Beiträge von Irrwisch

Zitat von Pflichtfeld

Irrwisch, Sie sind nun der Rekordhalter im Verbreiten von Falschinformationen.

Bitte lesen Sie auch diesen Artikel, im Speziellen diese Stelle:

Ist ja Dein Server, schön wenn es nicht aktiv ist, kann ich ja nicht wissen, wo ist die Falschinformation? Gut wenn Du es geprüft hast, eine Lücke weniger im Sieb.

Zitat von tom434

Aber hier scheint es sich ja um einen einigermaßen erfahrenen Nutzer zu handeln, der keinen wirklichen Grund hat, Windows 2000 zu nutzen.

Wenn wir kurz davon ausgehen dass dieser Benutzer nicht nur eine Trollpersona auslebt hier, hat er laut eigener Aussage bei der Absicherung von Linux-Systemen versagt und beschließt dann, ein Windows 2000 System ans Internet zu hängen...

Zitat von Pflichtfeld

Früher hatte ich Linux verwendet, aber da hat sich jeder Hacker drauf spezialisiert, sodass es bei meinen begrenzten Linuxkenntnissen zum ständigen Sicherheitsalptraum geworden ist. Seit ich Windows verwende, gab es keine Probleme mehr. Das heißt nicht, dass Windows 2000 perfekt ist, aber das ist kein Betriebssystem.

..da ein seit 14 Jahren EOL-Betriebssystem vergleichbar unperfekt ist wie andere Betriebssysteme für diesen Benutzer. Wird schon gut gehen.

Ich lasse für Pflichtfeld noch einen ><(((º> da. Schönen Abend!

Zitat von Pflichtfeld

Im verlinkten Artikel steht, dass durch die DOS-Attacke das Betriebssystem vorübergehend lahm gelegt wäre und nach dem Angriff wieder zur Verfügung steht. Ein Kapern vom Betriebssystem wäre nicht möglich.

Stimmt my bad, nächste https://learn.microsoft.com/en…tybulletins/2008/ms08-065

Edit: dafür gibts sogar ein Update, vlt findest Du es ja irgendwo noch, hab jetzt keine Lust mehr durch Bugs von EOL Software zu scrollen, verwende doch bitte ein aktuelles Betriebssystem deiner Wahl, Du haftest für das was auf der Kiste passiert und handelst hier grob fahrlässig...

Zitat von Pflichtfeld

Im verlinkten Artikel steht, dass durch die DOS-Attacke das Betriebssystem vorübergehend lahm gelegt wäre und nach dem Angriff wieder zur Verfügung steht. Ein Kapern vom Betriebssystem wäre nicht möglich.

https://de.wikipedia.org/wiki/Remote_Code_Execution

Edit: Wäre natürlich super wenn er Remote abgeschaltet würde, da bin ich ganz bei Dir.

Zitat von Pflichtfeld

Diese hier?

https://www.cvedetails.com/vul…crosoft-Windows-2000.html

Ja, habe ich gesehen. Sollen wir die Liste mal durchgehen, denn immerhin hat sich Irrwisch ganze 30 Sekunden Zeit genommen?

1. Eintrag: Lücke in Microsofts SMTP-Server. IIS ist aber nicht installiert und kann daher nicht ausgenutzt werden.

2. Eintrag: Genau das Selbe

3. Eintrag: Aktualisierungsproblem im DNS-Zwischenspeicher. Der Server ist weitgehend passiv und macht nur in den seltensten Situationen überhaupt eine DNS-Abfrage.

4. Eintrag: Problem mit WINS-Server. NetBIOS ist bei mir deaktiviert.

5. Eintrag: Lücke in WinHTTP. Der Server surft allerdings nicht im Internet, sodass die Lücke genutzt werden könnte.

Und so geht es fort.

Alles anzeigen

https://learn.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-048

Besser mal Updates einspielen, ups geht gibt es ja nicht.

PS: Aber jetzt mal ernsthaft, April April?

