VHCS 2 gehackt

Hallo!
Wild-Wolf said:
jetzt ist in diesem fall meine frage: macht es sinn vhcs noch zu benutzen? sollte ich doch wieder auf das alte confixx umsteigen?
Click to expand...
Solange du bei den Sicherheitsupdates aktuell bleibst spricht prinzipiell nicht gegen den Einsatz. Auch Confixx hatte in der Vergangenheit die ein oder andere Sicherheitslücke. Es ist halt das ewige Katz & Maus Spiel.

mfG
Thorsten
 
Ich persönlich kann von VHCS nur abraten!

Mal davon abgesehen, dass schon öfters Sicherheitslücken gefunden wurden, die sich automatisch ausnutzen lassen, wird das Projket mit einer Ignoranz und Stümperhaftigkeit geführt, dass es mich nicht wundert, dass es andauernd zu solchen Hacks kommt.

Die Entwickler sind zu keinerlei Kommunikation mit der Community bereit. Das einzige was man von denen hört ist "Nervt nicht, wann die nächste Version kommt. Wir haben keien Lust immer die selben Fragen zu beantworten. Bla bla bla...." Siehe Newsbereich der VHCS Website.

Dazu gibst kein CVS Zugang, keine aktuelle Roadmap, kein Bugtracker etc.

Die Community wird lediglich durch ein Forum abgespeist und hat sonst keine Chance am Projekt mitzuarbeiten, Fehler zu berichten oder Patches einzureichen. Daher werden Sicherheitslücken auch immer erst dann gefunden, wenn einige Systeme gehackt wurden.

Jeder dem die Sicherheit seines Servers am Herzen liegt, sollte zu Syscp wechseln. Dort wird vorbildlich mit der Community zusammengearbeitet.

SysCP - Trac
 
*hust* das hatte ich paar Minuten laufen dann bin ich aber aufgrund des Anratens eines Linux Kollegen von mir auf vhcs umgestiegen... weil ich habe nur eine Confixx Lizenz für das 2003 premium (was ja auch schon etwas in die Jahre gekommen ist).

Ist jetzt vielleicht eine blöde Frage aber würdet ihr in dem Fall zur Sicherheit das System eben neu aufsetzen oder nur vhcs runterschmeißen und anderes benutzen?

sorry ich hab zur zeit eine "Hirn Blockade" mir passiert in der letzten Zeit zu viel Mist als das ich noch klar denken kann....
 
Last edited by a moderator:
Mit was hat der das denn begründet?
Ich hoffe doch nicht mit "VHCS sieht viel schicker aus"?

Syscp hatte IMHO bis jetzt noch gar keine kritischen Lücken.
Die Roadmap zielt auch klar darauf ab, shared Hosting Umgebungen sicherer zu machen als die Konkurenz, indem PHP mit mod_suphp oder PHP als FCGI betrieben wird.

Ich kenne die aktuelle Lücke in VHCS zwar nicht, würde sicherheitshalber aber den kompletten Server neu installieren.
 
was mich an vhcs gestört hat ist auch das du Proftpd einsetzen musst und nicht zb vsftpd nehmen kannst, den hatte ich früher immer laufen auch wegen der Sicherheit und der Einfachheit halber, kein Schnickschnack keine Probleme...
 
Hallo,

monotek said:
...
Fehler zu berichten oder Patches einzureichen. Daher werden Sicherheitslücken auch immer erst dann gefunden, wenn einige Systeme gehackt wurden.
...
Click to expand...

Das ist schlichtweg Falsch.

Es gibt diverse Anlaufstellen an denen Aktiv an der Verbesserung von VHCS gearbeitet wird.
Diese arbeiten auch recht eng mit den eigentlichen Programmierern zusammen!

monotek said:
...
Mal davon abgesehen, dass schon öfters Sicherheitslücken gefunden wurden, die sich automatisch ausnutzen lassen
...
Click to expand...
Verwendest du PHPmyAdmin, MySQl, Apache, ISS, SSH, etc etc etc etc?
Und wurde bei sowas noch nie eine Lücke gefunden?

Nenn mir mal eine Administrationslösung in der es noch keine Sicherheitslücken gab.

