Wir haben offensichtlich einen neuen Bug gefunden, der sich mit den letzten Updates eingeschlichen haben muß, denn auf allen Servern ist die Applikation-Firewall plötzlich ausgeschaltet und bei 1awww ist diese grundsätzlich eingeschaltet!
ACHTUNG: Alle Server unserer Kunden, werden wir schnell wieder auf den sicheren Stand bringen – wir sind schon dabei! Allen anderen Plesk-Server-Besitzer sollten mal ein Auge darauf werfen, ob bei ihnen auch die Plesk-Applikation-Firewall durch updates ausgeschaltet wurde?!
Schlagwort-Archive: Sicherheit
VORSICHT: Kaspersky ermöglicht(E) tracking (Super-COOKIE)
Viele Jahre haben wir Kaspersky als besten Schutz Ihres Computers empfohlen! Leider müssen wir diese Empfehlung auf Grund dieses absichtlich oder zumindest grob fahrlässig eingebauten Sicherheits-Lecks komplett zurück ziehen!
AUFGEDECKT: KASPERSKY ändert den empfangenen HTML/JAVASCRIPT-Code ALLER Webseiten, auch im „Geheimen-Modus“ und fügt diesem, einen eigenen Code hinzu, allerdings mit einer EINDEUTIGEN ID Ihres Computers! Dadurch, daß diese eindeutige ID nur einmal vergeben wurde, um genau nur Ihren Computer zu identifizieren, konnten ALLE Webseiten-Anbieter, die es darauf angelegt haben, diese ID auszulesen Sie vollständig tracken, also eindeutig identifizieren (personen-genau)! Dieses ist oder war auch möglich, auf Webseiten bei denen Sie speziell das Tracken verboten haben oder auch auf Webseiten, die Sie im Icognito oder geheimen Seiten-Bereich der Browser aufgerufen haben und dies nicht nur auf einen Browser beschränkt, sondern auf allen! Ja, sogar über VPN hinweg! Diese ID entspricht einem Super-Cookie!
Auch das Löschen von Cookies etc. bewirkte gar nichts, denn die ID blieb dennoch immer gleich! Ob nun Anwender sich auf Porno-Seiten im geheimen Modus bewegten oder geheime Verbindungen zu speziellen Firmen-Rechnern aufbauten, konnten alle über diese ID getrackt werden, selbst sogar bei Übertragung via VPN!
Im Prinzip hat KASPERSKY den Datenschutz (DSGVO) etc. komplett mit dieser Programmierung ausgehebelt und über alle Grenzen Benutzer trackbar gemacht, ob nun bewußt oder unbewußt!
Kaspersky war ja bereits öfter in die Schlagzeilen geraten mit Vermutungen, daß diese ggf. dem russischen Geheimdienst zu arbeiten. Bisher wurden allerdings alle Gerüchte immer zurück gewiesen und Spionage in Richtung Russland konnte bisher nicht nach gewiesen werden! Warum hier aber Kaspersky einen Code eingebaut hat, mit einer eindeutigen ID, die das Tracking übergreifend ermöglicht, ist entweder bewußt erfolgt oder extrem grob fahrlässig und dümmer, als dies die Polizei erlaubt!
Auf jeden Fall wollte für sich Kaspersky selbst schon erkennen, wer der User der eindeutigen ID ist, so wie sich wohl Kaspersky erklärt haben will (Aussage CT)! Und aus unserer Sicht ist dies schon ein ausreichender Verstoß gegen die DSGVO, da die Abrufer/Nutzer von Kaspersky davon nicht in Kenntnis gesetzt wurden!
Dieses Datenleck wurde im Register für vulnerable Software unter CVE-2019-8286 veröffentlicht und eine entsprechende Warnung vom BSI wurde ebenfalls heraus gegeben!
Einer der letzten Updates änderte das Verhalten, daß nun zwar immer noch ein Code in die Webseiten eingeschleust wird, dieser aber nun mit immer gleicher ID (FD126C42-EBFA-4E12-B309-BB3FDD723AC1) , die ein Tracking verhindert! Nichts desto trotz, ist der Einbau von Scripten, die die ursprünglichen Webseiten verändern, schon unserer Meinung nach, als sehr problematisch anzusehen, insbesondere für Webseiten-Entwicklern bei Fehlersuche!
