da ich davon ausgehe, dass sie ein Herr sind, der einer sportlichen Auseinandersetzung zwischen zwei Gentleman nicht abgeneigt ist, möchte ich sie hiermit zu einem täglichen Wettkampf herausfordern. Um Ihnen eine guten Start zu ermöglichen, lasse ich Ihnen heute einen Vorsprung, indem ich heute das Rätsel nicht gelöst habe. Werde sie meine Einladung zum Wettstreit annehmen?
Manchmal sind es Kleinigkeiten, die man immer wieder falsch macht. Zum Beispiel im Büro am Rechner sitzen, und irgendein Kommunikationstool vergessen zu öffnen. Stunden später sieht man dann zufällig am Telefon, dass jemand etwas wichtiges von einem wollte. Ein Vierzeiler zum anklicken auf dem Desktop erledigt das jetzt für mich:
Damit mein #wireguard #vpn Endpunkt auch gleich als #adblocker auf DNS Basis funktioniert, habe ich dort #unbound installiert. Dann hab ich mir ein kleines #Python Script geschrieben, welches verschiedenste öffentlich erreichbaren blocklists abruft und in unbound config übersetzt. Wenn man die Kommentarzeilen abzieht in 20 Zeilen lesbaren Code. Jetzt muss ich nur noch einen CronJob starten, damit das automatisiert einmal im Monat die Listen neu abruft, und dann unbound neu startet.
Und wenn man dann immer mehr verschiedene blocklisten abruft, und sie in seine unboundconfig eintragen lässt, dann ist irgendwann der Punkt erreicht, wo unbound 100% CPU frisst beim Start, und nicht mehr hochkommen will. unbound-checkconf läuft auch schon seit mehreren Minuten (nachdem unbound selbst gestoppt wurde). Entweder ich hab grobe Fehler drinnen, oder das file ist einfach zu groß. Mal abwarten.
#fediverse #gnusocial Warum wird eigentlich gnusocial nicht weiter entwickelt? Der letzte Commit war im Master vor drei Jahren, und im nightly vor einem (und das war irgendwo in was docker), und wenn man dann nach längerem Suchen die v3 findet, ist da auch seit 2 J́ahren nix mehr. Es war mein erstes Tool zur Teilnahme am Fediverse und immer noch das tollste. Schlank, resourcenschonend, schnell. Will ich wieder!
Meine Odysee mit einem gesperrten #Hetzner #server Hetzner sperrte mir einen Server, weil sie von ihm einen Portscan entdeckten. Laut dump den ich bekam, probierte der Server IP Adressen von 235.185.x.x jeweils auf Port 443 durch, ob jemand zuhört. Portscans sind von Hetznerservern aus nicht erlaubt. Also wird die IP gesperrt. Der Server war mein Wireguard Endpunkt, also erstmal suchen, wo der Fehler liegt. Ein vermuteter Plasterouter wurde von mir aus dem VPN genommen, Server wieder entsperrt. Wenige Tage passiert das nochmal, und die IP wird wieder gesperrt. Nur dieses mal will Hetzner den Server nicht mehr entsperren, auch wenn er komplett neu aufgesetzt ist, alle Keys fürs Wireguard neu erstellt, etc. Nein, da muss ja irgendwo noch ein Fehler sein, den soll ich gefälligst erstmal finden. Das war auch kein Scan mit hunderten parallelen Anfragen, es wurden in etwas mehr als 3 Minuten ein paar Hundert IP Adressen auf Port 443 angeklopft. Es war halt genug, dass die Erkennung bei Hetzner ansprang, aber es wurde keine Netzwerkkapazität beeinträchtigt. Da ich mein VPN gerne wieder gehabt hätte geht die Suche also weiter. Die IP Adressen gehören Criteo, Online Werbung. Ah-ha, hat sich irgendwer Werbesoftware im VPN eingetreten? Zeitstempel des Dumps von Hetzner angeschaut. Siehe da, zeitgleich war ich mit meinem Rechner bei wetteronline.de Eine kurze Suche nach Criteo und wetteronline bringt folgendes hervor: criteo.com/de/success-stories/… "WetterOnline verdoppelt die App-Umsätze mit Criteo Direct Bidder." Ah, ha. scannt sich da criteo etwa selbst? Also schnell ohne Überzieher, also Adblocker, auf wetteronline gesurft, und parallel einen TCPdump laufen lassen. Plötzlich kommt eine komische DNS Abfrage vorbei nach "gbc1.nl3.eu.criteo.com". Diese liefert 28 IP Adressen aus der gescannten range zurück. ( gbc2.xxxx bis gbc8.xxx liefern alle eine ähnliche Anzahl IPs zurück) Dann probiert irgendein Script auf der Homepage ein paar davon durch auf 443, bis es sich irgendwo verbindet. Sprich criteo scannt sich selbst zum load balancing, und ich darf mich dafür rechtfertigen. Und so etwas findet man auch nicht in fünf Minuten raus, die Zeit hätte ich gerne anders genutzt. Nachdem ich Hetzner mitgeteilt habe, dass eine Werbeschleuder sich selbst scannt, und versichert habe, dass ich den kompletten Criteo Adressblock per UFW ausgehend geblockt habe wurde mein Server wieder entsperrt. Also, falls jemand UFW am laufen hat und keinen Bock auf criteo hat: edited: UFW Regel nach Hinweis aus Kommentaren angepasst. ufw deny out from any to 185.235.84.0/22
@skyr @nblr @manawyrm hab ich nie verstanden. Da der DWD eine Bundesoberbehörde ist, haben wir alle die Finanzierung der App, sowie die Bereitstellung der Daten mit Steuergeld gesichert.
