Jump to content
Froxlor Forum

Exploit

Members
  • Posts

    63
  • Joined

  • Last visited

Posts posted by Exploit

  1. On 6/7/2019 at 8:35 AM, proman said:

    Nochmal ne Nachfrage...

    Versucht mich da einer zu HACKEN..?

    Jun  7 08:31:44 con2 postfix/smtpd[15150]: warning: unknown[185.137.111.77]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
    ..............


    Das geht seit gestern im Sekundentakt... was kann ich dagegen tun..?

     

    Ja, das sind Bots, irgendwelche gehackte / mit Viren infizierte Zombies die wörterbucher, etc. ausprobieren. Das ist ganz normal und nichts besorgnis erregendes, vorrausgesetzt das sichere Passwörter verwendet werden.

    Dagegen kannst du Fail2ban installieren, damit werden Angreifende IP-Adressen nach ein paar Fehlversuche für eine Zeit blockiert. Das spart Speicherplatz und schont die Festplatten. Sei aber nicht zu übereifrig mit dem ändern der standard Configs zum Blockieren, wärst nicht der erste der sich selber damit ausgesperrt hat ?

  2. 12 hours ago, d00p said:

    mod_php wieder aktivieren, alle generierten vhosts löschen und http://ip/froxlor - jast du doch selbst im ersten post geschrieben wie du das wieder erreicht hast 

    Das wollte ich meinen Kunen am Montag Morgen nicht unbedingt antun Habe dan doch noch einen anderen weg gefunden...

    Die alte .conf für den Froxlor Host aus "/etc/php5/fpm/pool.d/" von einem Backup nach "/etc/php/7.0/fpm/pool.d" hochgeladen und dann ein "systemctl restart php7.0-fpm" und das Controlpanel lief (der rest hatte dann gepasst).

    Dann im Controlpanel den php-fpm Hacken gesetzt, den Cronjob ausgeführt und die hochgeladene Datei aus dem Backup wurde nun von Froxlor überschrieben, also neu angelegt, was ja auch so sein soll.

    Irgendwo hat Froxlor da aber auch einen kleinen Fehler, denn es ergibt ja keinen Sinn das er in der "10_froxlor_ipandport_xx.xx.xx.xx.443.conf" auf ein Socket zeigt ohne die .conf dazu in der "pool.d" an zu legen.

  3. Habe jetzt /etc/php/7.0/fpm/pool.d gefunden und eingestellt, es hat wohl doch einen Unterschied gemacht, Die Seiten sind wieder online!

    Keine Ahnung wie ich dieses Verzeichnis den ganzen Tag übersehen konnte, obwohl ich sogar nach so etwas gesucht hatte. Auf jeden Fall vielen Dank für die Hilfe. Die Kundenseiten sind online, nur Froxlor ist jetzt wieder weg. Wahrscheinlich läuft es noch unter mod-php. Die Häckchen liessen sich nicht ändern, waren grau mit einen hinweis das anderswo etwas konfiguriert ist, das dies nicht zulässt.

  4. Da sind aber nur Dateien drinn, die von Froxlor erzeugt wurden, wass soll da passieren wenn ich den umbenenne?

    Irgendwas ist aber passiert, in /var/lib/extrausers/ sind nun User angelegt worden. Diesmal hatte ich den Cronjob nach einem erneuten Error, nochmal ausgeführt und dann war die Fehlermeldung weg. Scheint also irgendwas mit der Reihenfolge gewesen zu sein.

    Ein kleiner Schritt für einen Menschen, aber ein großer Sprung für einen Server zum Ether.

    Jetzt muss nur noch der 503 weg.

  5. Die sehen bei mir so aus:

    Kurzbeschreibung:
    Kommando zum Neustarten von php-fpm:
    Pfad zu php-fpm-Konfigurationen:
    Prozess Manager Control (PM): dynamic
     

    "/etc/php5/fpm/pool.d" scheint mir nur ein Name zu sein und ist egal, oder?

