Beiträge von nemail

    Es ist ja kein Vorwurf, dass es passiert ist bzw. passiert, es wäre halt nur irgendwo eine Info ganz nett, an einer offizielleren Stelle als in einem Foren Thread vergraben.

    Ich sehe das so: Es ist ein Default Setting aus "alten" Installationen und der Fehler tritt dann durch ein pd-admin Update auf, weil dann mehr RAM gebraucht wird. Alles legitim, aber m.E. sollte entweder das Update das RAM Limit direkt erhöhen, falls nötig, oder es sollte eben ein Newsletter oder ein KB Artikel oder was ähnliches irgendwo publiziert werden (meiner Meinung nach).

    Zitat

    Original von Eisenherz
    Auch auf die Gefahr hin, dass es jetzt Off-Topic wird, aber gegen Brute force Attacken sollte man idealerweise auf dem Server ein Tool wie Fail2ban installieren, das den Server gegen so was absichert.


    Da stimme ich zu aber ich finde es auch nicht verkehrt eine entsprechende Funktion (wo es möglich ist) direkt in die Software einzubauen die das "Einfallstor" für Brute force bietet. Warum erst etwas drumherumstricken?


    pd-admin kriegt es als allererster mit wenn jemand versucht sich am Webinterface anzumelden...

    Zitat

    Original von Daniel Bradler
    Die Benutzerliste (/etc/passwd) muss dabei unprivilegiert lesbar sein, da es ansonsten zu Fehlfunktionen kommen kann.


    Vielen Dank für diese Info, das wusste ich nicht.


    Zitat

    Original von Daniel Bradler
    Da hier keine relevanten Daten gespeichert sind (Passwörter werden in der Shadow-Datei abgelegt, und es ist i.d.R. auch kein Rückschluss auf die gehosteten Domains möglich), sehen wir den freien Zugriff als eher unproblematisch an.


    Wenn ich eine Brute force Attacke starten wollte hätte ich dann zumindest schon ein paar Usernamen. Dass pd-admin nur relativ kurze Kennwörter unterstützt und es meines Wissens auch nicht möglich ist eine Kennwortrichtlinie betreffend Mindestkomplexität zu erzwingen macht die Sache auch nicht unbedingt besser.
    Gibt es einen Schutz bezüglich Brute force, wird ein Konto gesperrt bzw. erhält der Hostmaster Warnungen von pd-admin oder verschiedenen Services (smtp, pop3, imap, ftp) wenn eine Brute force Attacke stattfindet?


    Verstehen Sie mich nicht falsch ich möchte nur konstruktive Vorschläge in den Raum stellen und nicht meckern. Ich denke die eine oder andere Sache ließe sich ja mit mittlerem Aufwand implementieren, oder?


    Zitat

    Original von Daniel Bradler
    Die Erstellung und Pflege einer eigenen chroot-Umgebung für jeden Benutzer wäre sehr aufwendig ohne einen erheblichen Sicherheitsgewinn zu liefern. Wir haben daher darauf verzichtet.


    Diese Entscheidung kann ich grundsätzlich nachvollziehen. Wenn der Gewinn in keiner vernünftigen Relation zum Aufwand steht würde ich es in der Regel auch nicht machen.


    lg

    OK, das bedeutet: wer die SE nutzt und nicht herumbastelt der nimmt dieses Problem eben in Kauf und ich bin nicht der einzige - sehe ich das richtig?


    Darf ich fragen wieso das so implementiert ist? Ich habe die SE immer als stabile, sichere Umgebung gesehen an der ja auch rege weiterentwickelt wird. Ist das kein "großes" Sicherheitsproblem oder ist der Aufwand einfach zu groß? Oder würde man zu viele daraus resultierenden Probleme in Kauf nehmen wenn so etwas implementiert werden würde?


    Mir ist absolut klar, dass die SE auf freiwilliger Basis entwickelt wird und dass hier kein Anspruch auf irgendwas besteht, ich frage nur aus reinem Interesse. Ich bin froh dass es überhaupt eine SE in dieser Form gibt.

    Vielen Dank für die Antwort!
    Welche Möglichkeit gibt es denn im Rahmen einer Standardinstallation mit pd-admin SE die User daran zu hindern mittels z.B. einer PHP Shell auf Verzeichnisse außerhalb des eigenen Verzeichnisses einzusperren?


    Wäre eine chroot Lösung praktikabel? Ich nehme an ich bin ja nicht der einzige der sich darüber Gedanken macht, oder? Ich möchte nicht das Rad neu erfinden sondern würde gerne auf eine bewährte Vorgehensweise setzen...


