Anleitungen und FAQ → (Frage & Antwort zu häufig gestellten Fragen ✔)

  • meine 1. Webseite Open or Close

    Wie lege ich meine 1. Webseite an ?

    Nachdem Sie unter ISPConfig eine Webseite und einen FTP-Zugang eingerichtet haben benötigen Sie noch einen Editor.
    Sie können hier jeden beliebigen Editor oder eine Textverarbeitung wie z.B. Word oder was auch immer nehmen.

    Ein sehr guter Editor ist z. B.   Brackets  von Adobe.

    In diesem Beispiel verwenden wir Notepad++

    Der große Vorteil von Notepad++ ist, dass hier bereits ein FTP-Client integriert ist - Sie können also direkt und live auf Ihrem Server arbeiten und das Ergebnis sofort "sehen".

    Einfach mal nach "Notepad++ download" google'n oder direkt von der Homepage   also hier downloaden

    1. starten Sie jetzt Notepad++ und klicken auf das letzte Icon (Show NppFTP Window) oder öffnen Sie das FTP-Fenster über den Menüpunkt:

    Erweiterungen / NppFTP

    Im FTP-Fenster klicken Sie auf das "Zahnradsymbol" dann "Profile settings" dann "Add New" tragen Sie jetzt einen beliebigen Profil-Namen ein und legen einen FTP-Zugang zu Ihrer Webseite an.
    Tragen Sie hierzu unter "Host" immer die IP Adresse Ihres Servers ein (siehe Mail Zugangsdaten) dann funktioniert es auch wenn noch keine aktive Domain auf Ihrer Webseite liegt.
    Tragen Sie bei "Username" und "Passwort" die entsprechenden Werte ein (so wie Sie den FTP-User unter ICPConfig eingerichtet haben).
    Die andere Angaben belassen Sie bei den Vorgaben.
    Jetzt sollte es in etwa so aussehen:


     

    fair4Host vServer meine 1. Homepage


     

    Jetzt bitte per "close" speichern und auf das 1. Icon (Connect) klicken. Wählen Sie jetzt die gerade angelegte FTP-Verbindung aus.

    Jetzt sind Sie mit Ihrem Server bzw. Webseite verbunden.

    Klicken Sie jetzt mit der rechten Maustaste auf den Ordner "web" und wählen "Create new file" und geben als Dateiname:

    test.html

    an.
    Jetzt sehen Sie im web-Ordner die besagte Datei - einfach per Doppelklick im Editor öffnen. Tragen Sie jetzt folgenden Text ein (so wie im folgenden Bild):


     

    fair4Host rServer meine 1. Homepage


     

    Nach dem Speichern können Sie die Datei folgendermaßen im Browser testen.
    Geben Sie in der URL Zeile Ihres Browsers folgendes ein:

    meine-domain.de/test.html

    Jetzt wird Ihre 1. Webseite live angezeigt.
    Wenn die Datei automatisch bei Aufruf Ihrer Domain starten soll (also ohne die Angaben von "test.html" müssen Sie diese nur in

    index.html

    umbenennen.

    Die bereits vorhandene index.html ist die jetzige Willkommens-Seite die bei Aufruf Ihrer Domain angezeigt wird - Sie können diese löschen oder umbenennen.

    WICHTIG: Wenn Sie Änderungen vorgenommen haben - bitte nicht vergessen Ihren Browser zu aktualisieren (F5 drücken) oder den gesamten Browser Cache löschen.

     

    Hier können Sie die test.html auch als zip-Datei downloaden

    Hier wird die Datei test.html direkt im Browser angezeigt
    Wenn die text.html im Browser angezeigt wird einfach rechte Maustaste / Seitenquelltext anzeigen / und den Text markieren und kopieren (je nach verwendetem Browser kann der Menüpunkt auch leicht abweichen).

    Hier noch ein wichtiger Hinweis:

    Grundsätzlich sollten Sie alle HTML- und PHP-Dateien in der Kodierung "UTF-8 ohne BOM" und mit dem Format "Zeilenende UNIX" speichern.

    Bei Notepad++ können Sie dies unter dem Menüpunkt "Kodierung" und "Bearbeiten / Format Zeilenende" konfigurieren.

     

  • WEB-Angriffe, Brute-Force und Passwortsicherheit Open or Close

     

    Besonders beliebte Angriffsziele der Hacker u. Spammer sind wie üblich die am meist verbreitesten Systeme. Wobei hier sicherlich die CMS Systeme die 1. Plätze belegen, dicht gefolgt von den beliebtesten Foren u. Boards.

    Platz 1 für diverse Angriffe ist wohl das beliebte Wordpress dicht gefolgt von Joomla.

    Einer der häufigsten Gründe ist hier wohl der SPAM-Mail Versand.

    Wie ist ein SPAM-Mail Versand über mein WEB oder über mein Postfach überhaupt möglich ?

    Hierzu gibt es prinzipiell 2 Möglichkeiten.