     

    php.ini-Einstellungen:

    allow_call_time_pass_reference = Off
    allow_url_fopen = 1
    asp_tags = Off
    disable_classes =
    disable_functions = exec,passthru,popen,proc_close,proc_get_status,proc_nice,proc_open,proc_terminate,shell_exec,show_source,system
    display_errors = Off
    display_startup_errors = Off
    enable_dl = Off
    error_reporting = E_ALL & ~E_NOTICE
    expose_php = Off
    file_uploads = On
    cgi.force_redirect = 1
    gpc_order = "GPC"
    html_errors = Off
    ignore_repeated_errors = Off
    ignore_repeated_source = Off
    include_path = ".:{PEAR_DIR}"
    log_errors = On
    log_errors_max_len = 1024
    magic_quotes_gpc = Off
    magic_quotes_runtime = Off
    magic_quotes_sybase = Off
    max_execution_time = 30
    max_input_time = 60
    memory_limit = 128M
    {OPEN_BASEDIR_C}open_basedir = "{OPEN_BASEDIR}"
    output_buffering = 4096
    post_max_size = 32M
    precision = 14
    register_argc_argv = Off
    register_globals = Off
    report_memleaks = On
    sendmail_path = "/usr/sbin/sendmail -t -i -f {CUSTOMER_EMAIL}"
    session.auto_start = 0
    session.bug_compat_42 = 0
    session.bug_compat_warn = 1
    session.cache_expire = 180
    session.cache_limiter = nocache
    session.cookie_domain =
    session.cookie_lifetime = 0
    session.cookie_path = /
    session.entropy_file = /dev/urandom
    session.entropy_length = 16
    session.gc_divisor = 1000
    session.gc_maxlifetime = 1440
    session.gc_probability = 1
    session.name = PHPSESSID
    session.referer_check =
    session.save_handler = files
    session.save_path = "{TMP_DIR}"
    session.serialize_handler = php
    session.use_cookies = 1
    session.use_trans_sid = 0
    short_open_tag = On
    suhosin.mail.protect = 1
    suhosin.simulation = Off
    track_errors = Off
    upload_max_filesize = 32M
    upload_tmp_dir = "{TMP_DIR}"
    variables_order = "GPCS"
    
    opcache.restrict_api = "{DOCUMENT_ROOT}"
    

     

  6. Was muss denn für PHP7 geändert werden?

    Webserver-Reload-Command: /etc/init.d/apache2 reload
    ist doch OK, oder?

    FastCGI IPC Verzeichnis: /var/lib/apache2/fastcgi/
    drwxr-xr-x 3 www-data www-data 4.0K Apr 14 04:35 fastcgi
    sollte doch gehen? Hier werden aber keine Sockets angelegt, woran könnte das liegen?

    Verwende libnss-extrausers anstatt libnss-mysql: hat einen Hacken

    # a2dismod
    Your choices are: access_compat actions alias auth_basic authn_core authn_file authz_core authz_groupfile authz_host authz_user autoindex cgi cgid deflate dir env fcgid filter headers mime mpm_itk mpm_prefork negotiation passenger proxy proxy_fcgi python reqtimeout rewrite setenvif socache_shmcb ssl status suexec
    Which module(s) do you want to disable (wildcards ok)?

    Ist alles vorhanden.(?)

     

    Mit php5 habe ich folgendes, wüsste aber nicht was da hin soll, die Verzeichnisse existieren schon noch...

    Cron Startbefehl (php Programm): /usr/bin/nice -n 5 /usr/bin/php5 -q

    Globale PEAR Verzeichnisse: /usr/share/php/:/usr/share/php5/

  7. Hallo, lange habe ich es vor mich hinaus geschoben, aber nun fürht einfach kein Weg mehr drum herum, das Update von Jessie auf Stretch!

    Das Update schien einwandfrei zu laufen, nur sehr wenige Fragen wurde gestellt zu manuell geänderten configs. Im Vergleich zum Update von Wheezy auf Jessie, war ich sehr positiv überrascht. Dann aber die böse Überraschung, Das Froxlor-panel war offline und alle anderen Seiten auch. Das Froxlor-panel habe ich wieder zum laufen bekommen unter mod-php und durch das löschen von allen configs in /etc/apache2/sites-enabled/ welche anfangen mit 29*, 35*, 40*, aber nur bis Froxlor sie wieder neu schreibt!

    Einmal wieder im Panel drinne habe ich alle Vorlagen unter System->Konfiguration abgearbeitet.

    Habe alles versucht was ich hier im Forum finden konnte, dieser Thread kommt der Sache sehr nahe:

    Lösen konnte ich das Problem damit leider nicht.

    Das Problem habe ich soweit identifizieren können das keine Sockets mehr erstellt werden in /var/lib/apache2/fastcgi/.