Zitat von Pflichtfeld

Ich merke schon, zum Thema "Sicherheit" gibt es sehr starke persönliche Meinungen.

Ja, NetBIOS ist für seine Lücken bekannt. Das ist aber auf dem Server deaktiviert.

Such Dir eine der vielen ungefixten Windows 2000 TCP/IP Stack Lücken aus den Listen heraus die Remote Code Execution ermöglichen und schalte bitte TCP/IP auch gleich noch aus, für Dich und für andere.

Zitat von Pflichtfeld

Funktioniert irgendeine Sicherheitslücke davon auf meinem Server?

Das ist Dein Server und du haftest für eventuell entstandene Schäden: https://www.netcup.de/vserver/vserver-guenstig-qualitaet.php

Solltest Du evtl. beachten, vor allem beim Einsatz von EOL-Software und Betriebssystemen, viel Glück Dir noch, wird schon schiefgehen.

https://www.cvedetails.com/vulnerability-list/vendor_id-26/product_id-107/cvssscoremin-5/cvssscoremax-5.99/Microsoft-Windows-2000.html

Letztes Update 2007 nach 30 Sekunden suchen in der Suchmaschine meiner Wahl.. später Aprilscherz?

Hallo angstrom,

zu 1.: Die kannst Du problemlos im Nachhinein buchen und musst zum Bestellzeitpunkt keine Domain angeben.

zu 2.: Nürnberg vs Nürnberg int unterscheiden sich bei den Inklusivdomains, einmal 3 .de Domains und bei int 1 .at, .com, .li, .ch, .eu oder .de Domain inklusive.

Ist schon ein paar Jahre her dass ich das ich es eingestellt habe, man kann beim Webhosting in Plesk die Protokollrotation beeinflussen, das geht unter Protokolle:

Protokollrotation.png

Ich habe es auch nochmal geprüft im entsprechenden Logs-Ordner für die Domain, dort lag auch nur was hier eingestellt wurde.

Edit: Ist natürlich nicht komplett abgeschaltet aber deutlich weniger als default wenn ich das richtig in Erinnerung habe.

Zitat von Bud

Wie lange behaltet ihr tägliche/wöchentliche/monatliche Backups?

--keep-within=1d --keep-daily=7 --keep-weekly=4 --keep-monthly=12

Dedupliziert und Verschlüsselt durch borgbackup.

Zitat von Gerb

Danke dir für die umfassende Erklärung - leider hilft sie nicht. Mich würde interessieren, ob der Threadersteller sein Problem gelöst hat - ich habe nämlich selbiges. Habe einen Webhosting 2000 Account bei Netcup in dem Mailadressen integriert sind. Mail empfangen geht prima aber beim Versuch Mail (z.B. mit Firefox) zu senden (sowoh auf 597 STARTLS als auch mit 465 SSL/TLS) hängt der Sendeprozess endlos und hört wenn, mit einem Timeout auf. Mein Sendeversuch ist zur Zeit nur von einer netcup Mailadresse auf eine zweite netcup Adresse. Ich empfange und sende (nicht) über mxe911.netcup.net. Der Port 465 mit TLS wird mir im Mailbereich des Webinterfaces vorgeschlagen. Gibt es noch Ideen, was ich versuchen kann?

Ich finde übrigens keinen Kontakt zu einem netcup Support. Gibt es eigentlich nur dieses Forum?

Bezüglich des Netcup-Supports: https://helpcenter.netcup.com/de/support

EDIT: Und im CCP, außerdem ist der Port 597 falsch, hier solltest Du 587 verwenden.

Zitat von andreas.

Ich habe nochmal nachgeschaut. Das Ergebnis siehe folgende Abbildung:

Quelle.

Ist doch ziemlich klar in Deiner Abbildung, die Domainreselling-API ist für Reseller. Die DNS-API steht auch für normale Kunden bereit.

Im Webhosting kannst Du einen Editor wie nano oder vim verwenden um Dateien zu bearbeiten, auch sed ist dort verfügbar.