    1. Direkt über das Postfach

    Hierzu benötigt der "Spammer/Hacker" jedoch die Zugangsdaten. Stellt sich die nächste Frage woher bekommt der "Hacker" die Zugangsdaten. Auch hier gibt es prinzipiell wieder 2 Möglichkeiten:

    1a. Die Zugangsdaten wurde ausgespäht durch Viren, Trojaner etc. direkt vom PC des Webmasters oder vom Handy, Tablet, Blackberry, Spielconsole, Smart TV was auch immer oder wo auch immer die Zugangsdaten hinterlegt sind oder ein Mailclient mit den entsprechenden Zugangsdaten eingerichtet wurde ...

    1b. Der Hacker hat das Passwort durch einen BRUTE Force Angriff erthalten (siehe unten)

    2. Direkt über eine Webanwendung (also eine unsichere Webseite)

    Die beliebtesten Angriffsziele sind hier Formular, Gästebuch, Forum ... (was auch immer oder womit auch immer ein Mailversand möglich ist). Wenn der Webmaster jetzt nicht seiner Sorgpfallspflicht nachkommt und dies nicht entsprechend absichert (Capcha), regelmäßig updatet und/oder bereits bekannte Sicherheitslücken NICHT mit den entsprechenden Patches schließt, ist dies jetzt ein leichtes Spiel für jeden Hacker/Spammer ...

    Der SPAM-Versand erfolgt dann direkt über die unsichere WEB-Anwendung. Diese wiederum versendet die SPAM-Mails dann direkt über das vom Webmaster hinterlegte Postfach ... oder noch schlimmer direkt über die entsprechenden serverseitigen Befehle (sendmail, mail und/oder PHP-Befehle).

    Verwenden Sie keinesfalls die serverseitigen Mailbefehle – hierüber würden Sie einen eventuellen SPAM-Versand über Ihre Webseite ja nicht Mals bemerken!!!

    Praktisch alle bekannten CMS Systeme, eShops, Foren u. Boards verwenden den PHP-Mailer. Hier können bzw. müssen Sie den SMTP-Versand verwenden – nur so erhalten Sie überhaupt die Möglichkeit einer Überwachung aller über Ihre Website versendeten Mails.
    Beim SMTP-Versand müssen Sie die Zugangsdaten zu Ihrem Postfach angeben.
    Nur hierbei erfolgt der Mailversand über ein Postfach das Sie entsprechend kontrollieren u. überwachen können.

    Hier haben Sie 2. Möglichkeiten

    2a. Geben Sie hier eins Ihrer externen Postfächer an (gmx, T-Online, outlook.de) was auch immer. Hierbei überlassen Sie dann die SPAM-Behandlung direkt dem jeweiligem Anbieter!
    Stellen Sie Ihr Postfach so ein das Sie über jede versendetet Mail automatisch eine Kopie erhalten – nur so sind Sie immer auf dem Laufenden.

    2b. Über Ihr Postfach auf Ihrem eigenen Server.
    Hier müssen Sie jetzt selbst Ihre SPAM-Filter etc. konfigurieren. WICHTIG auch hier müssen Sie Ihr Postfach so einstellen das Sie automatisch über jede versendetet Mail eine Kopie erhalten.

    Dies sind die minimalsten Ansätze – so das Sie zu überhaupt erst einmal mitbekommen was Ihre Website überhaupt an Mails versendet.

    Keinesfalls sollten Sie die serverseitigen Mailfunktionen verwenden - hierbei haben Sie keinerlei Kontrolle über die von Ihrer Website versendeten Mails - das wäre dann die dümmste Lösung.


    3. Beispiel Wordpress

    Speziell zu Wordpress sind Templates im Umlauf deren einziges Ziel es ist eine hohe Verbreitung und die damit verbundene Infektion möglichst vieler Wordpress Installationen. Teilweise werden diese erst ein halbes Jahr nach der Installation (Infektion) aktiv. Hier werden z.B. ausführbare PHP-Dateien als Template Dateien getarnt (falsche Dateikennung). Zusätzlich werden hier weitere Administrator-Accounts eingerichtet so das selbst nach einer Beseitigung der infizierten Dateien das Problem NICHT behoben ist !
    Für detaillierte und aktuelle Infos bitte einmal Googeln -> hier 2 Beispiele:

    www.heise.de/security/meldung/Schadcode-nutzt-Monate-alte-WordPress-Luecke-aus-2498327.html

    www.heise.de/security/meldung/Sicherheitsluecke-in-vielen-WordPress-Themes-2390055.html

    Oder hier einmal ein Beispiel von SemperVideo über eine eBay Fishingseite (direkt über ein gehacktes Wordpress):




    4. Beispiel Joomla

    Bei den Joomla Version kleiner 2.5 wurde der Support bereits vor Jahren eingestellt. Danach wurden dann noch als "BESONDERS Kritisch" eingestufte Sicherheitslücken behoben !!! Man beachte bitte das original Zitat "besonders Kritisch". Was dies bedeutet muss wohl nicht näher erläutert werden. Google'n Sie doch bitte einmal nach "Joomla Sicherheitslücken Kritisch"

    Die "großen" Hosting-Provider (z.B. Hosteurope, United Internet (1und1, Strato ...) haben bereits begonnen Joomla Installationen kleiner 2.5 wegen gravierender Sicherheitslücken zu sperren.