    Wenn ich alle dateien die anfangen mit 29*, 35*, 40* Lösche in /etc/apache2/sites-enabled/
    und in 10_froxlor_ipandport_xx.xx.xx.xx.443.conf
    "/var/lib/apache2/fastcgi/1-froxlor.panel-xxlspace.net-php-fpm.socket" ändere in "/run/php/php7.0-fpm.sock"

    Dann läuft nach einem Restart von Apache2 das Froxlor-Panel wieder bis der Cronjob das natürlich wieder überschreibt.

    Aus irgendeinen Grund legt er nach dem Update auf Stretch einfach keine Sockets mehr an. Bin seit heute Nacht den Fehler an suchen und wüsste nicht was ich noch ausprobieren könnte.

    Nebenbei wird das Verzeichnis /etc/php5/fpm/pool.d auch noch verwendet, PHP5 unter Stretch aber nicht mehr unterstützt, was ja auch wenig Sinn hätte, da es dafür keine Sicherheits-Updates mehr gibt.

    Wie kann ich die Sockets in /var/lib/apache2/fastcgi/ wieder zum Leben erwecken, oder mus ich irgendwo die Pfade ändern?

  8. OK, habe jetzt auch diesen Thread gefunden: https://github.com/Froxlor/Froxlor/issues/656

    Scheint also etwas anderes los zu sein. Was mich allerdings wundert:

    Wieso kommt diese Fehlermeldung plötzlich? Das Ticketsystem hat bei mir noch keiner Verwendet. Vor einiger Zeit habe ich dort mal ein kurzes Selbstgespräch geführt, um zu testen ob und wie das funktioniert. Seit dem ist dort nichts mehr passiert.

    Von aussen kann der Cronjob nicht aufgerufen werden, oder?

  9. Der Cron Daemon hat mir eine eMail mit folgender Meldung geschickt:

    PHP Fatal error:  Uncaught exception 'Exception' with message 'Invalid ticket id' in /var/www/froxlor/lib/classes/ticket/class.ticket.php:137
    Stack trace:
    #0 /var/www/froxlor/lib/classes/ticket/class.ticket.php(70): ticket->readData()
    #1 /var/www/froxlor/lib/classes/ticket/class.ticket.php(84): ticket->__construct(NULL, 1)
    #2 /var/www/froxlor/scripts/jobs/cron_ticketarchive.php(39): ticket::getInstanceOf(NULL, 1)
    #3 /var/www/froxlor/scripts/froxlor_master_cronjob.php(80): require_once('/var/www/froxlo...')
    #4 {main}
      thrown in /var/www/froxlor/lib/classes/ticket/class.ticket.php on line 137

    Bei solch einer Meldung läuten bei mir sofort die Alarmglocken. So wie es aussieht ist die Sache bereits bekannt als "CVE-2018-12642" und ist auch schon die lösung für das Problem fertig. (https://www.openwall.com/lists/oss-security/2018/09/19/7) Höchste Zeit das sie im Update veröffentlicht wird, da nun wohl bots aktiv Froxlor-Seiten danach abklappern.

  10. 3 hours ago, d00p said:

    So froxlor should focus on its DKIM implementation and additionally to SPF add a DMARC entry

    This would help to make email delivery working better, but note that SPF and DMARC are not only DNS-entries, but also doing some filtering and reporting work on incoming email. Which are only to include in the Postfix Configuration.

    On this moment I'm just checking out how Froxlor handles this (storing the keys, etc..), seeing that the source code (version 1.0) still contais commands like "/etc/init.d/dkim-filter restart" which needs to be updated, since dkim-milter is replaced by OpenDKIM.

    The configuration files for postfix are looking quite hacky for me, but so far I understand them, I can't find that SPF and DKIM are included in the configuration templates, coming from /lib/configfiles.

    So far I can try to fix those and commit updates with git.

    SRS I consider as a part of SPF, since it has no other function as patching delivery-problems that SPF causes on email forwarding.

    I've also opened a discussion on Gmail, about SRS which can't be implemented without undesired side effects, like breaking the DKIM signature of the original message, which can't be the intention of DMARC. I relly don't like SRS, but for now I see no another working solution, to get rid of forwarding messages being refused.

  11. 2 hours ago, d00p said:

    But sounds like SRS is only needed in case of this mail forwarding thing isn't it?

    Exactly, that's where it's made for. Thinking about this further, I consider SRS is only necessary due to lack of DKIM support or bad practices of DMARC implementation. It makes no sense to refuse any e-mail having a valid DKIM signature.

