Posts by fluser

  • Spamattacken Postfix optimieren

    Jetzt kann ich es mir auch nicht mehr verkneifen...


    Quote from menki


    [...]


    Sicher aber auch deswegen weil jede noch so kleine Sicherheitslücke in einem der CMS-Systeme eine Spamschleuder unter Linux ermöglicht.
    [...]


    Nur zur Info: Es wird weder Linux noch Windows bei einem (meist auf PHP basierenden) CMS ausgenutzt... Wenn schon den schon wäre es PHP selbst, welche es die Lücke zulässt! Lass die Seite rein HTML und dein Linux/Windows-Server wird, sofern das Passwort nicht geknackt wurde oder eine andere Lücke gefunden wurde, kein Spam versenden. Vorausgesetzt, du hast kein Open-Relay eingerichtet.


    Es gibt auch unter IIS und php die Mailfunktion von php! Daher zieht der Vergleich: Windows versendet weniger Spam in diesem Falle überhaupt nicht, da ja auch unter Windows (ob jetzt Apache2 oder IIS) PHP genutzt und somit ein CMS ausgenutzt werden kann.


    Quote from ciscllc

    Nur zur info:
    ms empfiehlt den ie bis auf weiteres nicht zu nutzen da eine sicherheitslücke einem angreifer alle rollen und rechte am pc offenlegt.


    Der ganze Threat entwickelt sich ja richtig zum Kindergarten. Können wir betreffend Windows vs. Linux nicht einmal sachlich bleiben? Die Heartbleed Lücke war ja schliesslich auch zwei Jahre lang offen und niemand hats gekümmert bzw. entdeckt. In jeder Software gibt es Fehler (kleine, grosse, extrem grosse)... Da ist weder Linux, Windows noch Mac OS X eine Ausnahme.


    Ob über Linux bzw. Windows weniger für Spam verwendet wird, kann ich statistisch nicht belegen. Fakt ist: Ich habe von beiden Betriebssystemen regelmässig Spam-Nachrichten. OS X Server kommt am seltensten vor...


    Das Problem an und für sich lässt sich zur Zeit schlecht eindämmen. Und den Schwarzen Peter an Joomla zu schieben, empfinde ich persönlich als ein wenig thörig! Früher war Joomla sicher häufig heimgesucht. Das Problem war und ist immer noch, dass die Leute Ihre Joomla-Installation schlicht und einfach zu wenig warten. Und unterdessen liegt es meist nicht einmal mehr an Joomla selbst, sondern an einer schlampig programmierten Extension... Ich betreue unterdessen 28 Joomla Installationen. Es wurde noch keine einzige gehackt bzw. für Spam-Mails verwendet.



    Um den Mailserver (SMTP/POP3/IMAP) abzudichten reicht es im Normalfall, ip2ban richtig zu konfigurieren. Zusätzlich kann man ja per iptables noch ein Ratelimit einrichten.
    Bei Apache2 und PHP gibt es diverse Sicherheits-Tools, welche genutzt werden können. Modsecurity ist dabei sicherlich auch keine schlechte Wahl.


    Schlussendlich ist es auch ein abwegen zwischen: "Wieviel Aufwand (Kosten) gegen wieviel Nutzen (Gewinn)"
    Wobei jedes Sicherheits-Tool und jede Absicherung wieder "unbequeme" Arbeit mitbringt. <- Und genau hier liegt das Problem der Admins meine Damen und Herren!


    Zusätzlich ist überall der Kosten-/Zeit-Druck im Nacken, sowie: Alles muss möglichst günstig für den Kunden sein (vorallem beim Webhosting) und jederzeit funktionieren.