    Beachten Sie bitte - ein Webmaster der Joomla Versionen kleiner 2.5 einsetzt (auch wenn er bis dato alle Sicherheitspatches und Updates installiert hat) handelt fahrlässig und dürfte somit rechtlich für alle hierdurch entstandenen Schäden Schadensersatzpflichtig sein. Bedenken Sie bitte das diese Schäden, insbesondere bei Fishing-Seiten, erheblich sein können.

    Dies gilt natürlich nicht nur für das beliebte Joomla sondern grundsätzlich für alle älteren nicht mehr supporteten Version wie z.B. Typo, Magento, Wordpress. OSCommerce usw. usw. ...

    Wie kann ich mich hiervor schützen

    1. keinesfalls die serverseitige Mailfunktion verwenden - hierüber haben Sie keine Kontrolle über die von Ihrer Website versendeten Mails
    2. Deaktivieren Sie keine serverseitigen Sicherheitsfeatures
    3. Prüfen Sie ob es für Ihre Webanwendungen bereits bekannte Schwachstellen gibt
    4. Höchste Vorsicht ist bei allen Anwendungen nötig, die Mails versenden oder Datenbankeinträge vornehmen - wie z.B. Gästebücher, Formulare, Blocks, Foren usw. Diese müssen entsprechend abgesichert sein - ansonsten handelt der Webmaster grob fahrlässig und ist rechtlich mitverantwortlich für entstehende Schäden. Und diese Schäden können gewaltig sein (hier sind nicht die Abmahnungen dubioser Anwaltskanzleien gemeint - sondern die Schäden die z.B. durch diverse Fishingmails, Werbung für Kinderporn.... Inhalte usw. entstehen können).


    Passwortsicherheit

    Hierzu einmal ein Wiki-Auszug mit den wichtigsten Infos:
    Als Brute-Force Attacke bezeichnet man das Berechnen oder umgangssprachlich ?Knacken? von Passwörtern. Oft sind Passwörter mit Hilfe von kryptographischen Hashfunktionen verschlüsselt. Eine direkte Berechnung des Passworts aus dem Hashwert ist praktisch nicht möglich. Ein Cracker kann jedoch die Hashwerte vieler Passwörter berechnen. Stimmt ein Wert mit dem Wert des hinterlegten Passwortes überein, hat er das (oder ein passendes) Passwort gefunden. Brute Force bedeutet hier also simples Ausprobieren von möglichen Passwörtern. Vordefinierte Hashlisten häufig verwendeter Passwörter nennt man Rainbow Table. Aus dem oben genannten Zusammenhang zwischen Umfang des Problems und benötigten Rechenoperationen lässt sich für das Beispiel des ?Passwortknackens? der Schluss ziehen, dass mit steigender Passwortlänge oder steigender Anzahl an möglicherweise im Passwort vorhandenen Zeichen (Alphabet ohne Zahlen, mit Zahlen, mit Sonderzeichen) der Aufwand der Brute-Force-Methode schnell ansteigt. Die Methode ist in der Praxis häufig erfolgreich, da die meisten Benutzer kurze und einfache, damit unsichere, Passwörter verwenden. Schon auf einem handelsüblichen Mittelklasse-Computer können etwa 50 bis 100 Millionen Passwörter pro Sekunde ausprobiert werden.

    Wird die Anzahl der auszuprobierenden Passwörter durch Reduktion der Möglichkeiten auf Einträge aus einem ?Wörterbuch? (bzw. Zusammensetzungen derer) eingeschränkt, spricht man auch von einem Wörterbuchangriff (engl. dictionary attack).

    Das bedeute also das der gesamte Duden in verschiedenen Kombinationen und Wortzusammenstellungen somit bereits nach wenigen Sekunden abgearbeitet wäre ... Der Duden in Kombination mit diversen Datumsangaben braucht dann auch nicht sehr viel länger. Alle Vornamen, Kosenamen und Tiernamen brauchen nicht viel mehr als 1 Sekunde. Etwas länger dann in Verbindung mit Datumsangaben ...

    Ein sicheres Passwort nicht hoch genug einzustufen.

    Wie also kann ich die Sicherheit meines Passwortes stark erhöhen.
    Die einfachste Lösung wäre:
    Möglichst lang und in Kombination von Groß- u. Kleinbuchstaben, Ziffern und Sonderzeichen und keinesfalls Begriffe die in Wörterbüchern enthalten sind und auf gar keinen Fall Namen (auch nicht in diversen Kombination).

    Weiterhin sollten auch keinesfalls sogenannte "Tastaturkombinationen" verwendet werden.
    Tippen Sie bitte einmal: 1qayxsw2 ein - dann wissen Sie was gemeint ist.

    Hier einmal ein interessantes Video (wie einfach es doch ist ein E-Mail Account zu hacken ...).
    Obwohl diese Video schon etwas älter ist, ist es immer noch brandaktuell.