Zitat von cltrmx

Was ist das denn für ein OS? Die kleine Partition am Anfang für den Bootloader/EFI-Krams scheint mir sinnvoll (wenn sie auch sehr klein ist), aber die anderen beiden Partitionen verstehe ich nicht so ganz. Das Einzige, was mir noch einfallen würde ist, dass diese 1G große Partition eine Art Rettungspartition ist - das ergibt für mich bei einem Server-OS wie Debian aber nicht so viel Sinn (und AFAIK macht Debian das auch nicht).

Ja, ich denke, dass vda3 die ist, die vergrößert werden muss. Du kannst ja auch mit `$ df -h` mal schauen, welche wo hin gemountet wird?

Die sehr kleine biosboot-Partition ist unproblematisch. Das redhat manual dort rät sogar nur zu 1 mb.

Edit: falschen link gefixt.

Zitat von arminus

Servus zusammen,

ich bin gerade vom Fiasko bei server4you betroffen, bin zwar mit 2 Root-Servern vor einiger Zeit von s4y zu netcup umgezogen, die Domains sind aber noch bei s4y.

Wie sich gestern herausstellte, scheint s4y keinerlei physische Redundanz Ihrer namserver zu haben, was aktuell dazu führt, dass wohl hunderte, wenn nicht mehr domains nicht mehr erreichbar sind (query A ESERVFAIL). Einen derartigen DNS Totalausfall über einen so langen Zeitraum hätte ich so nicht für möglich gehalten :-((

Jetzt bin ich am überlegen wohin mit den Domain, zu netcup (all eggs in one basket...?) - wie sieht's dort mit Redundanz aus? Oder besser zu Cloudflare oder einem dedizierten DNS provider (cloudns, etc.). Gleichzeitig möchte ich sicherstellen, dass mein zukünftiger DNS provider auch eine API für die DNS-01 challenge unterstützt (um den TXT record für letsencrypt wildcard certs gescripted setzen zu können), da blick ich bei netcup auch noch nicht durch ob das geht.

Alles anzeigen

Netcup stellt eine DNS API zur Verfügung und es gibt fertige Implementierungen z.B. bei acme.sh. Bei netcup musste ich des öfteren mit langen dnssleep values arbeiten (5 min+) da die Nameserver etwas langsam (geworden) sind. Daran wird aber aktuell auch gearbeitet seitens netcup.

Zitat von frank_m

Auch das kann man ja ändern.

Kein Verständnis habe ich für die Reaktion. Das ist dann wohl ein Fall von "kann die Wahrheit nicht vertragen". Aber wenn der Server dann gehackt wird und die IP auf einer Blacklist landet, leiden vor allem die anderen Netcup Kunden darunter, und das Geschrei ist groß. Das Forum ist voll davon, wir ihr alle wisst, und dann fragen sich wieder alle, warum die Leute ihre Server nicht absichern. Aber wenn dann ein konkreter Fall offenbar wird, sagt wieder niemand was. Hm.

Ich halte auch nichts davon, in Foren Schritt-für-Schritt Anleitungen zu geben. Zum einen ist der Lerneffekt gleich Null, zum anderen hilft das dann auch nur für diesen einen konkreten Fall. Ich schreibe immer, was zu tun ist, aber nicht wie. Damit hat der Fragesteller die Chance, sich die Grundlagen zu erarbeiten, und bei Anpassungen nicht wieder nachhaken zu müssen. Und andere Leser mit ähnlichen Problemen profitieren auch davon: Lesen, verstehen, adaptieren, umsetzen. Man kann es nicht oft genug wiederholen.

Klar nur eine Schritt für Schritt Anleitung lesen und hinterher nicht wissen wie es genau funktioniert ist keine gute Idee. Es lernen aber nicht alle Menschen gleich, OP war sich der Risiken von ufw und Docker bewusst, sieht man doch schon im Post 1. Die Frage ist auch berechtigt und über ufw und andere Programme die an iptables und nftables herumfummeln sind hier schon viele andere gestolpert (bin heimlicher Leser meistens).

