Die Registry VeriSign langt wiedermal zu

VeriSign, die Registry der Top-Level-Domain-Endung TV langt mal wieder schamlos zu. Dieses Mal haben sich die Wegelagerer aus den USA die Domainendung TV vorgenommen und die Preise für die Registrierung, den Transfer und die Verlängerung gleich um 20 % (in Worten zwanzig!) erhöht. Im Gegensatz zu den letzten Preiserhöhungen (z.B. COM, NET, ORG und INFO) gab es heute noch nicht mal eine fadenscheinige, sichtlich aus der Nase gezogene Pseudo-Erklärung als Begründung. Klar, bei leicht sinkendem Datenaufkommen (höhere Kompressionsraten beim Porno-Streaming machen sich direkt bemerkbar) in den USA kann man ja auch keinem mehr erzählen, daß der Preis aufgrund ‚signifikant‘ gestiegenem Datenaufkommens im Internet angehoben werden mußte…

Der Wegelagerer-Vertrag mit der ICANN wurde übrigens erst kürzlich bis 2023 verlängert. Und nach diesem Vertrag darf VeriSign die Preise in Zukunft pro Jahr um 10% erhöhen. Eine Lizenz zum Gelddrucken.

Unsere Empfehlung:
Nutzen Sie Europäische Domainendungen. Domains unter AT, DE, EU und FR sind nicht nur bezogen auf den regionalen, europäischen Markt akzeptiert, sie setzen sich auch immer mehr international durch. Man verbindet immer mehr auch Oberbegriffe wie „Made in Germany“ oder „Quality made in Europe“ mit den entsprechenden Domainendungen. Ein Umstand, auf den wir bei „Make America great again“ wohl getrost noch einige Jahrzehnte warten können.

Veröffentlicht unter Banditen, Fassungslos, Wegelagerer | Schreib einen Kommentar

Fehler passieren …

… auch bei WordPress. Um den letzten Fehler zu korrigieren, haben die Hersteller von WordPress gestern Abend ein neues Update (die Version 4.9.4) für WordPress herausgegeben.

Was ist passiert?

Leider hat sich mit der Version 4.9.3 ein Fehler im Update eingeschlichen, welcher verhindert, daß aktuelle Update automatisch installiert werden kann. In der Version 4.9.3 haben die Entwickler versucht, die Anzahl der sogenannten API-Calls zu reduzieren. Dieser Fehler wurde leider erst einige Stunden nach dem Erscheinen der Version festgestellt. Sofern Sie bei uns eine Website mit WordPress betreiben, sollten Sie sich daher bitte in Ihrem WordPress-Administrationsmenü anmelden und dort im Dashboard auf „Jetzt updaten“ klicken. Mit dem neuen Update wird der Fehler behoben, sodaß in Zukunft wieder alle WordPress-Versionen automatisch ihr Update erhalten.

Veröffentlicht unter Hosting, Sicherheit, Software | Schreib einen Kommentar

Sofort updaten! Die Angriffe auf WordPress-Seiten nehmen extrem zu und werden immer gefährlicher

Das Verunstaltung von verwundbaren WordPress-Webseiten ist Schnee von Gestern.

Sicherheitsforscher von Sucuri warnen „Wer noch immer die durch aktuelle Angriffe gefährdeten WordPress-Ausgaben 4.7 und 4.7.1 einsetzt, sollte dringend/umgehend die abgesicherte Version 4.7.2 installieren“.

Derzeit versuchen Angreifer Schadcode auf den verwundbaren WordPress-Webseiten zu platzieren und auszuführen. Damit können sowohl Besucher infiziert werden als auch Unfug auf dem Server getrieben werden.

Die fragwürdig programmierte REST-API, die nun gefixt ist, wurde von verschiedenen Russischen, Chinesischen und Türkischen Hacker-Gruppen ausgenutzt, um Beiträge und Kommentare über so genannte Defacement-Attacken zu verunstalten. Aktuell sind Sicherheitsforschern zufolge bereits über drei Millionen Seiten betroffen.

PHP-Plugins können sehr gefährlich werden

Ein Übergriff ist ärgerlich, richtig gefährlich wird es aber erst jetzt: Angreifer versuchen derzeit PHP-Code auf Webseiten zu schieben, um auf diesem Weg eine Hintertür zu platzieren. So könnten sie sich zu einem späteren Zeitpunkt Zugang zur kompromittierten Webseite verschaffen. Betroffen hiervon sind Websites auf denen ein sehr fragwürdiges PHP-Plugin zum Einsatz kommt, das PHP-Code in Kommentaren erlaubt. Dazu zählen zum Beispiel Exec-PHP sowie Insert PHP.