    Bei selbst programmierter Software sollte folgendes beachtet werden:

    Aufgrund der schnell steigenden Rechenleistung heutiger Rechner können bei der Brute Force Attacke zunehmend mehr Möglichkeiten pro Zeiteinheit durchprobiert werden. Somit sind immer längere Passwörter oder solche aus einer größeren Vielzahl an verwendeten Zeichen für einen ausreichenden Schutz gegen die Brute-Force-Methode erforderlich.
    Gegenmaßnahmen beinhalten unter anderem die Verwendung von Key-Stretching oder Salts. Beim Key-Stretching wird durch wiederholte Iteration eines Hashes (PBKDF2) oder durch komplizierte Vorbereitungsmaßnahmen für die Ausführung eines Algorithmus (bcrypt) die Rechenzeit zur Berechnung des finalen Hashwertes vergrößert oder durch intensiven Speichergebrauch die Ausführung auf schnellen ASICs oder FPGAs, die beide nur über vernachlässigbaren Speicher verfügen, verhindert (scrypt[1]). Der Salt, der mit dem Passwort konkateniert wird dient dazu, die Erstellung von Rainbow-Tables durch Vergrößerung des Urbildbereichs zu verhindern. Der Schlüssel wird also durch gewisse Methoden ?gestreckt?, sodass ein Passwort mit Key-Stretching mit geringerer Komplexität dennoch rechenäquivalent zu einem komplexeren Passwort ohne Key-Stretching ist.


     


     


     

  • Admin-Zugänge schützen (Verzeichnisschutz) Open or Close

     

    Wichtig ist ein Verzeichnisschutz grundsätzlich bei allen Web-Systemen mit sogenannten Administrator- bzw. Konfigurationszugängen beispielsweise bei allen CMS –Systemen wie z.B. Joomla, Wordpress, Typo, Magento etc. und natürlich auch bei allen eShop-Systemen, Foren usw. usw.

    Als Beispiel sei hier einmal Joomla und Wordpress genannt. Der Administratorzugang liegt im Ordner administrator im web-Verzeichnis also:

    web/administrator


    (basierend auf Ihrem FTP-Rootzugang)

    Beachten Sie bitte das nur das "web" Verzeichnis per Browser erreichbar ist

    Einen Verzeichnisschutz legen Sie folgendermaßen an. Loggen Sie sich hierzu unter ISPConfig ein:

    Klicken Sie auf „Webseiten“ dann links im Menü auf „Geschütze Ordner“ und Ordner hinzufügen

    Wählen Sie die gewünschte Webseite und bei Pfad geben Sie:

     

    /administrator


    Dann bitte links im Menü „Geschütze Ordner Benutzer“  wählen. Bei Ordner wählen Sie jetzt den gerade angelegten Ordner aus. In diesem Beispiel also


    name_ der_webseite/administrator


    Dann bitte bei Benutzername den gewünschten Benutzername und das gewünschte Passwort angeben – das war es schon. 

     

    Wichtig:

    Keinesfalls sollten bei Benutzernamen die Vorgaben wie z.B. admi, root, administrator etc. verwenden. Diese sind weltweit bekannt. Wenn Sie diese also verwenden haben Sie direkt 50% Ihres Zugang-Schutzes leichtfertig geopfert.

    Verwenden Sie zwingend eigene Usernamen und diese sollten Sie zusätzlich auch mit Groß-Kleinschreibung und Ziffern kombinieren

    Gleiches gilt für Passwörter - wenn Sie mindestens 15 Stellen verwenden sind Sie hier auf der sicheren Seite.

    Dass Sie niemals identische Passwörter verwenden dürfen ist sicher selbsterklärend.

    Wenn dann beispielsweise Ihr Passwort für den Joomla-Administratorzugang gehackt wurde, so wird sicher als erstes getestet ob dieses Passwort nicht auch auf die Datenbank, den FTP-Zugang oder Ihr E-Mailkonto passt … oder noch schlimmer direkt auf den Konfigurationszugang Ihres Servers …


    Schauen Sie bitte auch einmal in unser FTP Video-Tutorial unter:

    https://www.youtube.com/channel/UCr5TG_vpmBILhwJEYoVRvnQ/videos?shelf_id=0&view=0&sort=dd

    Ab etwa der 6 Minute gibt es diesbezüglich wichtige Infos.

    Weitergehende Infos unter:

    https://fair4host.de/php-apache

    Menüpunkt: php_display_error ON



     

  • Brute-Force Schutz - fail2ban IP Sperre Open or Close



    Achtung Um Ihnen den größtmöglichsten Schutz zu bieten haben wir Ihren Server standardmäßig mit einem Brute Force Schutz (fail2ban) ausgestattet.
    Dieser Schutz funktioniert für alle Ihre FTP- und Mailkonten folgendermaßen:

    Wenn von einer IP-Adresse aus mehrfache fehlgeschlagene Login-Versuche registriert werden (gemeint ist hier die IP von wo aus der Angriff bzw. der Zugriff erfolgt), werden alle Zugriffe auf den Server von dieser IP-Adresse aus gesperrt.
    Die Sperrung bezieht sich auf alle Ports und dauert 2 Stunden lang an.

    Geht der Angreifer weiterhin äußerst aggressiv vor und versucht es weiterhin also jetzt zum 3. Mal - so wird seine IP dann für 24 Std. gesperrt.