Im Prinzip hängt sich Kaspersky in den geschützten Datenverkehr von HTTPS ein und veränderte die übertragenen Daten, was nicht selten auch schon ein Problem mit den Zertifikaten und Anzeigenfehlern endete. So was nennt man „Man in the Middle“! Dies sollte hier zwar der Sicherheit dienen! Kaspersky soll nämlich hier den Datenverkehr überwachen und einen Schutz herstellen, aber die Veränderung dieser Daten müssen wir als sehr zweifelhaft ansehen und wir sollten dies in keinem Fall erlauben!
Ferner zeigen wir allen Webseiten-Anbietern an, daß wir selbst Kaspersky einsetzen, was uns verletzlich macht, nämlich einen Angriff genau auf die Software von Kaspersky auszurichten und daß dieses möglich ist, haben wir in der Vergangenheit bereits gelernt, nämlich z.B. das automatische Skripte in Office-Dateien für MS-Office-Pakete etc. eingeschmuggelt wurden!
Es gibt einen Workaround, (Sie finden später hier einen Link – kommen Sie also in 2-3 Stunden wieder), um dieses Verändern des Codes der empfangenen Webseiten zu verhindern. Ob dies nun die ideale Methode ist oder es sogar besser ist, Kaspersky komplett zu deinstallieren und auf den Einsatz künftig zu verzichten, bliebt noch dahin gestellt! Viele Spezialisten behaupten nämlich, daß die von Microsoft eingebaute Sicherheitssoftware (Windows-Defender) ab Windows 10 bereits so sicher ist, daß der Einsatz aufgesetzter Software-Lösungen keine zusätzliche Sicherheit mehr bieten kann und den Betrieb des Computers eher unsicherer macht!
Uns ist aber auch allen klar, daß Microsoft seit vielen Jahren so viele Hintertüren eingebaut hat und die NSA etc. ebenfalls so viel drumherum getrickst hat, was auch angegriffen werden konnte und wo Kunden, die Kaspersky eingesetzt hatten, besser geschützt waren! Noch wurde nicht bewiesen, daß durch Kaspersky – Produkte ernsthaft Daten gestohlen wurden! Aber das Tracking so zu erlauben, war ein Verstoß gegen die Datenschutz-Richtlinien und ist als solches auch zu verurteilen. Von unserer Seite hat Kaspersky ganz arg an Vertrauen verloren und daher können wir den Einsatz nicht mehr empfehlen! Ob Sie es deinstallieren oder lieber trotzdem als zusätzlichen Schutz einsetzen, sollten Sie wirklich überlegen! Aber zumindest sollten Sie den beschriebenen Workaround nutzen und die Veränderung des Webseiten-Codes verhindern!
Joomla neue Version schließt Sicherheitslücken
Am 25.04.2017 wurde eine neue Version Joomla 3.7.0 veröffentlicht, die eine Masse an Sicherheitslücken aus allen Vorversionen von Joomla 3.6 (einschließlich) schließt!
Kunden, die Joomla einsetzen, haben jedoch diesmal mehr zu tun, als nur Ihren Webspace upzudaten, denn … Joomla neue Version schließt Sicherheitslücken weiterlesen
Kein Betriebssystem ist 100% sicher – Updates sind notwendig
Heise berichtete Anfang April vom Hacker-Wettbewerb Pwn2Own, der im Rahmen einer kanadischen Sicherheitskonferenz statt fand! Gehackt wurden Flash, Edge, Safari, Windows, macOS und Linux. Am letzten Tag sorgte für enormes Aufsehen, daß Hacker es geschafft haben, aus virtuellen Maschines (VMWare) auszubrechen und das Wirtssystem zu übernehmen!
Server-Hacking von Innen eine große Gefahr
Zwar war ein Ausbruch nicht bei der Version möglich, die in vielen Rechenzentren für vServer zum Einsatz kommen, dennoch wird die Gefahr immer größer, daß sich Hacker von virtuellen Maschinen in Host-Systeme hacken! Dies ist auch ein Grund dafür, daß wir immer gründlicher prüfen, wer sich einen vServer mietet und ob die von den Kunden angegebenen Daten auch stimmig sind, denn im schlimmsten Fall könnte sonst ein „Kunde im Schafspelz“, enorme Schäden verursachen und wäre nicht „greifbar“!
