Es ist uns unverständlich, aber nach einem Update, der über Plesk ausgelöst wird, werden immer wieder Dienste nicht ordnungsgemäß gestartet! Nach dem letzten Update, sind auf allen Servern, die das letzte Update gestern erhalten haben, die FTP-Dienste nicht wieder gestartet worden und heute bei den Servern, die heute automatisch durch die Plesk-Software upgedatet wurden, das gleiche! Nur bei einem Server von 15, lag ein Speichermangel – Problem vor, daß den automatischen Update verhindert hat, doch bei allen 14 anderen, hätte FTP nach dem Update auch wieder gestartet werden müssen! Viel schlimmer ist jedoch die Tatsache, daß Plesk nicht nach dem Update prüft, BUG in Plesk-Updater, nach wie vor grauenvoll !!! weiterlesen
Schlagwort-Archive: Bug
Plesk / Horde – Horror-Bug – Mail-Anhänge gehen verloren !
Ein guter Kunde hat uns heute kontaktiert, weil alle seine Mail-Attachements verschwunden sind und so haben wir uns natürlich auf die Suche gemacht, dieses Problem zu analysieren!
Auf jedem Plesk 11.5.30/12.0 – Server in Verbindung mit Horde (OS Debian) gehen alle Anhänge, die über Horde eigentlich an den Empfänger gehen sollen, unter immer nachvollziehbaren Umständen verloren! Wir beschreiben hier genau, wie daß passiert! Plesk / Horde – Horror-Bug – Mail-Anhänge gehen verloren ! weiterlesen
BUG oder FEATURE: Mails to root@eineDomain werden an Admin weiter geleitet
Auf allen Plesk-Servern, ob 11.5.x oder 12.x, werden Mails, die an root@irgendeine Domain auf dem Server gesendet werden, an den System-Administrator, der in Plesk bei Admin eingetragen ist, weiter geleitet, auch dann, wenn ein root@ – Mailkonto für die jeweilige Domain gar nicht existiert!<br class=“clean“ /><br class=“clean“ />
Ein Spammer kann dies ausnutzen, denn selbst wenn er keine Mail-Adressen auf den Servern kennt, root@IrgendeineDomain auf dem Server funktioniert immer! Wenn eine Mailadresse root@Domain nicht eingerichtet ist, sollten diese Mails eigentlich rejected werden. Bei allen anderen Kombinationen funktioniert dies auch, aber root@domain scheint entweder ein Feature oder ein Bug zu sein! BUG oder FEATURE: Mails to root@eineDomain werden an Admin weiter geleitet weiterlesen
Horror-Bug in Nginx (Plesk 12.0 / Webpresence Builder) gefunden
Stundenlang haben wir nach der Lösung eines Problems gesucht, daß dazu geführt hat, daß auf einem Kunden-Server auf vielen Domains, die Seiten von anderen Domains angezeigt wurden! Ursache ist offensichtlich ein Bug im nginx – Proxy-Server!
Nach Deinstallation des Nginx-Daemons auf diesem Kunden-Server, wurden wieder alle Webseiten korrekt angezeigt!