    Weitere Sicherheits-Features:

    apache: Fängt aus den error.logs fehlgeschlagene Anmeldungen (z.B. htaccess-Logins) ab, Sperre für 2 Stunden, ab der dritten für 24 Stunden.

    apache-cms: Fängt schnell aufeinanderfolgende POST-Zugriffe ab und schützt Wordpress und Joomla vor agressiven Attacken.

    Hierdurch wird ein Brute Force Angriff deutlich erschwert. Voraussetzung ist, dass Sie selbst ein sicheres Passwort vergeben haben. Also möglichst lang und in Kombination von Groß- u. Kleinbuchstaben, Ziffern und Sonderzeichen und keinesfalls Begriffe die in Wörterbüchern enthalten sind und auf gar keinen Fall Namen (auch nicht in diversen Kombination wie z.B. Name, Geburtsdaten, Monat oder Tag etc.).

    Sicherlich wird niemand mehr so naiv sein ein Passwort nach dem Chema:

    Name / Datum
    Datum / Name
    oder
    Jahr / Name / Monat
    ...
    ...

    zu verwenden - aber ein sicheres Passwort ist bei einem Server (bzw. Mailkonten, FTP etc.) der der ja direkt und live im Internet steht und somit 24 Stunden/täglich WELTWEIT allen Angriffen ausgesetzt ist, nicht hoch genug einzustufen.

    Siehe hierzu:

    https://fair4host.de/webserver

    unter dem Menüpunkt: WEB-Angriff, Brute Force und Passwortsicherheit



    Wie kann ich feststellen ob meine IP gesperrt ist ?


    1. Einfach mal mit dem Handy eine Domain Ihres Servers aufrufen (natürlich nicht per WLAN über den gleichen Router - notfalls den Router für kurze Zeit ausschalten).
    2. Router neu starten bzw. kurz ausschalten (hierdurch erhalten Sie eine neu IP und die Sperre ist somit aufgehoben).
    3. Einen Bekannten oder Nachbarn bitten einmal eine Domain Ihres Servers aufzurufen.



    Dieser Brute-Force Schutz hat für Sie selbst keinerlei Auswirkungen - es sei denn Sie selbst versuchen sich mit falschen Zugangsdaten mehrfach hintereinander einzuloggen.

    Die Hauptursache sind hier falsche Passwörter bei den Mailkonten (Präfix etc. nicht beachtet).
    Der Mail-Client (Outlook, Firebird oder per Handy) wir bei falsch eingerichteten Zugangsdaten natürlich kontinuierlich versuchen sich am Server (Postfach) anzumelden ....
    Bevor Sie also Ihren Client einrichten testen Sie die Zugangsdaten vorab über Squirrel-Mail direkt aus Ihrem ISP-Config heraus (s. Briefsymbol).

    Wenn Sie also feststellen, dass sowohl der FTP- als auch auch der Mail-Zugang nicht mehr funktioniert, Webseiten und ISPConfig auf dem Server nicht mehr aufzurufen sind, so ist Ihre IP-Adresse gesperrt.

    Sollte dies doch einmal vorkommen - können Sie die Sperre folgendermaßen umgehen:


    1. Warten Sie 2 Stunden und loggen sich dann mit den korrekten Daten ein! (Bezüglich FTP- User beachten Sie bitte das Präfix das Ihnen ISPConfig automatisch vorgibt - siehe hierzu auch unser Video-Tutorial)

    2. Bei einer dynamische IP-Vergabe durch Ihren Povider (Telekom etc.),  genügt eine neue Einwahl oder ein Neustart des Routers. Hierdurch erhalten Sie eine neue IP-Adresse und die Sperre ist somit aufgehoben.
    Jetzt sollten Sie allerdings die richtigen Zugangsdaten verwenden ;-)

    3. Verwenden Sie eine feste IP-Adresse (Kabelnetze etc.) können Sie sich auch mit Angabe dieser IP-Adresse an den Support wenden. Es besteht dann die wenig sinnvolle Möglichkeit diese IP dann in die White-List  aufzunehmen - dies ist allerdings absolut NICHT zu empfehlen, da so der Schutz ja wieder ausgehebelt wird.
    Die einfachste Lösung wäre, direkt die korrekten Zugangsdaten zu verwenden ;-)


  • FTP extrem langsamer Up- und Download Open or Close

    Allgemeine Infos bezüglich langsamer FTP Up- und Download

    Vermutlich handelt es sich hier um "viele" kleine Dateien und das Uploaden per FTP dauert "ewig".
    Eine Typo3, WordPress oder Joomla Installation und/oder Wiederherstellung dauert alleine durch das Hochladen per FTP schon teilweise Stunden.
    Dies ist prinzipiell kein Problem des Servers - die Ursachen hierfür sind:


    1. Mit FTP wird pro Datei eine separate Verbindung verwendet und das dauert bei vielen kleinen Dateien stunden (hierbei ist nicht die Größe der Dateien maßgeblich sondern allein die Anzahl).
    Ein größeres CMS kommt schon auf mehrere 1.000 einzelne Dateien wovon die meisten dann oftmals nicht größer als 10 Kilobyte sind.
    Der Upload von wenigen hundert MB kann dann schon STUNDEN dauern - wie gesagt hierbei ist nicht die Größe der einzelnen Dateien maßgeblich sondern allein die Anzahl.