Das es bei VHCS schneller geht ein Lücke zu finden als bei zum Beispiel Plesk ist vollkommen Logisch.
So ist das eben bei Open Source.
Andererseits werden gerade solche Lücken (meiner Meinung nach) auch wesentlich schneller wieder geschlossen.
Weil eben nicht nur die eigentlichen Programmierer an einer Lösung arbeiten können.
Open Source eben.

monotek said:
...
Das einzige was man von denen hört ist "Nervt nicht, wann die nächste Version kommt. Wir haben keien Lust immer die selben Fragen zu beantworten. Bla bla bla...."
....
Click to expand...
Angenommen dich würden jeden Tag zehn Leute fragen wann du endlich fertig bist mit der neuen Software Version (die du ja nur als Hobby nebebei schreibst) könnte ich mir gut vorstellen das du auch irgendwann mal genervt sein würdest.

Wie jeder andere wohl auch.

Ich möchte hier jetzt nichts schön reden oder recht fertigen, ich finde es nur ein wenig dreist solche Äusserungen zu schreiben um etwas anderes besser "verkaufen" zu können.


monotek said:
Ich kenne die aktuelle Lücke in VHCS zwar nicht, würde sicherheitshalber aber den kompletten Server neu installieren.
Click to expand...

Das ist nicht notwendig.
Man braucht "nur" das Patch einzuspielen, die "falschen" Admin-Accounts zu löschen und die damit verbundenen User die angelegt wurden womöglich.
Das war es schon.
(Kann man im übrigen auch auf der VHCS Seite lesen) ;)
 
jetzt frage ich einfach mal doof:

welchen Patch?

meine vhcs Version ist die latest build unstable

VHCS® Pro v2.4.7.1
build: 2006-01-03
Spartacus

oder meinst du in diesem Moment diese PHP / HTML Fixes im Forum?
 
Last edited by a moderator:
Hallo,

VHCS - News

Deine Version ist zwar die aktuelle Fassung, es wurde aber später ein Sicherheits-Patch veröffentlicht.

Wie VHCS zu Patchen ist steht im übrigen gleich dabei.

Ein allgemeiner Rat an dich, ab und an mal auf den Seiten der Programme (Skripte) welche man verwendet vorbeischauen, um über gerade solche Dinge informiert zu werden.
 
v40 said:
Hallo,
Es gibt diverse Anlaufstellen an denen Aktiv an der Verbesserung von VHCS gearbeitet wird.
Click to expand...

Wo denn?
Wo sind die Links zu Bugtracker und CVS auf der Seite zu finden?

v40 said:
Andererseits werden gerade solche Lücken (meiner Meinung nach) auch wesentlich schneller wieder geschlossen.
Weil eben nicht nur die eigentlichen Programmierer an einer Lösung arbeiten können.
Click to expand...

Aha. Hast du schon mal das Forum durchgelesen?
Es gibt da dutzende Leute, die Hilfe anbieten und noch nicht mal ne Antwort bekommen. Geschweige den nen Zugang zu CVS oder Bugtracker.

v40 said:
Angenommen dich würden jeden Tag zehn Leute fragen wann du endlich fertig bist mit der neuen Software Version (die du ja nur als Hobby nebebei schreibst) könnte ich mir gut vorstellen das du auch irgendwann mal genervt sein würdest. Wie jeder andere wohl auch.
Click to expand...

Sorry. Wenn man nen Open Source Projekt startet, dann sollte man auch mit Feedback rechnen und dieses vor allem auch annehmen oder wenigstens kommentieren.

Die Fragen würde sich sowieso erübrigen, wenn einfach mal Einblick in die Entwicklung gegeben würde.

Die wissen schon, warum auf der Website nicht von Open Source gesprochen wird, sondern von Freeware. Mit Open Source hat das nämlich nichts zu tun.

v40 said:
Ich möchte hier jetzt nichts schön reden oder recht fertigen, ich finde es nur ein wenig dreist solche Äusserungen zu schreiben um etwas anderes besser "verkaufen" zu können.
Click to expand...

Ich verkaufe hier nichts.
Ich gehöre keinem der beiden Projekte an.
Trotzdem beobachte ich beide Projekte seite langem, habe beide privat schon ausprobiert und habe mir daher eine Meinung darüber gebildet.
Entschuldige, dass ich mich erdreiste, diese Meinung in einem Forum kund zu tun.


Wild-Wolf said:
jetzt frage ich einfach mal doof:

welchen Patch?

meine vhcs Version ist die latest build unstable

VHCS® Pro v2.4.7.1
build: 2006-01-03
Spartacus
Click to expand...

Wieder ein Beispiel, auf das "Stümperhaft" und "Ignorant" passt.
Nach Sicherheitslöchern kommen nicht mal aktualisierte Pakete heraus, sondern man muss sich irgendwo noch Patches zusammen suchen.
 