    Greez
    Fluser

  • SSL Fehler

    Quote from Athar

    fluser This isn't needed to create a bundle in that case, all is managed through the GUI of iMSCP (and in my memory, this isn't needed to during the install part of the panel, if you want to enable SSL with your own cert)


    I don't think so... The GUI can't do magic (Nuxwin can, but not i-MSCP)! It's the intermediate CA Bundle you have to create ;)


    Please refer for StartSSL here:
    Problem mit StartSSL


    Or for GeoTrust:
    http://wiki.i-mscp.net/doku.ph…wto:problem_with_startssl


    I think it isn't during the install part of the panel:

    Quote

    ...i Have added an Reseller and Created an Webspace [...] in the Webspace Pannel [...] i have Found the Point "Certifiactes" in the Line of my Domain Name, i have Put in There all Information from My Certifiacte and then i get this failure: Status Fehler: iMSCP::OpenSSL::ssl_check_cert: SSL certificate /tmp/Gm_hvMP2i2 is not valid.


    I had to read it twice to understand ;)

  • SSL Fehler

    Quote from DerrChecker

    And its not ans Self Signed, its and Comodo CA 2 and its Signed from Comdo. I dont understand why it doesnt work. Its an Original Certificate.


    Öhhm, what? Which product have you bought from comodo?


    Here the list with the intermediate certificates:
    https://support.comodo.com/ind…warticle&kbarticleid=1182


    And here is the doc for apache2:
    https://support.comodo.com/ind…icleid=1203&nav=0,96,1,95


    And last but not least: How to generate ca-bundle if it doesn't exist in the zip file:
    https://support.comodo.com/ind…warticle&kbarticleid=1209

  • Cronjobs erstellen geht das ?

    Quote from Ninos

    Man kann aber:
    1. die Skripte unter dem User:Gruppe ausführen, wodurch die Rechte eingeschränkt wären
    2. nur eine php-Ausführung erlauben (was Anderes ergibt derzeit auch keinen Sinn, da nur php unterstützt wird)
    3. anstatt es über die passenden Services zu machen, nur eine Webausführung (wget) auf die vorhandenen Domains erlauben, wodurch 1. und 2. entfällt, denn dann werden nur die Skripte ausgeführt, welche der User sowieso schon selber anpingen könnte.


    Ich plädiere sogar für Dritteres, weil das die bequemste und sicherste Variante ist. Wenn python mal unterstützt wird, muss man die Cronjob-Funktionalität z.B. nicht mal erweitern. Aber da werden sich die Entwickler schon Gedanken drum machen.


    Kommt schon Leute... Perl aufzurufen ist jetzt schon per Webzugriff möglich, sofern die richig (falschen/schlechten) PHP-Einstellungen gemacht wurden! Beispiel...


    hello.pl


    Mit Inhalt:

    Perl
    1. #!/usr/bin/perl print "Hello World!\n";


    Dann eine test.php:

    PHP
    1. <?php passthru("./hello.pl");?>


    Und dann ruft Ihr mal das PHP-Skript mit dem Browser auf.


    Gut, "passthru" muss aktiv sein in diesem Beispiel... Aber es soll ja auch nur verdeutlichen, dass perl / ls / cat und viele weitere Tools mit den entsprechenden PHP-Einstellungen (über I-MSCP einstellbar, je nach Einstellung sogar durch den Endkunden) zugreifbar sind und sich damit die Diskussion über Sicherheit (oder besser gesagt: "security through obscurity") erledigt hat!


    exec muss ja sogar teilweise aktiv sein, da gewisse Webframeworks dies voraussetzen (z.B. für Zugriff auf ImageMagick)!


    Wollt Ihr noch ein Beispiel? Dann enabled mal passthru und erstellt folgende PHP-Datei:


    PHP
    1. <?php
    2. passthru("/bin/cat /etc/passwd");
    3. ?>


    Und jetzt? 8|<X Seid Ihr euch immer noch so sicher, das nur PHP unterstützt wird? :thumbup: Durch eine Falsch-Konfiguration (es braucht z.B. nur ein falsch deaktiviertes "disable_functions") kann man Tür und Tor für solche Spielereien liefern! :thumbsup:


    @Ninos : Bei Punkt 3 muss ich Dir wiedersprechen. Typo3 Crons müssen teilweise in der Shell ausgeführt werden zwecks Parameter-Übergabe. Aber es ist sicherlich der bessere Weg als jedem einfach die Welt in die Hand zu drücken... ;) Von daher wäre es ebenfalls meine präferierte Wahl! :thumbsup:


    Greez

  • Joomla problem

    Ehhhm, what?