    2. Nach jedem FTP-Upload einer einzelnen Datei wird überprüft, ob der Transfer erfolgreich durchgeführt wurde. Der FTP-Server sendet somit nach jeder übertragenen Datei den jeweiligen Übertragungsstatus zurück.
    Bei vielen kleinen Dateien "drückt" allein dies die Transfergeschwindigkeit auf wenige Prozent der verfügbaren Bandbreite.
    Dies lässt sich ganz einfach mit einer einzelnen großen Datei testen bzw. nachvollziehen. Hierzu einmal test-weise einmal alle Dateien in ein ZIP-File packen und diese ZIP-Datei uploaden. Tritt jetzt das gleiche Problem auf ?


    3. Noch größer wird das Problem dann, wenn sich in dem jeweiligen Upload-Verzeichnis bereits "VIELE" Dateien befinden.
    Zu dem Problem (siehe Nr. 2) kommt dann noch hinzu, dass nach jedem Upload zusätzlich noch das gesamte Verzeichnis neu eingelesen wird ...

    Befinden sich bereits sehr viele Dateien in dem Uploadverzeichnis kann es hier zu Timeout-Problemen kommen.
    Wie gesagt - hierbei handelt es sich nicht um eine Serverproblem.


    Und wie kann man nun Tausende kleine Dateien "blitzschnell" hochladen?

    Hier gibt es diverse Möglichkeiten spezieller FTP-Programme. Diese arbeiten alle nach dem gleichen Prinzip. Die Daten werden vorher in eine einzelne Datei gepackt (zip, gzip etc.) so das dann nur eine einzige Datei upgeloadet wird - dies wird dann nach dem upload auf dem Server wieder entpackt - einfach einmal googeln. Einen Support hierfür können wir allerdings nicht leisten.

    Für die Installation eines einzelnen CMS etc. lohnt sich der Aufwand/Kosten vermutlich nicht.
    Wie gesagt einfach einmal googel'n ...


     

  • Meine Website wurde gehackt und versendet SPAM Open or Close

    Meine Website wurde gehackt und versendet jetzt SPAM ...

    Als Hoster können wir natürlich alles dazu tun um Ihren Server zu schützen - aber nicht Ihre Webseite, die Sie ja selbst installieren und betreuen.
    Hier sollten dann zumindest die minimalsten Sicherheitsfeatures beachtet werden.

    Ja Sicherheitslöcher in Software wird es wohl immer geben - aber ein Webmaster sollte auch mitbekommen was denn seine Webseite so treibt - deshalb Mailversand nur über smtp (z.B. php-Mailer) mit einer Kopie von jeder über die Webseite versendeten Mail an den Webmaster ...


    Hier einmal die minimalsten Sicherheitsfeature:

    E-Mailversand

    Alles was auf einer Webseite in irgendeiner Form eine E-Mail versenden kann - muss mit einem sicheren Captcha versehen werden - siehe:

    https://de.wikipedia.org/wiki/Captcha

    Beliebte (und auch mit die Sichersten) wie auch einfach einzubinden sind die Captcha's von Google:

    https://www.google.com/recaptcha/intro/index.html


    Mailversand nur über SMTP

    Verwenden Sie keinesfalls die serverseitigen Mailbefehle – hierüber würden Sie einen eventuellen SPAM-Versand über Ihre Webseite ja nicht Mals bemerken !!!

    Praktisch alle bekannten CMS Systeme, eShops, Foren u. Boards verwenden den PHP-Mailer. Hier können bzw. müssen Sie den SMTP-Versand verwenden – nur so erhalten Sie überhaupt die Möglichkeit einer Überwachung aller über Ihre Website versendeten Mails.
    Beim SMTP-Versand müssen Sie die Zugangsdaten zu Ihrem Postfach angeben.
    Nur hierbei erfolgt der Mailversand über ein Postfach das Sie entsprechend kontrollieren u. überwachen können. Bereits ein einfache Konfiguration wie z.B. jede versendete Mail per Kopie an:
    meine-emailadresse@die-ich-regelmäig- abrufe.de 
    ...
    und der Webmaster ist immer auf dem Laufenden.

    Richten Sie sich hierzu auf Ihrem Server ein E-Mailkonto (Postfach) ein das Sie regelmäßig abrufen. Hier bitte keinesfalls eine Weiterleitung an ein externes Postfach einrichten (gmx, T-Online, outlook.de, web.de ...)
    Bei einem eventuellen SPAM-Versand über Ihre Webseite würden diese SPAM-Mails direkt geblockt, werden abgewiesen oder wandern direkt in den SPAM-Ordner und Sie bekommen es somit nicht mit, dass Ihre Webseite SPAM versendet.

    Stellen Sie Ihr Postfach so ein das Sie über jede versendetet Mail automatisch eine Kopie erhalten –  so sind Sie immer auf dem Laufenden.

    Und das Sie hier keinerlei SPAM-Filter aktivieren dürfen ist sicher selbsterklärend.