Es ist echt bitter, wenn Programmierer solche Fehler machen und diese könnten für andere Kunden ärgerliche Folgen haben, wenn nur als Beispiel auf einer Domain für Damen-Unterwäsche plötzlich Seiten einer Kontaktvermittlung Horror-Bug in Nginx (Plesk 12.0 / Webpresence Builder) gefunden weiterlesen
Plesk-Bug im Mail-Verkehr (Greylist-Filter)
Es wurde uns einige Male von Kunden berichtet, daß Mails extrem verspätet zugestellt wurden, allerdings konnten Test-Mails immer zeitnah zugestellt werden und die Ursache konnte auch erst einmal nicht gleich gefunden werden! <br class=“clear“/>
<br class=“clear“ />
Bei einer Problemanalyse stellten wir fest, daß eine enorme Anzahl von Mails vom Greylist-Filter abgewiesen (reject) wurden, obwohl der Grund dafür überhaupt nicht erkennbar war. Bei einer intensiven Untersuchung mußten wir eine böse Überraschung feststellen! Es wurden z.B. Mails von eBay, PayPal und Amazon zurück gewiesen und gerade solche Mails, müssen unbedingt und sofort weiter transportiert werden! Wir haben dann alle Plesk Shared-Server und auch Kunden-Server unter Plesk untersucht und die Probleme zeigten sich in 30 % dieser Server! Wir haben durch einen Workarround das Problem für unsere Kunden erst einmal beseitigen können!<br class=“clear“/>
<br class=“clear“/>
In unserem Wiki von 1awww.com haben wir die Hintergründe, Ursachen und auch den Workarround genau beschrieben!<br />Hier der Link: http://wiki.1awww.com/wiki/Plesk_Bug_in_SMTP_Mail_Greylist_Filter
<br class=“clear“/>
Schlimm ist allerdings, daß diverse andere Nutzer von Plesk, bereits ähnliche Probleme feststellen konnten und daß seit Jahren und dies ist auch dem Hersteller von Plesk, der Firma Parallels, bekannt! Dennoch schlummert dieser Bug, die ganze Zeit in vielen verkaufen Plesk-Servern! <br class=“clear“/>
<br class=“clear“/>
Unser Workarround ist eine Notlösung, weil jede Mail, die korrekt versendet worden ist, hat auch ihren Empfänger, kurzfristig zu erreichen. Daß ein Spamfilter Mails abweist, die entweder nicht nach den RFC sauber und korrekt, versendet wurden, ist dagegen ok! Auch wenn der Inhalt Spam enthält, soll eine entsprechende Klassifizierung erfolgen, nicht jedoch angehen kann, daß ein falscher Algorithmus zu einer fälschlichen Abweisung von wichtigen Mails führt!
Weltweites Sicherheits-Leck – Millionen Server betroffen
Sie müssen davon ausgehen, daß Ihre Passwörter Hackern bekannt sind:
Bitte lesen Sie diesen Artikel aufmerksam, denn es ist unbekannt, ob Ihre Zugangsdaten ausspioniert wurden und Hackern bekannt geworden sind! 1awww.com hat bereits diverse Sicherheitsmaßnahmen durchgeführt, um ggf. vorhandene Sicherheitslücken zu schließen!
Offene Hintertür in den Verschlüsselungen, ermöglichte das Auslesen von Usern und der dazugehörigen Passwörter:
Am 11. April 2014 ist uns bekannt geworden, daß ein Sicherheitsleck in Millionen von Servern, Webseiten und Systemen, daß Ausspionieren von Login-Daten und Passwörtern, ermöglicht hat! Dies war insbesondere dann möglich, wenn die Daten verschlüsselt übertragen wurden. Die NSA hat von diesem Sicherheitsleck, einer offenen Hintertür, dem sogenannten Heartbleed-Bug, seit über 2 Jahren gewußt und statt die Sicherheitsfirmen zu informieren, um auch Hackings zu verhindern, wurde diese Sicherheitslücke für NSA-Interessen der Spionage und des Ablauschens verwendet!
Auch auf einem 1awww.com – Server, wurde eine vulnerable Verschlüsselung gefunden:
Hier handelt es sich um den PL1SERVER, der durch Plesk automatisch und auch durch uns regelmäßig upgedatet worden ist! Es ist jedoch unwahrscheinlich, daß Zugangsdaten über den Server ausgelesen worden sind! Selbstverständlich haben wir bereits am 11.04 die Sicherheitslücke geschlossen! Dennoch: Wir empfehlen allen Kunden, alle Ihre Passwörter, für Mail, MWI-Zugang, Server etc. zu ändern! Alle Plesk-Kunden-Server haben wir bereits, auf einen sicheren Stand upgedatet! Alle anderen Server-Mieter, die keine Plesk-Server über uns gemietet haben, müssen unbedingt ihre Server updaten und ggf. Zertifikate neu erzeugen!
Mehr Infos und Diskussionen dazu im Forum aktuelle Sicherheitsprobleme willkommen!
