MastersForum

Hallo,

wir sind jetzt auf einen Server bei einem neuen Hoster umgezogen, der (hoffentlich) die nötigen Leistungsreserven hat, das Forum auch dauerhaft online zu halten. Beim Umzug musste ich leider feststellen, dass der alte Server via Shellshock angreifbar war und das auch fleißig ausgenutzt wurde. Glücklicherweise liefen die bösartigen Prozesse (hauptsächlich IRC-Bots) nur mit eingeschränkten Rechten, für eine Kompromittierung des restlichen Systems habe ich keine Spuren finden können. Trotzdem hätten die Dateien des Forums theoretisch modifiziert werden können, weshalb ich nur so wenig Daten wie möglich auf den neuen Server mitgenommen habe. Falls also Probleme auftreten, bitte postet sie hier im Thread oder schreibt mir direkt eine Mail.

Der neue Server nutzt eine etwas komplexere Architektur, in der alle gefährlichen Prozesse (Datenbank, Web-Server usw.) in eigene "Container" gesperrt sind. Falls wieder einmal ähnliche Sicherheitslücken auftauchen, kann die betreffende Komponente leicht isoliert, abgeschalten und ausgetauscht werden. Alle anderen Prozesse bleiben davon dann unberührt. Da jetzt aber jede Komponente im System nur minimale Rechte besitzt, kann es außerdem leicht vorkommen, dass ich irgendetwas übersehen habe und deshalb Teile des Forums noch nicht richtig funktionieren. Bitte kontaktiert uns deshalb, sobald irgendwo Probleme auftauchen.

Der Umzug ist noch nicht ganz abgeschlossen. Ich werde auf jeden Fall noch Piwik zur Trafficanalyse nachrüsten und SSL-Zertifikate für die verschlüsselte Kommunikation beantragen (später zu sehen am Schloss in der Adresszeile). Wer sich derzeit entweder unter www.mastersforum.de oder mastersforum.de (ohne www.*) einloggt, ist auf der jeweils anderen Domain nicht angemeldet. Das Problem ist uns bekannt und wird demnächst noch behoben. Damit im Falle von Abwesenheit oder Krankheit nicht wieder so lange Wartezeiten entstehen, werden wir außerdem zu jedem Zeitpunkt mindestens zwei Administratoren mit Vollzugriff auf den Server haben.

Eine Ankündigung zu einem Spendenkonto für den neuen Server und eine Kostenaufstellung folgt.

Ansonsten nachträglich frohe Weihnachten und ein erfolgreiches neues Jahr!
Euer Masters-Team

Bitte mal einen Screenshot davon schicken. Das ist höchstwahrscheinlich eine Beschwerde über das Login beim Mail-Server, darüber weiß ich bescheid. Ist aber nicht weiter tragisch, die Posts erscheinen ja trotzdem. Ich habe den Mailversand erst einmal deaktiviert, bis das behoben ist.

Zitat von »myabba|schoki«

Würde Leute dazu raten ihre Passwörter fürs Masters zu ändern und vor allem überall wo sie das gleiche Passwort benutzt haben auch wenn's länger her ist.

Das ist völlig korrekt, wollte onehin mal noch eine Massenmail mit der Info, dass das Forum wieder da ist, verfassen. Musste dafür aber erst einmal den Mail-Server korrekt aufsetzen, das ist jetzt gerade geschehen.

Wenn ich keinen Fehler gemacht habe, sollten jetzt die Benutzeranmeldung und die Funktion zur Passwortwiederherstellung wieder funktionieren - und natürlich alle sonstigen Mailbenachrichtigungen, wie z.B. Thread-Abos und PMs.

Hab heute mal ein TLS-Zertifikat beantragt und eingerichtet. Das Forum ist jetzt nur noch (vollautomatisch) über eine verschlüsselte Verbindung zu erreichen - in den meisten Browsern zu erkennen an einem Schloss in der Adresszeile. Falls dabei in irgendeiner Form Probleme auftreten, bitte direkt hier oder per Mail melden.

Hmm stimmt, Ursache scheint das hier zu sein. Für YouTube ist das kein Problem, der Content erscheint wieder, wenn einfach auf https://youtube.com/... verlinkt wird. Allerdings wird das ja problematisch, sobald gar keine HTTPS-Variante verfügbar ist. Da muss ich mich mal noch ein bisschen belesen.