Wir empfehlen, diese sinnlosen Plugins direkt zu löschen.

Veröffentlicht unter Hosting, Pfusch, Sicherheit | Verschlagwortet mit | Schreib einen Kommentar

Flash-Krankheit krankt weiter

Im Flash Player und Adobe Digital Editions klaffen wie immer kritische Lücken. Aktuell sind natürlich mal wieder vor allem Windows-Nutzer von den Flash-Lücken bedroht. 

Insgesamt stopft das Sicherheitsupdate mehrere als kritisch eingestufte Sicherheitslücken, die insgesamt 13 (in Worten dreizehn!) CVE-Nummern zugeordnet sind. Angreifer sollen die Lücken aus der Ferne ausnutzen können, um diverse Speicherfehler (etwa integer overflow, use-after-free) auszulösen und letztlich Schadcode zur Ausführung zu bringen. So kann ein Übergriff in einer kompletten Übernahme eines gefährdeten Computers enden. 

Wenn man sich die Liste der Sicherheitslücken anschaut, fragt man sich wirklich, was die Programmier dort geraucht haben, als sie diese Krankheit programmiert haben. Man sollte dieses Stück Software definitiv umgehend löschen.

Veröffentlicht unter Uncategorized | Schreib einen Kommentar

Zeit zum Updaten: WordPress 4.7.1

Die aktuell erschienene Version 4.7.1 von WordPress schließt 8 kritische Sicherheitslücken und beinhaltet ein schönes neues Standardtemplate. Das Update wird ausdrücklich empfohlen. Gleichzeitig lohnt es sich WordPress auf PHP 7.x zu betreiben.

 

Veröffentlicht unter Uncategorized | Schreib einen Kommentar

WordPress fixt 12 Sicherheitslücken

Die neue Version 4.5.3 des Content-Management-Systems schließt zwölf Schwachstellen. Im Extremfall könnten Angreifer Webseiten kapern. Auch das beliebte Plug-in Jetpack ist in einer abgesicherten Version erschienen.

Bei WordPress 4.5.3 handelt es sich in erster Linie um ein Sicherheitsrelease, das zwölf Lücken schließt. Von den Schwachstellen sind alle Versionen bis einschließlich 4.5.2 bedroht.

Nutzen Angreifer Lücken aus, können sie unter anderem Web-Seiten lahmlegen und Passwörter zum Übernehmen einer Seite abgreifen. Wer das Content-Managment-System nutzt, sollte zügig aktualisieren. Ein Update gelingt über das Dashboard; sinnvoll ist es, diesen Prozess dort zu automatisieren.

Wichtige Fixes für Jetpack

Das beliebte Plug-in Jetpack zum Optimieren der Geschwindigkeit von WordPressseiten hat ebenfalls ein Sicherheits-Release erhalten. In der neuen Version 4.0.4 haben die Entwickler 3 Löcher abgesichert. So kann man nun sicherer via E-Mail posten, eine XSS-Lücke im Like-Modul wurde geschlossen und das Ausspähen von Feedback über die Kontakt-Möglichkeit soll nun nicht mehr möglich sein….

Veröffentlicht unter Hosting, Sicherheit, Software | Schreib einen Kommentar

Neue Masche mit Bewertungserpressungen

Bewertungen im Internet sind so eine Sache. Ursprünglich dazu gedacht, anderen Nutzern Informationen über Leistungen zukommen zu lassen, wird dieses an sich sinnvolle Werkzeug in der Zwischenzeit hauptsächlich auf Google von halbseidenen Typen wie „André Sheydin, http://www.*****.de “  dazu verwendet, anderen den Willen aufzuzwingen.

Wenn man als Webhoster nicht sofort Kundendaten liefert und sich Beleidigungen, Drohungen und Belästigungen nicht ‚erduldet‘, dann gibt es eine negative Bewertung. Und das, obwohl diese Lichtgestalt der Cyber-Erpresser noch nicht mal Kunde ist und seine Bewertung (Zitat: „Unglaublich frech, unfreundlich und unprofessionell“) darauf basiert, daß wir den Schutz unserer Kunden höher einschätzen als sein Erpressungsversuch.