    So bekommen Sie mit was Ihre Webseite so treibt !!!

    Natürlich können Sie sich auch über den serverseitigen Mail Befehl eine Kopie senden lassen - aber seien Sie versichert "Hacker" weiß genau wie er dies vermeiden kann.



    display_error on

    Keinesfalls auf der Webseite die Fehlermeldung aktivieren (wie z.B. display_error on ).
    Aber warum sollte dies ein Problem sein - ich habe doch meine Webseite mehrfach getestet, es sind keine Fehler enthalten.
     
    Also - einfacher kann man es dem Hacker wirklich nicht mehr machen wenn man Ihm dann bei seinen Hack-Versuchen über Code Injection/Cross Site Scripting etc. auch noch in aller Deutlichkeit mitteilt, welche Variable noch fehlt oder noch falsch gesetzt ist oder ... oder ...

    Für jeden Hacker ein Kindespiel hierüber dann seine Kinderpornos, Fishing- und Spam-Mails zu verbreiten - siehe:

    https://fair4host.de/php-apache

    Menüpunkt: php_display_error =  on



    Administratorzugänge schützen (Wordpress, Joomla, Typo, Magento ...)

    Dieser doppelte Schutz hört sich zunächst unnötig an - ist doch bereits standardmäßig Passwortgeschützt.

    Wenn Hacker sich z.B. über bekannte Sicherheitslücken (die seitens des Webmasters nicht per Update geschlossen wurden oder Webmaster hat sich selbst ein bereits infiziertes Template/Modul/Erweiterung etc. installiert) zugriff auf die Webseite verschaffen will bzw. verschafft hat, so kann er diesen Verzeichnisschutz dennoch nicht so einfach überwinden - siehe:

    https://fair4host.de/webserver

    Menüpunkt: Admin-Zugänge schützen



    Sicheres Passwort

    Und natürlich ein sicheres Passwort für die Webseite also (Postfächer, FTP, MySQL, Administrator-Zugang, ...) und keinesfalls sollten diese identisch sein.
    Was genau ist denn eigentlich ein sicheres Passwort - siehe:

    http://www.sicherespasswort.com



    Bitte nehmen Sie dieses minimalsten Sicherheitsfeatures ernst und nicht auf die "leichte Schulter" so nach dem Motto "welcher Hacker (nicht nur aus den östlichen Ländern) interessiert sich denn schon für meine Webseite".
    Das ist sicher richtig aber Hacker interessiert sich prinzipiell für alle schlecht oder gar nicht geschützten Webseiten.
    Gehört Ihre Webseite dazu - wird er Sie über kurz oder lang auch finden.

    Beispielsweise ist es überhaupt kein Problem (wenn einmal eine Sicherheitslücke für eine bestimmt Software bekannt ist) alle Webseiten zu finden die genau diese Software installiert haben und eben noch nicht upgedatet wurden.

     

    Warum betreibt "Hacker" so viel Aufwand um nach unsicheren Webseiten zu suchen - nur um dann dort seine SPAM-Mails abzusetzen. Wäre es denn nicht viel einfacher wenn er seine SPAM-Mails gleich selbst versendet.

    Jede E-Mail die Ihre Webseite verschickt lässt sich eindeutig über Ihre Domain und auch über die IP Ihres rServers oder vServers zurückverfolgen.
    Ein anonymer Versand ist NICHT möglich - genau das ist ja auch der Grund warum "Hacker" so viel Aufwand betreibt und seine SPAM-Mails, Fishing-Mails  (oder noch schlimmeres) über möglichst viel Webseiten verbreiten will.

    Hier werden auch für die beliebten (also die am weit verbreitesten Software-Pakete) wie z.B. Wordpress, Joomla tolle Templates, Module, Erweiterung etc. kostenlos in Umlauf gebracht und auf möglichst vielen Downloadportalen angeboten.
    Damit dann auch möglichst viele verbreitet werden, wartet Hacker jetzt (teilweise sogar Jahre) bevor er die Schwachstelle ausnutzt die sich der Webmaster ja selbst (wenn auch unbewusst) installiert hat.

    Als erstes wird dann mal die config.php (je nach Software auch ähnlich oder anderslautend) ausgelesen. Jetzt hat Hacker die Zugangsdaten zur Datenbank zum Postfach, FTP was auch immer. Schauen Sie sich doch selbst mal Ihre config an - bei Wordpress heißt sie z.B. wp-config.php (oder so ähnlich je nach Version). All das weiß jetzt auch "Hacker".
    Als erstes richtet er sich dann einen 2. möglichst versteckten Administratorzugang ein.

    Als nächsten wird Hacker dann sicherlich testen wo diese Passwörtert denn sonst noch so funktionieren könnten ... (PayPal, ebay, Amazon ...)

    Auch dies ist ein Grund warum in östlichen Ländern ganze Fabrikhallen mit PC stehen und im Schichtbetrieb auf der Suche nach unsicheren Webseiten sind.

    Als nächstes wird "Hacker" sicher anfangen ihre Webseite als SPAM-Schleuder zu verwenden oder aber er hat noch schlimmeres im Sinn.  

