Posts by alhazred

goblingift wrote:

Dachte mir wenn das ganze dann als Docker Image läuft, ist es nochmal gekapselt und falls jemand auf die DB kommt, kann er nur dort was anrichten.

Die DB muss im Endeffekt schon für alle IPs erreichbar sein- greife dort u.a. von daheim aus drauf zu und da ich keine feste IP habe, wäre das schwer einzugrenzen.

Firewall war aktiv auf dem Windows Server- vieles aber auf den default-Settings gelassen und autom. Win-Updates deaktiviert, also einige Monate alt.

Tjo, dann hast du schon die Ursache. Einige Monate alt.....

Du hast dich mit Docker Sicherheit beschäftigt?

Nutzt du SSL/TLS bei der DB?
Was spricht gegen einen reinen VPN Zugriff auf die DB?

Tjo, es kann auch sein, das man direkt über die bekannten RDP Bugs eingestiegen ist. Die Frage ist auch, hast du das System abgesichert gehabt? Firewall? ungenutzte Dienste abgeschaltet? Alle Updates usw.

Warum willst du die Mysql DB als Docker laufen lassen? warum nicht nativ?

Du kannst das System einmal ohne Netzwerk starten und dann die Firewall dicht machen und dann mal schauen.

Sonst steht immer noch die Frage im Raum, muss die Datenbank komplett für alle erreichbar sein?

Falls diese nicht entfernt wurden, schaue in den Eventlogs nach Logins nach. Weiterhin sollte man auch den RDP Versuch sehen können.

https://www.ultimatewindowssec…securitylog/encyclopedia/

Category: Logon/Logoff

Ab ID 4624
System ohne Netzwerk hochfahren und dann 3389 ausgehend sperren. Danach mittels Sysinternals usw. nach Prozessen suchen

Angriffe auf RDP sind normal. Das ist immer ein Einfalltor. Deswegen nach Möglichkeit garnicht freigeben/VPN nutzen. Wichtig wäre in diesem Fall auch MFA und NLA.

Was das System auf den aktuellen Stand? Wie ist RDP konfiguriert?

Muss die DB frei im Netz sein oder kann man das auch über ein VPN nutzen. Brauchst du MySQL unter Windows oder ist vielleicht ein Linux Server (evtl auch eine Managed Lösung) eine Alternative?

Doim1990 wrote:

QNAP ist auch nicht schlecht. Habe hier ein QNAP als Storage stehen. Hot-Swap ist eine nützliche Funktion und die Möglichkeit das NAS um Apps zu erweiteren. EInbindung ins VPN, Iscsi etc

Synology unterstützt auch OpenVPN iscsi usw. Ich glaube die unterscheiden sich nicht viel. Vorteil von QNAP war (als ich vor ein paar Jahren mich nach einem NAS umgeschaut habe) war etwas mehr Leistung und der Haube. ich nutze zuhause ein Synology DS415Play mit 4x 4TB. Primär für Backups (Time Machine und Synology Backup von Windows aus). Dazu richte ich das VPN ein um auf die Daten auch von extern (das Synology wird als Client eingebunden).

Du kannst einstellen wo die IIS Logs gespeichert werden sollen. wie hast du die Pools eingestellt? Beim IIS kann man einiges machen. Wir haben einige IIS Server im Büro im Einsatz und haben da ein paar Einstellungen angepasst (bzgl. Speiche, worker Processes usw.). Leider bin ich im Urlaub.

Ich nutze für meine RS netdata und speichere alles in einer InfluxDB. Netdata speichert halt nur im RAM für eine Stunde. dafür sind die ausgelesen Daten sehr umfangreich. Mittels Grafana habe ich dann eine Langezeitübersicht. Netdata kann auch andere Backends nutzen.

Wenn das nur Web sein soll, ist ein reverse Proxy das passende.

eripek wrote:

Enden Vollmachten nicht üblicherweise mit dem Tod des Vollmachtgebers?

Testieren?

Nicht alle. Man muss die halt für den Todesfall ausstellen.

Du solltest neben der Doku auch vielleicht ein Passwort Tresor mit den Zugängen usw. anlegen und an einem sicheren Ort aufbewahren. Vielleicht bietet sich hier ein Bankschließfach mit den Unterlagen an. Die Datei kannst du ggf. selber zuhause (da man diese ja auch ändert) auf einen Usb Stick mit sichern.

Bei den Servern kaufst du eine Lizenz auf Core Basis (außer Essentials, da hat man eine max. Anzahl an Cores usw.). Du kannst die Serverlizenzen ohne Probleme einsetzen (auch wenn KVM/VMWare als Unterbau dient).

Verwechselst du vielleicht bei MS die Lizenzierung für VMs bzgl. HyperV/Datacenter und freie Anzahl von VMs?