    Having DKIM-signed e-mail manipulated or spoofed, would mean a leaked out private key. So companies having a DMARC record that requires a valid SPF and also a valid DKIM-signature, are assuming having very serious security issues.

    So far i noticed only refused mails which are forwarded for Facebook and for Twitter, which are both using DKIM.

    So far I'm hoping and assuming that already DKIM signed e-mail not will be signed again by the forwarding sever. (anyone who can confirm this?).

  12. Yes, it looks like sending email has become in the last years such a complicated thing, that almost nobody is able to set up a flawless mailserver.

    SPF, DKIM, DMARC, SRS, each of them needs several components to be installed, if you want to let your customers setup their own email addresses.

    However Froxlor seems to miss only:

    1. DMARC which is technically similar to creating and checking SPF (but does also reports)
    2. SRS which implementation is quite similar as adding a DKIM signature for outgoing mail and a spam-filter for incoming messages (proper handling of bounces is a bit challenging, but this should be solved by the SRS software)

    With all these working, Spoofing eMail is definitely not possible anymore, so I think that we will not see more coming up for the next years.

    SPF may disappear after a while, because it overlaps with DKIM, which would make SRS obsolete too. For the next years I don't see it happen that everyone uses DKIM, so we will have to deal with SPF and SRS.

  13. No, I can't fix the SPF records for Twitter, Facebook and all others who don't allow everyone to send mail from their address. Being able to do that, I would be the God of all spammers ?

    SPF and Forwarding is a well known problem and SRS is good documented, standardized an quite simple. The implementations are more complicated, and for most mail-servers still in an experimental state. I think this is because of security, you don't want to create a open-relay.

    SPF is good explained here:
    http://www.openspf.org/SRS

  14. The setup is like this...

    A customer who owns "example.com" has created in froxlor "info@example.com", which he forwards to customer@gmail.com

    Now he use info@example.com to receive news from (e.g.) twitter.

    Now twitter sends a newsletter to info@example.com which will hang for a while in the mail-queue and fail, because gMail refuse my server to send e-mail originating from twitter.

  15. The problem starts when a customer forwards his mail from Facebook, Twitter, etc.. to his (e.g.) Gmail. That mail will be rejected, because the IP-Address of the forwarding server isn't allowed to send it by the SPF-records of the origin senders.

    I'm not sure what the $secrets of following row is used for from the example of the last link in my post above:
    start-stop-daemon -S -q -b -p $PID_FILE -x $DAEMON -- -p $PID_FILE $OPTIONS $DOMAIN $SECRETS

    I guess that it needs some setting on domain-level, which I will try to check further out...

  16. It's an old thread, but still in the same state so far I can see. Since the last months I see that the number of rejected emails from customers who are using the forwarding functionality in Froxlor increases dramatically.

    The solution for this is implementing is 'Sender Rewriting Scheme' (SRS), which I need to implement, I've been reading quite a lot and enough stuff about this to make SRS with Postfix working, but before I start to do so, I would like to know if there is already work going on to implement SRS in Froxlor and what would be the best Froxlor-way to do it. ???

    Some articles that I found to be useful, but need to be adjusted to work with Froxlor together:
    https://thomas-leister.de/mailserver-debian-stretch/
    https://jichu4n.com/posts/setting-up-dkim-and-srs-in-postfix/
    https://christophfischer.com/linux/15-mailserver/56-sender-rewriting-scheme-srs-fuer-postfix-unter-debian

    Is there already anything in development for the Froxlor project?

  17. Auf den ersten Blick, kein Problem. Einen Virtualhost anlegen mit "autoconfig.*"- und "autodiscover.*"-Aliasse, Fertig!

    Nur funzt das nicht mit SSL, das muss dann wieder per Chronjob mit Froxlor's Domaintabelle gemacht werden, also kann mann es quasi gleich in Froxlor einbauen...

    .. Vielleicht komme ich die Woche mal dazu...

  18. Also Autokonfiguration ist eine schöne Sache! auch das erfordert allerdings das Subdomains angelegt werden, dazu dann noch die XML-Dateien.

    In Prinzip kann Froxlor ähnliche Sachen ja schon, mit dem www-Alias und der Default index.html beim Anlegen einer Domain und der Standard-Subdomain beim Anlegen von einem neuen Kunden. Werde mich mal an den Entsprechenden Stellen im Quellcode umschauen, ob die autoconfig dort mit herein passt.

×
×
  • Create New...