    Eine nicht ausreichend geschützte Webseite ist ein ernstzunehmendes Problem und wird über kurz oder lang auch Probleme bereiten.



    Bitte schauen Sie auch einmal in unser Video

    https://www.youtube.com/watch?v=HyEXpOufhYk

    ab ca. der 7 Min. erhalten Sie ein paar wichtige Hinweise - bitte bis zum Ende schauen dauert nur wenige Minuten.

    Ihre Webseite steht nicht wie ihr PC hinter einem schützenden Router  - sondern live und 24 Stunden täglich im Internet und ist allen Angriffen (nicht nur aus den Ostblock-Ländern) ausgesetzt.

    Auch hier gibt es weitere wichtige Hinweise:

    https://fair4host.de/webserver

    Menüpunkt:
    WEB-Angriffe, Brute-Force und Passwortsicherheit

    Und bitte google'n Sie auch einmal nach "meine Website versendet Spam-Mails" und  "meine Website wurde gehackt"



    Wordpress, Joomla, Typo, Magento

    Auch wenn wir öfters auf die bekannten Systeme wie Wordpress, Joomla, Typo, Magento usw. verweisen,  heißt dies nicht das Sie diese nicht verwenden sollen. Im Gegenteil es hat ja einen Grund warum diese so weit verbreitet sind - einfach weil Sie so gut sind.

    Deshalb ist es um so wichtiger hier regelmäßig alle Updates einzuspielen und wenn Sie zumindest die minimalsten Sicherheitsanforderungen erfüllen werden Sie viel Freude an diesen Systemen haben.

    Abschließend nochmals der wichtige Hinweis - Ihre Webseite steht live im Internet und nicht hinter einem schützenden Router wie z.B. Ihr PC und ist somit weltweit allen Angriffen ausgesetzt ...


  • Directory Listing aktivieren Open or Close


    Hierbei handelt es sich um das Anzeigen des Ordnerinhaltes, wenn keine Autostartdatei (also index.html, index.php etc.) vorhanden ist.

    Das DirectoryBrowsing ist standardmäßig deaktiviert da dies ein erhebliches Sicherheitrisiko darstellt.

    Falls dies in machen Fällen dennoch erwünscht ist lässt sich dies leicht aktivieren.

    Legen Sie eine Datei mit dem Namen .htaccess in ihrem www-Ordner (\web) ab oder bearbeiten Sie eine bereits vorhandene .htaccess Datei in diesem Verzeichnis.
    Erstellen bzw. erweitern Sie Ihre .htaccess Datei mit dem folgendem Inhalt, um das DirectoryBrowsing zu aktivieren:

    Options +Indexes

    Wir möchten nochmals darauf hinweisen das das pauschale aktivieren des Directory Listings ein erhebliches Sicherheitsrisiko darstellen kann.



     

  • E-Mail Weiterleitungen Open or Close

    Warum sollten Sie keinesfalls E-Mails weiterleiten


    Ein immer häufiger auftretendes Problem sind E-Mail Weiterleitungen. Beachten Sie bitte wenn Sie (oder einer Ihrer Kunden) pauschal alle E-Mails weiterleiten, bedeutet dies i.A. auch das alle eingehenden SPAM-Mails weitergeleitet werden !!!

    Wenn Ihre E-Mailadresse dann schon länger existiert und mittlerweile vielen SPAM-Mailern bekannt ist, werden Sie somit vermutlich auch extrem viele SPAM-Mails erhalten.
    Wenn Sie diese dann alle pauschal weiterleiten, sind Probleme vorprogrammiert.

    Hier kann es dann schnell vorkommen das Sie selbst als SPAM-Versender deklariert werden (teilweise reicht hierzu auch schon die Anzahl der weitergeleiteten Mails aus).
    Hier werden dann nicht nur weitergeleitete SPAM-Mails abgewiesen sondern grundsätzlich ALLE Mails - wenn Sie einmal als SPAM-Versender klassifiziert wurden.

    In diesem SPAM-Zusammenhang sind auch sogenannte Wildcard E-Mailadressen "tödlich".
    Hier erhalten Sie dann jede SPAM-Mail nicht nur einmal - sondern Hunderte Mal.
    Bei nur 100 SPAM-Mails kommt hier schon eine beachtliche Zahl zusammen. Wenn Sie dann auch noch alle Mails pauschal weiterleiten, dann könnten Sie in kürzester Zeit selbst als Spam-Mailer klassifiziert werden.
    Dann können Sie über kurz oder lang keine Mails mehr versenden da dann ALLE Ihre Mails angewiesen werden.

    FAZIT:

    Keinesfalls sollten Sie Weiterleitungen einrichten. Die einfachste und sicherste Lösung ist hier ganz einfach.

        1. Falls noch nicht geschehen - richten Sie ein Postfach ein.
        2. Diese Postfach holen Sie dann per POP Abruf (oder IMAP) von Ihrem Web, GMX, Google, Telekom, Hotmail (was auch immer) E-Mailkonto ab.

    Da in diesem Falle keine Mails versendet werden - gibt es auch keine Probleme das Sie als SPAM-Versender klassifiziert werden und das Problem ist gelöst.