Die größten Anbieter sind ebenfalls von der Sicherheitslücke, dem Heartbleed (Herzblut)-Bug betroffen:
Dazu gehören: Yahoo, Twitter, Sparkasse, Kaspersky, Afterbuy, HyperVereinsbank, BitTorrent und viele viele mehr! Von den 10000 weltweit größten Websites waren knapp 20 % von der vulnerablen Verschlüsselung, betroffen! Die deutschen Nachrichten-Sender empfehlen auch Passwörter bei Facebook, Instagram etc. zu ändern! Wir selbst schätzen, daß 90 % aller Systeme unsicher waren oder auch noch sind, denn viele Computernutzer verwenden ein Passwort für mehrere Systeme und über den Zugang zu Mail-Konten, wurden weitere Systeme ablauschbar und inzwischen ist auch bekannt, daß diese Sicherheitslücke bereits für Straftaten, mißbraucht wurde, siehe dazu unseren Blog-Artikel:
18 Millionen Passwörter wurden gehackt!
Warum so viele Systeme, sowohl unter Linux als auch unter Windows, von dem Scherheits-Bug, dem Heartbleed-Bug betroffen sind:
Der sogenannte Bug, bei dem man auch vermuten könnte, daß dieser absichtlich in die Verschlüsselung eingebaut wurde, soll übrigens von einem deutschen Programmierer, bereits vor über 2 Jahren, entwickelt worden sein! Dieser behauptet allerdings, daß er diesen Bug, nicht absichtlich geschrieben hat! Dagegen spricht aber, daß die implementierte Funktion für nichts anderes, außer dem Ausspionieren, einen Sinn gemacht hätte! Der Gau befindet sich in einer Schnittstelle, der Verschlüsselungssoftware, die für einen Abgleich über die IP, zur Verschlüsselung sorgt. Daher kommt die Bezeichnung Heartbeat (Herzschlag). Der Bug nennt sich Heartbleed (blutendes Herz). Diese Schnittstelle ist z.B. in OpenSSL integriert. OpenSSL wird darüber hinaus vielfach auch beim Erstellen von Zertifikaten (SSL-Certificates), ob selbst zertifiziert oder auch für kommerzielle (gekaufte) Zertifikate, verwendet!
Die SSL-Verschlüsselungen werden für sichere Webseiten, Mail-Transport, SFTP, SCP, SSH-Fernzugriff etc. verwendet! Wir von 1awww rechnen damit, daß der Schaden, der bereits durch diesen Bug entstanden ist, noch lange nicht vollständig erkannt worden ist und daß hier noch weiteres in der Zukunft öffentlich wird!
Diskutieren Sie bitte zu diesem Thema mit! Verwenden Sie dazu bitte unser Forum:
Mehr Infos und Diskussionen dazu im Forum aktuelle Sicherheitsprobleme willkommen!
erneut Bug in Plesk-Panel (Customer Business Manager) gefunden
Das Produkt Plesk-Panel ist nach wie vor gut für Hosting-Kunden, keine Frage, dennoch ist es traurig, daß es im Administrativen Bereich etliche Fehler und Bugs hat, mit denen wir uns echt rum schlagen müssen, diesmal im CBM (Customer Business Manager)!
Unter anderem wird durch einen anderen Bug, den wir später noch bekannt machen werden und der ebenfalls Parallels seit langem bekannt ist, und von uns nun seit über 4 Wochen bei Parallels in Arbeit ist, unsere Weiterentwicklung für CDN aufgehalten!
Der Bug wird in unserem Wiki unter „Das Paket konnte nicht synchronisiert werden„, beschrieben!
Plesk 11.5 – PHP Debug-Bug kostet viele Stunden und Nerven
Plesk PHP Debug – Bug ist dem Hersteller von Plesk bekannt:
Es ist nicht zu fassen, aber dieser PHP Debug – Bug ist seit über 1 Jahr und 6 Monaten dem Hersteller von Plesk bekannt! Er befindet sich auch in der aktuellen Plesk-Version 11.5.30 – Update #16 immer noch und kostet vielen Kunden, die Plesk verwenden bei der Fehlersuche, dem debuggen von PHP-Scripten viele und unnötige Stunden!
Fehlerhafte PHP-Scripte werden als 200 OK geloggt – auch im PHP-Debug-Modus
Bei fehlerhaften PHP-Scripten werden leere weiße Seiten ausgegeben oder teilweise nur zum Teil angezeigt und im error_log erfolgen keine Einträge und im access_log wird auch noch der Abruf mit 200 OK eingetragen, auch im Debug-Modus! Also ein Script, daß definitiv fehlerhaft ist und auch nichts oder falsches ausgibt, wird als fehlerfrei geloggt! Daher entstehen Sucharbeiten von vielen Stunden bei vielen Anwendern, was wir auch im Google so nachvollziehen konnten!