Aeh wenn beide Server doch schon mit einander verbunden sind, dann sind diese doch über deren eigene IP erreichbar. push route sollte hier reichen

Also alle Server (sind da Netze dahinter) sind mit 1 und 2 verbunden? Wenn da Netze hinter sind, dann brauchst du halt ein Routing Lösung wie von H6G.

Wenn nur die Server verbunden sind, dann muss du in der Config Datei auf den VPN Servern die Route zu den jeweiligen anderen VPN Server mitgeben (oder halt bei die auf dem Client setzen). Dann muss aber auch der VPN Server eine Route zu dem anderen über einen Server oder anderen Hop haben Irgendwie muss man ja von Server 1 zu 2 kommen.

Du kannst aber auch zwischen beiden Servern eine neue Verbidung aufbauen (anderer Port etc.)

Du hast 2 getrennte VPN Server und verbindest deine Server immer mit beiden?

Bei einer Site2Site Config hast du halt einen Server und verbindest dann die eine Site (oder halt mehrere) mittels einen als Client konfigurierten ovpn Client. Wenn du den ersten Server nicht von überall her erreichen kannst, dann machst du den 2ten zum Server und der 1. verbindet sich zum 2. Dann kannst du in der Server Config die Route pushen (nicht die 10er, sondern die reguläre Netz IP) und in den Netzwerken muss du dann (also z.B. auf dem ersten Server) dann die Route zu den anderen Netzen (und ins 10er) über den OVPN Client setzen (das machst du per DHCP Option oder halt auf dem Router direkt).

Für die Clients, die sich verbinden, kannst du die Routen in der Server Config mit angeben. Wenn du ein netz hinter dem Client hast und diese dann auch erreichbar sein sollen, muss du (wie von H6G erwähnt) die Routen auch da hinterlegen (kann man über eine DHCP Option erledigen).

Du kannst gerne einmal auf einen rs1000 bzw. 2000 das ganze testen. Man kann sich gern einmal im Pott treffen. Ein RS. mit SSD config würde ggf. noch was bringen.

Und was ist der Unterschied bei einer Hardware und einer KVM? Bis auf die Schicht dazwischen nix. Ich betreue auch meine (und diverse andere) RS-KVMs. Vom ISO (bzw. damals sogar noch Ubuntu 14.04 minimal Installation mit vollständiger Platte) installieren lassen und den Rest halt per Paketmanager.

Wenn dir ein Teil deiner Platte fehlt, hast du vielleicht bei der Installation bzw. wiederherstellen die Option "Das Betriebssystem wird in einer kleinen Partition bereit gestellt. Der restliche Speicherplatz kann nach Bedarf partitioniert werden." ausgewählt. Dann muss du halt entweder die Partition vergrößern oder eine neue erstellen.

Der Rest ist halt wie ein übliches Linux System.

Ulridos wrote:

wenn ich solche Meldungen von 6 Empfängenr bekomme (hotmail.com ; hotmail.d ; Live.de )

Code

1. hotmail-com.olc.protection.outlook.com[104.47.6.33] said: 550 5.7.1 Unfortunately, messages from [94.16.123.254] weren't sent. Please contact your Internet service provider since part of their network is on our block list (S3140). You can also refer your provider to http://mail.live.com/mail/troubleshooting.aspx#errors. [VE1EUR02FT009.eop-EUR02.prod.protection.outlook.com] (in reply to MAIL FROM command)

was ist dann zu tun ?

https://forum.netcup.de/anwend…fehlermeldung-block-list/

Wenn du ein Webhosting Paket hat, mal den Support anschreiben, ob die was machen können.

Vielleicht sollte man ein kleines Relay Netz aufbauen. Alles was Nach MS geht, wird über verschiedene Provider geroutet.

Hero wrote:

So wird es wohl sein. Nur, dass die jetzt keine Ausnahmen mehr zulassen. Darum wurden meine IP auch wieder und wieder gesperrt. Es lag an den anderen Spamschleudern im IP-Bereich von NetCup. Da bleibt dann wohl nur ein Wechsel des Hosters. Bedauerlich, sonst bin ich ganz zufrieden mit NetCup.

Wenn du einen Hoster gefunden hast, sagmal bescheid. Zu kleineren Hostern brauchst du nicht gehen. Die haben (gerade die etwas günstigeren) über kurz oder lang alle das Problem. Ich hatte das selbst bei St damals.

H6G wrote:

oldstable ist Stretch

Danke. Ich oute mich als nicht Debian Nutzer

schimmelmann wrote:

Es geht um die Signatur. Vermutlich hast du das Zertifikat von Froxlor nicht installiert. Geh mal auf die Froxlorseite. Da gibt es eine Installationsbeschreibung. Ganz am Anfang sollten die Befehle für die Signatur stehen.
Liebe Grüße Jörn

Es ist wie H6G geschrieben hat. Der Jessie Link funktioniert so nicht mehr (Error Code 404). Wenn man per Browser schaut, sieht man das auch (müsste nun oldstable sein).