Und an seinem WireGuard Setup an sich sehe ich nichts gefährliches, jeglicher Traffic ohne passende Cryptokeys wird verworfen, per default.

Edit: Ich selber befolge gerne erst mal so eine Schritt für Schritt Anleitung, schaue mir die dort genannten Programme an (wg*), hab im Hintergrund später zig manpages offen, bei WireGuard auch das Konzept-PDF weil ich es faszinierend fand. Persönlich habe ich dabei keine Hilfe gebraucht, aber dumme Fragen gibt es keine.

Zitat von h725rk

Vielen Dank, das hat mir geholfen.

Wireguard ist erstmal kein Thema mehr für mich.

Das WireGuard kein Thema mehr für Dich ist, ist schade. WireGuard hat einige Eigenheiten über die man auch stolpern kann wenn man Ahnung von Firewalls, Routing und Co hat. Ich wollte gerne etwas konstruktives beitragen daher:

WireGuard erstellt die Routen anhand der AllowedIPs Einstellung eines Peers, steht dort 0.0.0.0/0 wird alles über das wg-Interface geleitet. Ob die Gegenstelle also in dem Fall der Server das auch akzeptiert steht dort in der [Peer] Konfiguration ebenfalls in den AllowedIPs.

In Deinem Fall wäre wichtig, das in der Interface-Konfiguration immer eine IP und kein Subnet stehen sollte wie frank_m zuvor bereits geschrieben hat.

Hat dein Server in der Interfacekonfiguration z.B. die IP 10.8.0.1/24 eingetragen und dein Client die 10.8.0.2/24, könnte in den AllowedIPs des Clients die 10.8.0.0/24 stehen sodass der Traffic für dieses Subnet über den Tunnel geleitet wird. In der [Peer] Konfiguration des Servers könnte dann als AllowedIP die 10.8.0.2/32 stehen. Somit kann dein Client den Server und ggf. andere Peers im selben Subnet erreichen.

PS: Ich finde der Lernaufwand für WireGuard lohnt sich, das Cryptokey-Routing ist faszinierend und ich hoffe das funktioniert so für Dich!

PPS (Edit): Ich hatte irgendwann mal mit dieser Anleitung begonnen, die fand ich ganz hilfreich am Anfang.

Zitat von Borgqueen

Hallo VeePay,

Ich bekam bedingt Deiner Zeilen folgendes:

Da gefällt meinem Rechner Zuhause (Debian 12) irgendwas nicht.

Wie bereits erwähnt nutze ich nur die UFW und nicht iptables

Das PostUp bzw PostDown muss in eine Zeile in der wg-config, z.B.

PostUP = ufw route allow in on wg0 out on eth0; iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE; ip6tables -t nat -I POSTROUTING -o eth0 -j MASQUERADE

ufw ist auch nur ein Frontend für iptables/nftables nur nebenbei..

Gruß

Irrwisch

Zitat von Borgqueen

Wenn ich auch Mal wieder was zum Thema beitragen darf.

Am liebsten ist mir alles was ich rein per ssh und Konsole konfigurieren kann und es danach auch noch funktioniert am liebsten.
Bei Web-Portale die auf Systemdateien zugreifen können wird es mir stets mulmig in der Magengegend ob die im schlimmsten Fall gehackt werden können.

Ich kann Dir wg-quick empfehlen für einfache use-cases, das ist gleich bei der wireguard Installation bei Debian dabei: https://wiki.debian.org/WireGu…figuration_-_Debian_Peers

Das erstellen der Schlüsselpaare kann man z.B. per Bash-Script automatisieren und in die WireGuard-Config schreiben lassen, nach reload des wg-quick@<interface>.service Dienstes ist ein neu hinzugefügter Peer aktiv auf dem Server. Per qrencode lässt sich die Clientconfig auch sehr einfach auf Mobile-Devices übertagen. Habe ich so im Einsatz und einfacher geht es kaum (imho).

Eine externe Domain kann im CCP im jeweiligen Produkt unter "Externe Domains" hinzugefügt werden.

Edit: jemand war schneller.