PHP-Debug-Modus wird normalerweise wie folgt aktiviert:
error_reporting: E_ALL
display_errors: On
Diese Werte werden in Plesk unter PHP-Einstellungen angepaßt und sollen nach dem alle Probleme beseitigt worden sind, unbedingt wieder auf Standard zurück gestellt werden!
Durch die Eintäge in Plesk wird für den jeweiligen Webspace entsprechende php.ini-Einträge erzeugt, die auch so gesetzt werden, was man in einem Script mit dem Befehl phpinfo() auch so abrufen kann! Dennoch haben diese Einstellungen KEINE Wirkung, es werden nämlich keine Fehlermeldungen ausgegeben und die Scripte werden angeblich sauber ausgeführt!
Mit diesem kleinen Workarround werden ALLE PHP-Scripte im Plesk-Webspace problemlos im Debug-Modus ausgeführt und Fehler werden angezeigt:
Den kleinen Workarround, haben wir im Wiki auf der Seite: http://wiki.1awww.com/wiki/Plesk_PHP_Debug_BUG beschrieben. Dieser löst die Probleme, aber der Hersteller könnte temporär auch die Auswahlmöglichkeiten in den Plesk-Einstellungen erweitern, wahrscheinlich würde ihn daß nur 10 Minuten Änderung in den Programmen kosten und viele viele viele Anwender könnten langwierige Suchzeiten sparen!
Plesk 11.5 – Bug gefunden
Plesk 11.5 hat offensichtlich 2 Bugs in Verbindung mit der Einstellung von client_max_body_size für nginx, was bei richtigen Einstellungen und einem größeren Upload einen Fehler „413 Request Entity to large“ erzeugt.
In stundenlangen Rechergen konnten wir dafür einen Workarround finden, den wir im wiki.1awww.co beschrieben haben. Hier der Link dazu:
413 Request Entity Too Large
2. Bug in Plesk am selbigen Tag gefunden: Update/Upgrade-Information2nd Bug in Plesk on same day found
2 Server mit der gleichen Einstellungen, um Release-Änderungen zu erhalten.
Der Server 1 hat am 17. Juni 2013 die Update/Upgrade-Informationen abgerufen und sagt auf dem Start-Bildschirm, daß es einen Upgrade zu 11.5 gibt!
Der Server 2 hat am 20. Juni 2013 die Update/Upgrade-Informationen abgerufen und sagt,
alles ist auf dem neuesten Stand – also von einem Upgrade zu 11.5 wird nix ausgesagt!
Wir haben dann nochmal genau geprüft, ob hier die Update/Upgrade-Einstellungen unterschiedlich sind, aber nein, die sind vollkommen identisch!
Original-Beitrag in Forum bei Plesk auf der Seite in englischer Sprache verfügbar!With the same settings, to get informations about a new release version, I get on the Server, thay has checked at the 17. June a Upgrade-Information and on the other machine, they checked later on the 20 June, I got not this information about a new Upgrade Version, why ?????
Server 1 – Version checked at the 17. June:
Hostname XXXXX
IP-Adresse XXXXX
BS Debian 6.0.7
Panel-Version 11.0.9 Update #54
Das System ist auf dem neuesten Stand, zuletzt überprüft am Juni 17, 2013 05:07 AM
Änderungsprotokoll ansehen | Komponenten hinzufügen oder entfernen
Benachrichtigen Sie mich, wenn die nächste Version von Release verfügbar ist. Einstellungen ändern
Ein Upgrade auf die Version 11.5.29 ist verfügbar.
Jetzt installieren | Neuheiten ansehen
Server 2 – Version checked at the 20. June:
Hostname XXXXX
IP-Adresse XXXXX
BS Debian 6.0.7
Panel-Version 11.0.9 Update #54
Das System ist auf dem neuesten Stand, zuletzt überprüft am Juni 20, 2013 07:02 AM
Änderungsprotokoll ansehen | Komponenten hinzufügen oder entfernen
Benachrichtigen Sie mich, wenn die nächste Version von Release verfügbar ist. Einstellungen ändern
Whats now, I can not upgrade the one server?