    First you are talking about Joomla problems and then after that you make a context switch to I-MSCP Software Management? I'm a bit confused...

  • Joomla problem

    First of all, correct your Joomla Configuration (log and temp folder). That was the cause of "Can't move file" while installing new package

  • Problem mit StartSSL

    Quote

    KEY in Zertifikatschlüssel KOPIERT


    CSR in Zertifikat KOPIERT


    CRT (Self-Signed) in Intermediate Zertifikat KOPIERT


    Das kann so nicht funktionieren...


    Key -> Certificate Key
    CSR -> Certificate Signing Request
    CRT -> Certificate


    Also:
    KEY in Zertifikatschlüssel kopieren
    CRT in Zertifikat kopieren


    Und dann sollte es funktionieren.

  • Feedback to Plugins: OpenDKIM, ClamAV, SpamAssassin and RoundcubePlugins

    Quote from mrpink

    I just tested with a subdomain and you are right. I never used a subdomain while testing. :s
    I will discuss both topics with Sascha.


    No problem:)


    Quote from mrpink

    1. Do you know what went wrong on your first installation? On my Debian Wheezy testsystem whith i-MSCP master the installation is working without any problems.
    2. What do you mean with update? There is only one initial version of the plugin in the incubator. So the plugin engine won't do any update of the SpamAssassin plugin. Updates are triggered only when the plugin version changes. And as long as the plugin is not officially released we don't care about updates.


    1. I think DCC had to long and hung up. I only had to deactivate the plugin and click again on install.
    2. I changed configuration and rescanned the plugins. So it was a configuration-update, not a plugin update ;)


    Maybe something was wrong with my installation:)


    Quote from mrpink

    Then deactivate them in the config file. ;)


    I did it;) This was only a feedback, that maybe the admin should decide, which addon should be activ and which not. And in my opinion, all addons should defaultly be deactivated (but that's my opinion and there is not only "one way to do something") ;)


    Quote from mrpink


    https://work.citrin.ch/wiki/Hauptseite
    Thank you for your tests and feedback. :)


    No problem. I'm really interested in this plugins and I hope I can help with my testings.


    I will do a fresh I-MSCP installation and test again with this plugins. At the moment I can't report the errors correctly because I destroyed my test machine for reinstalling :D


    For better reporting: Which logs do you need for the plugins, if there would be any error again?

  • Feedback to Plugins: OpenDKIM, ClamAV, SpamAssassin and RoundcubePlugins

    First of all: Big thanks to:
    * Sascha Bay
    * Rene Schuster
    for this great plugins!


    I installed them of my server and played arround with them.


    Some Feedback:


    * ClamAV
    Works great! No problems while installing, no problems to configure and no problems to update :D all is working fine!


    * OpenDKIM
    Installation went smoothly and configuration was imho not needed.
    Some whishes to improve this great plugin:
    * possibility to active DKIM on all Domains at once (if possible and easy to implement)
    * Subdomains don't have a DKIM signature. Maybe it is possible to integrate this into the plugin?


    * SpamAssassin
    Is also easy to integrate into I-MSCP. On first run of the installation, it didn't finish. On second try, it worked smoothly and without problems but update of plugin is a little bit buggy :dodgy: But it is on the right way!
    Integration of Roundcube-Plugins is solved in a clean and "beautiful" way;)


    Maybe the possibility to change the global userprefs in the database over the I-MSCP backend would be nice. But only a nice to have in my opinion.


    For example: I extended "rewrite_header Subject" with the following: "*** SPAM *** [_HITS_/_REQD_]"
    So I can see the Score in Spam-Mails without open the source.


    * RoundcubePlugins
    In my opinion, there were to much plugins activated after installation. But it works great and without problems!


    Over all Plugins:
    Documentation is really great and the configuration options well commented.


    Greetings
    Fluser