Um dem Telefonterror und den Beschimpfungen („A…loch“, „H…bock“, „Drecks….“ Usw.) dieses „Herrn„ André Sheydin von http://www.****.de Herr zu werden mußten wir übrigens seine Telefonnummer direkt in der Telefonanlage abblocken. Schon eine Leistung von dieser Gestalt!

 

18.4.2018 URL des Bewertungserpressers entfernt, da er mit Unterlassungsklage droht .

Veröffentlicht unter Banditen, Fassungslos, Hosting, Wegelagerer | Schreib einen Kommentar

Supergau?!

Wenn Sie einen WordPress-Blog betreiben, haben Sie per Default eine große Schwachstelle in Ihrem Root-Ordner liegen. Die Datei heißt xmlrpc.php und kann ohne Aufwand von Botnetzen für DDoS-Attacken mißbraucht werden. Obwohl diese API-Schnittstelle Sicherheitstechnisch den „Super Gau“ oder das „Sicherheitsfiasko“ an sich darstellt, haben die von sicherheitsbedenken befreiten Entwickler von WordPress –wahrscheinlich volltrunken, denn sonst sind die WordPress-Entwickler besser- dies seit der Version 3.5 per Standard aktiviert und daran bis heute nichts geändert.

Sie selbst bekommen das in der Regel zuerst nicht mit und wundern sich aber irgendwann, daß Ihr Account erst sehr langsam ist und sich dann mit einem Sperrbild meldet. Wenn dies bei Ihnen der Fall ist, hosten Sie bei einem etwas weniger sicherheitsbewußten Provider und sollten darüber nachdenken zu uns umzuziehen, denn bei twosteps ist dieser Sicherheitslücke ein Schloß vorgeschoben.

Was kann ich mit der xmlrpc.php anstellen?

Diese Datei ist unter anderem für den Pingback zuständig. Genau mit dieser Funktion kann man aber auch andere Websites in die Knie zwingen oder ausspähen. Dazu wird einfach mit einem Zweizeiler über cURL eine andere URL und ein Port übergegeben (z.b. google.de:22). Die WordPress-Installation geht nun her und versucht auf dieser Adresse und Portnummer einen Pingback zu hinterlassen. Auf diese Art wird mit Ihrer WordPress-Installation auf anderen Servern nach offenen oder ungeschützten Ports gesucht.

Ganz böse wird es, wenn man die PingBacks dazu verwendet, eine Website zu belasten. Stellen Sie sich einfach vor, ein BotNet aus 1 Mio Rechnern schickt an 200.000 WordPress-Installationen eine Anfrage auf domain.tld:80. Der Server auf dem die Domain läuft, versucht jede einzelne dieser Anfragen (1 Mio * 200.000 Anfragen pro Durchgang) zu beantworten und wird hoffnungslos überlastet. Das nennt man dann korrekt eine billige aber sehr erfolgreiche DDoS-Attacke.

 

 

 

 

Veröffentlicht unter Fassungslos, Hosting, Pfusch, Sicherheit | Verschlagwortet mit | Kommentare deaktiviert für Supergau?!

WordPress zeigt wie es geht….

Kein Programm ist vor Fehlern geschützt. Logisch. Dazu sind die Programme viel zu komplex und groß.

Wie aber geht man sinnvoll mit Fehlern um?

WordPress zeigte heute innerhalb von vier Tagen das dritte mal, wie man verantwortungsvoll mit Fehlern umgeht: Man fixt sie einfach und behelligt seine User nicht damit. Aufgrund der Sicherheitswarnung durch Sucuri hat WordPress heute Nacht ein weiteres Sicherheitsupdate nachgeschoben und automatisch installiert. Dieses Verhalten kann man aus Sicht eines Providers nur als Vorbildlich bezeichnen. Vielleicht liest ja mal einer der Joomla-Gurus mit und nimmt dies als kleine Anregung mit 🙂

Veröffentlicht unter Sicherheit, Software | Verschlagwortet mit | Schreib einen Kommentar

Neuer Anleitungs-Blog

Ab heute versuchen wir, unsere Kunden mit kleinen Anleitungs-Videos auf http://video.twosteps.net zu unterhalten….

Veröffentlicht unter Uncategorized | Schreib einen Kommentar