Last edited by a moderator:
Hallo,

Bugtracker :
SourceForge.net: Bugs

Mail-Listen :
SourceForge.net: Mailing Lists for VHCS

CVS (ich gebe zu, nicht Aktuell aber vorhanden) :
SourceForge.net Repository - [vhcs] Index of /

monotek said:
Wo sind die Links zu Bugtracker und CVS auf der Seite zu finden?
Click to expand...
Linke Seite in der Navigation, Menüpunkt "About VHCS"
Auf der dann folgenden Seite ist recht deutlich zu lesen das das Projekt auch bei SourceForge.net vorhanden ist.

Weitere Anlaufstellen finet man recht einfach mit Google.
Wobei das jetzt keine Aufforderung sein soll Google zu verwenden!

Im Zweifelsfall hilft vielleicht auch Molesoftware weiter.

monotek said:
Ich verkaufe hier nichts.
Click to expand...
Das war so auch nicht gemeint, deswegen hatte ich das in Tütelchen gesetzt.
Mir fiel nur in dem Moment kein anderes Wort ein.


monotek said:
Entschuldige, dass ich mich erdreiste, diese Meinung in einem Forum kund zu tun.
Click to expand...
Du brauchst dich nicht zu entschuldigen, ich habe genau das selbe getan.
Ich habe nur meine Meinung geäussert.
Damit möchte ich niemanden angreifen, bloß stellen oder sonst was machen.
Ich möchte nur zeigen das ich eine andere Meinung vertrete.

Womit du vollkommen Recht hast, ist das in dem Forum von VHCS mehr oder minder kaum jemand Beachtung findet.
Das hat sich leider mit der Zeit so entwickelt.

monotek said:
...
sondern man muss sich irgendwo noch Patches zusammen suchen
...
Click to expand...
Also wenn "irgendwo" für dich bedeutet das du auf die Internet-Seite des Anbieters gehst und in den News einen Bericht findest, dann hast du sicherlich Recht.

Monotek um das ganze, was wir beiden hier machen, mal auf einen Punkt zu bringen, ich akzeptiere sehr wohl deine Meinung und bin auch froh darüber das du sie hier äusserst!
Ich habe eben ein andere Meinung und wollte das mitteilen, genau wie du deine Meinung mitteilen wolltest.

Und nun sollten wird aufhören diesen Thread von seinem eigentlichen Thema abweichen zu lassen.

Ansonsten können wir gerne weiter schreiben, doch dann bitte per PN, im Chat oder von mir aus auch im Smalltalk.

Ich danke dir für diese schönen Denkanstöße.
 
OK. OK.

Lassen wir das.

Aber um noch mal auf die Sache mit den Sicherheitslöchern zurück zu kommen...

Wenn ich irgendwo ein Auto kaufe, erwarte ich nicht, dass ich für die Bremsen nochmal beim Hersteller nachfragen muss ;-)
 
Hallo,

muss mich auch mal zu Wort melden. Bin von 1und1 auf Strato gewechselt wo ich auf dem einen Server VISAS laufen habe. Gefällt mir überhaupt nicht. Also habe ich für den zweiten Server nach einer anderen Lösungen gesucht und bin dabei auf VHCS2 gestoßen.

Installation der aktuellsten Version etc alles Problemlos gelaufen bis ich dann gestern sehen musste das der Server gehackt wurde (War noch nichtmal richtig in Betrieb).

Jetzt könnt ihr mir sagen was ihr wollt, wenn ich die aktuellste Version runter lade (auch wenn sie noch nicht stable ist), kann man doch verlangen das Sicherheitsupdates in dieser schon vorhanden sind und man sich nicht noch die Patches zusammen suchen muss.

Code: 
Man braucht "nur" das Patch einzuspielen, die "falschen" Admin-Accounts zu löschen und die damit verbundenen User die angelegt wurden womöglich.
Das war es schon.
(Kann man im übrigen auch auf der VHCS Seite lesen)

Ein gehackter Server muss auf jeden Fall neu aufgesetzt werden. Wenn das so auf der VHCS Seite steht ist das für mich ein weiterer Grund mich von dem VHCS zu trennen.
 
Hallo,

das der Server komplett neu gemacht werden muss wenn man bei dir die (schon ewig bekannte) Lücke genutzt hat, halte ich für ein Gerücht.

Denn die Lücke ermöglicht es nur in VHCS selber schindluder zu treiben.
 
You must log in or register to reply here.
Back
Top