 +0100
xz-utils (5.6.0-0.2) unstable; urgency=medium
* Non-maintainer upload.
* Move xz's output of reduced threads to debug output.
* Add missing RISC-V on the filter list in the man page.
-- Sebastian Andrzej Siewior <sebastian@breakpoint.cc> Wed, 28 Feb 2024 20:03:45 +0100
xz-utils (5.6.0-0.1) unstable; urgency=medium
* Non-maintainer upload.
* Import 5.6.0
* Add Breaks on pristine-tar because of the different default behaviour
regarding the -T argument.
* Upload to unstable.
-- Sebastian Andrzej Siewior <sebastian@breakpoint.cc> Mon, 26 Feb 2024 07:47:01 +0100
xz-utils (5.5.2beta-1) experimental; urgency=medium
* Non-maintainer upload.
* Import 5.5.2beta
* Mark liblzma-doc multi-arch foreign.
* Update copyright file, most files are now under 0BSD.
-- Sebastian Andrzej Siewior <sebastian@breakpoint.cc> Thu, 15 Feb 2024 21:42:23 +0100
xz-utils (5.5.1alpha-0.1) experimental; urgency=medium
* Non-maintainer upload.
* Import 5.5.1alpha.
* Add new symbol.
-- Sebastian Andrzej Siewior <sebastian@breakpoint.cc> Wed, 31 Jan 2024 21:44:23 +0100
Siehe auch:
Ich muss nachher mal meine Trixie Entwicklungs-VM kontrollieren. Die ist allerdings sowieso offline läuft nur bei Bedarf… (EDIT: Jep, ist betroffen.)
Mehr Lesestoff zu CVE-2024-3094, da es nicht nur Arch betrifft: [oss-security] backdoor in upstream xz/liblzma leading to ssh server compromise
Siehe auch:
Sollte man sich Gedanken machen, wenn man beim Frühjahrsputz im CCP ein Produkt findet, das man (seit 2019) völlig vergessen hat?
Das taucht nicht einmal in meinen eigenen internen Listen auf. Ups…