    Kunden können z.B. lesend auf /etc/passwd zugreifen, securitytechnisch ist das eher fragwürdig, auch wenn es "nur" eine Userliste ist.



    edit: ich nutze PHP nur mit cgiwrap.


    lg

    Hi


    - Welche Version von pd-admin wird eingesetzt? 4.18
    - Welche Version der Serverumgebung wird eingesetzt? 3-0.225
    - Welche Fehlermeldung erhalten Sie? symlink auf root
    - Wie sind die problematischen Dienste konfiguriert? standard
    - Welche Logfile-Einträge (zB. Webserver- oder Mail-Logfile) gibt es? http Access_log


    Ich betreibe für die Verwandtschaft einen kleinen Webserver (erst vor 1-2 Wochen frisch installiert da Upgrade des alten zu mühsam gewesen wäre) und letztens wurde eine nicht gepatchte Joomla Website defaced.


    Was mich stutzig macht ist, dass ich unter /home/<userverzeichnis>/sym einen symlink auf / gefunden habe der (getestet mit phpshell) auch funktioniert. ich kann mich im filesystem frei bewegen und werde nur (fast überall) durch filesystem Berechtigungen aufgehalten. meistens aber erst beim öffnen von Dateien d.h. ich kann in die meisten Verzeichnisse hinein. im joomla rootverzeichnis gibt's die .htaccess und dort steht Options +FollowSymLinks drin, ich weiß jetzt nicht ob das bei joomla schon von haus aus so ist oder ob das ein teil des wegs zum defacement (oder zu schlimmerem) war.


    das OS ist centos 6.4 mit deaktiviertem selinux (spielt das in dem zusammenhang eine rolle oder ist das nur so etwas wie die UAC unter Windows?).


    Dass der Angreifer über eine Joomla Lücke reingekommen ist, davon geh ich jetzt mal aus. Was mir aber überhaupt nicht schmeckt ist, dass er theoretisch auch auf Teile des Servers zugegriffen haben könnte die eigentlich nicht zugänglich sein sollten - oder hab ich da was verpasst? Wenn ich einen shared Server betreibe mit 100en Kunden drauf kann ich die ja nicht zwingen ständig Joomla aktuell zu halten und so ein Hoster installiert sicher auch nicht alle paar Wochen seine Server neu...?


    lg

    Hallo,


    ich habe das gleiche Problem, bei mir zeigten die Symlinks auch auf exim, das habe ich jetzt korrigiert (inkl. Deinstallation von exim).
    Allerdings kann ich mit der php Mail Funktion noch immer keine Mails verschicken.


    Ich bin leider aus der PHP Welt vor ein paar Jahren komplett ausgestiegen daher ist es wahrscheinlich dass ich einen ganz trivialen Fehler gemacht habe. Ich habe schon google bemüht, konnte aber nichts finden (wahrscheinlich weil ich auch nicht genau weiß wonach ich suchen soll).


    Ich versuche mit der php Mail Funktion ein Mail an eine Adresse zu schicken die auf einem anderen Mailserver liegt, geht das überhaupt ohne Authentifizierung?


    pd-admin Version 4.14
    Standardserverumgebung: 3-0.173


    Danke für eure Hilfe!


    Gruß
    nemail

    Herr Bradler,


    wir müssen erst abwägen, ob wir auf v4 upgraden oder selbst an der v3 arbeiten werden. Grundsätzlich ist es natürlich nicht so klug, in ein abgelaufenes Produkt zu viel Zeit zu investieren jedoch kann uns ja auch keiner garantieren, dass wir unsere für die v4 angepasste Software auch bei der v5 noch verwenden können.


    Ich nehme an, ich kann hier im Forum nicht damit rechnen bei der Erweiterung von pd-admin Support zu erhalten...?


    Verstehen Sie mich nicht falsch, ich benutze pd-admin seit v2 und bin ebenfalls der Meinung dass hier ein sehr gutes Preis-/Leistungsverhältnis geboten wird.


    Ad Kommunikation:
    Man muss sich ja nicht an anderen Herstellern kommerzieller Konkurrenzlösungen vergleichen. Auch bleibt wie gesagt jedem selbst überlassen wie er sein Unternehmen führt aber ich bin überzeugt dass eine sehr offene Kommunikation nur förderlich sein kann. Ich praktiziere dies auch so.

    Auch wenn ich Gefahr laufe hier absolut off topic zu schreiben:


    Ich finde Firmen die ihren Kunden und der Öffentlichkeit gegenüber so verschlossen sind und nicht einfach offen heraus sagen was Sache ist, sehr unsympathisch, auch wenn ich vom Produkt selbst (pd-admin) durchaus angetan bin.


    Es bleibt jedem selbst überlassen wie er sein Unternehmen führt aber ich persönlich bin für eine offene Firmenpolitik. Wenn man nun Features verspricht und den Mund zu voll genommen hat, muss man halt rechtzeitig einlenken und sagen dass aus den und den Gründen die Features doch erst später Einzug halten können usw. Wenn man ehrlich ist, kann man glaub ich nie etwas falsch machen.