Updates gegen Schwachstellen:
Es ist zwingend notwendig, daß alle Systeme grundsätzlich auf die neueste Version upgedatet werden, damit Sicherheitslücken, direkt nach Bekanntwerden, durch einfache Updates geschlossen werden können! Veraltete Systeme werden dagegen von den Herstellern der Software nicht mehr gewartet und Sicherheits-Updates werden nicht mehr heraus gegeben und damit werden Systeme spätestens mit Veröffentlichung der Vulnerabilites (Schwachstellen) angreifbar, denn genau auf diese Schwachstellen zielen es Hacker ab! Unsere Hosts befinden sich immer auf dem neuesten Stand und daher waren auch unsere notwendigen System-Umstellungen vor einigen Wochen, die kaum von unseren Kunden wahrgenommen wurden, notwendig!
Veraltete Software zieht Hacker an
Hacker, die Server gefunden haben, auf denen ungewartete Software läuft, werden in der Regel intensiver gescannt, da hier die Vermutung nahe liegt, daß „Nachbarn“ (Webspaces /Domains mit gleicher IP/IP-Segment), ebenfalls veraltete Software einsetzen! Aus gleichem Grund, erfolgen auch Hacker-Scans der benachbarter Server, wie wir es deutlich in Anti-Attacks registrieren!
Sicherheit wird bei 1awww groß geschrieben
Daher sehen wir es als absolut notwendig an, alle möglichen Attacken, die von außen einstreuen, bereits im Keim zu ersticken und böse Verursacher, Hackerfarmen (Rechenzentren, die offensichtlich ihre Server nur an Hacker vermieten), öffentlich bekannt zu machen! Dies übernimmt erfolgreich, die von uns vor Jahren entwickelte Sicherheitssoftware Anti-Attacks, die auch stetig an die steigende Zahl der Hacking-Attacken, angepasst wird! Die Quote der Falsch-Erkennung konnte inzwischen auf 0,1 % reduziert werden! Täglich werden bis zu 20.000 Attacken von Anti-Attacks NEU registriert. Abgefangen und weg gefiltert, werden dagegen eine Vielzahl mehr an Angriffen!
VORSICHT Sicherheitslücke in Struts (Apache / Tomcat / Java)
Wir haben alle LXC-Server und unsere Shared-Hosting-Server (Plesk/cPanel) bereits gescannt und haben keine struts.xml – Datei gefunden!
Kunden mit KVM-Server-Machines und eigenen Java-Servern (auf Windows oder vielleicht sogar auf MACs auch zu Hause), sollten prüfen, ob Sie Tomcat bzw. Struts installiert haben! Auf Linux-Servern ist dies einfach über folgende Befehl möglich:
cd find . -name 'struts.xml'
Auf Windows-Computern suchen Sie die Datei struts.xml!
Ist Struts installiert, können über 35.000.000 verschiedene Web-Applikationen, die auf dem Server/Computer installiert sein können, VORSICHT Sicherheitslücke in Struts (Apache / Tomcat / Java) weiterlesen
VORSICHT: Cloudflare sensible Daten durch Fehler veröffentlicht
DRINGEND PRÜFEN:
Kunden, die Ihre Webseite über Cloudflare gecacht haben, müssen unbedingt dringend handeln!
Durch eine Fehler in der Hosting-Software von Cloudflare, sind wie der Heise berichtet , sensible Daten anderer Webseiten von Millionen von Webseiten über Monate weiter veröffentlicht worden! Betroffen sind alle Webseiten, die über SSL verschlüsselt über Cloudflare liefen und bei denen die Webseiten-Betreiber kein eigenes SSL-Zertifikat bei Cloudflare besitzen!
Beispiel: Sie haben Ihre Webseiten (eine Domain) über Cloudflare gecacht und haben z.B. darüber sich in Ihre Administration, z.B. WordPress wp-admin / Joomla CMS und ALLE ANDEREN Systeme eingeloggt, so sind unter Umständen alle Ihre geschützten Daten an andere übertragen worden und was noch viel schlimmer ist, Google hat diese Daten evtl. noch gecacht! Ob und wer, ggf. Daten erhalten hat, ist unklar!
Was ist also zu tun:
VORSICHT: Cloudflare sensible Daten durch Fehler veröffentlicht weiterlesen
Dringender Update notwendig – WordPress Vulnerabilities
Die letzte Einreichung eines Exploits erfolgte am 16.05.2016 und diverse WordPress Vulnerabilities sind bereits mit der Version 4.5.2 gefixt worden!