    Ad Topic:
    Heisst das, dass ich auf v4 umsteigen muss, wenn ich solche Schnittstellen nutzen möchte? Ich würde mir ja evtl selbst Scripts basteln wenn ich genau wüsste was pd-admin bei der Kundenanlage/Sperrung/... macht. Aber ich nehme an hier wird es keine offiziellen Infos von B&K geben...?


    Gruß
    nemail

    Zitat

    Original von chrischnian
    Diesen Fehler gibts auch schon lange :D


    Einfach nochmal reinschreiben und speichern dann sollte er drin sein :D :D


    Interessant zu wissen... Wir schreiben auch die Kundennummer in den Kundennamen rein um dann in unserer Kundenverwaltung den entsprechenden User leicht finden zu können. Aufgrund des Bugs mussten wir dann halt anhand des pd-admin Usernamens suchen, welcher wiederum in unserer Kundenverwaltung vermerkt ist.


    Gruß
    nemail

    Zitat

    Original von Stella
    Hi!



    pd-admin ist aber leider auch nicht viel besser...
    da gibt es Fehler die schon über 1 Jahr existieren :(


    Stella


    Ich wollte hiermit jetzt kein pd-* bashing lostreten. Ich verwende pd-admin sehr gerne und bin auch für die Standardserverumgebung sehr dankbar. Der einzige Bug der mich nervt bzw. der mir effektiv aufgefallen ist, ist dass der Name eines Kunden nicht gespeichert wird wenn das Erfassen von Kundendetails inaktiv ist (pd-admin 3).


    Gruß
    nemail



    Edit: Hat denn niemand Ideen hierzu? :)

    Zitat

    Original von chrischnian
    Welches System nutzt ihr hier. Ich bin vielleicht auch auf der suche nach was neuen. Da bei PD-Billing schon lange nichts mehr vorwärts geht und auf Mails nicht mehr richtig oder gar nicht mehr eingegangen wird.


    Wie erwähnt ist es ein in ASP.NET 3.5 selbstentwickeltes System, wird dir also nicht viel bringen.

    Hallo,


    erstmal zur Umgebung:


    - pd-admin 3/4 (jeweils aktuelle Version) ist im Einsatz
    - Aktuelle SE im Einsatz
    - Im Großen und Ganzen 08/15 Standardkonfiguration



    Nun meine "Aufgabenstellung":
    Wir benutzen eine selbstprogrammierte Kundenverwaltung (ASP.NET 3.5) und würden diese gerne mit pd-admin in ein paar Dingen verflechten.


    1) Anlegen/Löschen/Deaktivieren von Kunden aus unserer Kundenverwaltung heraus


    2) Zugriff von pd-admin auf die Userdaten (Name, Adresse, ...) aus der Backend Datenbank unserer Kundenverwaltung (MS SQL 2005). Eventuell auch andersherum, also dass Kundeninfos in der mySQL DB von pd-admin liegen und unser Frontend sich da die Daten rausholt. Wir möchten doppelte Datenbestände vermeiden


    3) Single Sign On: Es ist grundsätzlich ein SSO System vorhanden, welches den Kunden ermöglicht mit einem Account alle möglichen Dienste zu nutzen, Bestellungen zu tätigen, usw. Es wäre natürlich nett, wenn sich die User auch mit den SSO Zugangsdaten in pd-admin anmelden könnten.



    Ich will jetzt natürlich von keinem, dass er mir hier eine fertige Lösung präsentiert (ausser es gibt sie bereits ;)). Ich bitte lediglich um kreative Vorschläge, wie man hier Schnittstellen schaffen könnte. Direkete Kommunikation über ein eigenes Backbone zwischen dem ASP.NET/MS SQL und pd-admin Server wären im Prinzip kein Problem, dh wir müssten nicht über externe IPs und nach außen offene Ports o.ä. arbeiten.


    Ich dachte schon an Scripts welche vom ASP.NET Frontend über HTTP am pd-admin Server aufgerufen werden und die gewünschten Aktionen durchführen (z.B. für Kunden anlegen, ...). Die Frage ist hier aber natürlich, ob es bestehende Scripts in pd-admin gibt mit denen man über die Shell neue Kunden anlegen kann oder ob man sich so etwas selbst stricken müsste. Hier wäre dann interessant zu wissen, was pd-admin alles beim Anlegen eines neuen Kunden macht (DB Einträge, Verzeichnisse erstellen, Rechte setzen, ...).



    Ich denke das ist durchaus ein interessantes Szenario und ich bin gespannt auf eure Vorschläge/Meinungen hierzu.


    Ich weiß, dass es pd-billing gibt, jedoch haben wir bereits unser System im Einsatz und können (auch wegen der bereits investierten Arbeit bzw. Vereinheitlichung - Stichwort SSO) nicht einfach so umsteigen.


    Viele Grüße,
    nemail