Kunden auf Plesk-Servern empfehlen wir, für jede Domain im Plesk-Server, die über eine WordPress-Installation verfügt, auf automatische Updates umzustellen! Ferner erhalten 1awww – Kunden automatisch Warnmeldungen, wenn auch Plugins aktualisiert werden müssen!
Das Risiko für nicht erfolgte Updates wird damit weiter reduziert, kann aber nicht vollständig ausgeschlossen werden! Daher sollte jeder Webmaster, der WordPress als CMS verwendet, auch Dringender Update notwendig – WordPress Vulnerabilities weiterlesen
DRINGEND: Passwort im MWI ändern
SICHERHEITS-WARNUNG:
Aufgrund eines Sicherheits-Alarms, wurden Sicherheits-Probleme im MWI fest gestellt und abgesichert! Es wird dringend empfohlen, daß Sie Ihr Passwort im MWI ändern! Loggen Sie sich dazu über die Ihnen bekannte Webseite config2 PUNKT 1awww PUNKT com über Ihren Browser ein und achten Sie auch darauf, daß neben der URL (Internet-Adresse) das Schlüssel-Symbol korrekt angezeigt wird und ändern Sie dann im MWI Ihr Passwort. Achten Sie darauf, daß die Änderung auch wirklich als gespeichert angezeigt wird!
Massives Sicherheitsproblem in Plesk 11.5 entdeckt
Plesk 11.5 – mit neuesten Updates, läßt das Ausprobieren von User/Passwörtern zu, ohne daß abzulehnen bzw. in Log-Files als unautorisierten Zugriff zu protokollieren! Im Gegenteil: Die Zugriffe werden mit 200 – alles OK protokolliert und sind daher auch nicht auswertbar!
Da ein Administrator in der Regel auch sich nur die Log-Files im Bereich von /var/log anschaut, wird auch nicht jeder Administrator dies rechtzeitig bemerken!
Daher sollte jeder Server-Administrator dringend folgende Log-Files prüfen:
/usr/local/psa/admin/log/httpsd_access_log
Die Log-File-Einträge sehen gut aus, sind aber Einbruchsversuche und kommen von verschiedenen IPs, aber in der Regel in einer Kette mit gleichen IPs – hier ein Beispiel aus unseren Log-Files eines Servers von vielen Plesk-Server von IP: 212.48.69.200 – mehrere 1000 mal!
212.48.69.200 – – [02/Sep/2014:19:56:54 +0200] „POST /login_up.php3 HTTP/1.1“ 200 5149 „-“ „-“ „-„‚/login_up.php3‘ “ ‚/opt/psa/admin/htdocs‘
212.48.69.200 – – [02/Sep/2014:19:56:58 +0200] „POST /login_up.php3 HTTP/1.1“ 200 5149 „-“ „-“ „-„‚/login_up.php3‘ “ ‚/opt/psa/admin/htdocs‘
212.48.69.200 – – [02/Sep/2014:19:56:58 +0200] „POST /login_up.php3 HTTP/1.1“ 200 5149 „-“ „-“ „-„‚/login_up.php3‘ “ ‚/opt/psa/admin/htdocs‘
212.48.69.200 – – [02/Sep/2014:19:57:01 +0200] „POST /login_up.php3 HTTP/1.1“ 200 5149 „-“ „-“ „-„‚/login_up.php3‘ “ ‚/opt/psa/admin/htdocs‘
212.48.69.200 – – [02/Sep/2014:19:57:01 +0200] „POST /login_up.php3 HTTP/1.1“ 200 5149 „-“ „-“ „-„‚/login_up.php3‘ “ ‚/opt/psa/admin/htdocs‘
Plesk 12.0 (Plesk Panel) – Miet-Lizenzen ab sofort verfügbar
Viele Kunden haben bereits darauf gewartet, daß 1awww die Preise und Konditionen für das neue Plesk-Panel 12.0 bekannt gibt, da Plesk-Panel 12.0, mit der neuesten Version, die Server-Administration in Punkto Sicherheit ganz enorm erhöht hat!
Hier einige der wichtigsten neuen Sicherheits-Feature: Plesk 12.0 (Plesk Panel) – Miet-Lizenzen ab sofort verfügbar weiterlesen