Demnach "bezahlen" wir für die App bereits und sollte daher kostenlos für die Nutzung zur Verfügung gestellt werden können.
@renereh1 @nblr @manawyrm dies. On top kam noch die absurde Tatsache, dass (zumindest damals) die App der Klägerin auch nur die (öffentlich zugänglichen, kostenlosen) Daten der DWD-API anzeigte...
2018 habe ich versucht die #DWD App auf einem Tablett mit LineageOS ohne Google Dienste und Playstore weiterhin zu n utzen und bat darum
eine Version anzubieten, die sich ohne die Unterstützung außereuropäischer Technikgiganten kaufen lässt - gern auch zu einem vertretbarem Mehrpreis für den entstehenden Mehraufwand - sie verdienen jetzt ja gerichtlich erzwungen und unerwartet an Ihrem guten Angebot.
Antwort damals war:
Vielleicht ergibt sich ja mittelfristig eine Möglichkeit, die in Ihr Sicherheitskonzept passt.
Passiert scheint seitdem nichts:
Auch hier könnte #PublicMoney → #PublicCode sehr helfen - danke an die @fsfe für diese wichtige Initiative!
...und es ist nicht so, dass der DWD nicht Schlüssel ohne Google anbieten könnte:
Inhaltlich sind die Vollversionen für (behördliche) Mitarbeiterinnen und Mitarbeiter des Katastrophen-, Bevölkerungs- und Umweltschutzes und die durch den In-App-Kauf erworbene Vollversion der WarnWetter-App identisch.
Naja, ohne teilweise in die Mails zu schauen, was ja dank SSL, TLS und Co nicht möglich sein sollte, findet man Spammails auch nicht so leicht. Ich denke, sobald da an die Hetzner Abuse Mail Meldungen kommen, werden die schon reagieren. Prinzipiell verstehe ich am Rande Hetzner hier sogar teilweise, sie waren nur sehr unfreundlich in der Kommunikation und stellen einen hin, wei wenn man persönlich der große Malwareschleuderer wäre.
Man will dann wohl besser einen Werbeblocker auf DNS Basis oder so auf dem Hetzner Server haben, dass verbessert das Surferlebnis aller VPN Nutzer und kann auch noch bei sowas helfen.
Ich hab mich jetzt spontan für hblock entschieden, ein script, welches die /etc/hosts umschreibt. Kann man immer mal wieder ausführen zum aktualisieren. Ich will auf dem Server so wenig wie möglich zusätzlich zum wireguard laufen lassen. Kommt gerade sogar mit dem Werbeendgegnern chefkoch.de und sz.de klar, kann man wohl lassen
@Sven unhöflichkeit ist natürlich keine lösung, aber es kann ihnen passieren, das da ganze netzsegmente von hetzner auf blocking-listen landen. insofern ist der wunsch hetzners sowas schnell zu unterbinden eigentlich ziemlich verständlich. aber irgendwie verstehe ich das trotzdem nicht so richtig. du dürftest ja nicht der einzige sein, der einen vpn-endpunkt bei hetzner gebaut hat und wetter online ansieht ...
Verstehen tu ich es auch noch nicht so richtig. Und Unhöflichkeit kann ja auch kommen, wenn man am selben tag den x-ten Kunden vor sich hat, der ein offenes SMTP Relay betreibt oder so. Wie gesagt, ich schrieb ja nicht gegen Hetzner. Tatsächlich testet der im Normalfall nur wenige IPs, bis es passt, k.A. warum das bei mir so eskaliert ist. Eventuell nur doof mit einem Netzwerkproblem beim Ziel zusammengelaufen oder so.
@Stefan_S_from_H Der Ausschlag gebende Punkt könnte sein, dass sich alle Zieladressen im selben AS oder einen noch engereren Netz befinden. Ist aber nur eine Vermutung.
@isotopp Kann man das irgendwie in AdBlock oder AdGuard einbinden? Ziemliche schweinerei von criteo und wetteronline. Am vestenniatves wohl wenn ich wetteronline sperre.
danke für den umfangreichen Bericht. WetterOnline sind die Schlawiener, die den Deutschen Wetterdienst erfolgreich in Grund und Boden klagten, da die ihre mit Steuergeldern ermittelten Wetterdaten kostenlos an die Steuerzahler zurück gaben. Seitdem muss (!) der DWD für die App Geld verlangen damit Minderperformer wie WetterOnline (IMHO die unzuverlässigste Prognose) auf dem Markt bestehen kann. Jetzt also auch noch illegale Portscans! Zum Glück versteht mein AdBlocker da keinen Spass.
Soll das bedeuten dass Hetzner mittlerweile sowas wie funktionierende Security und Abuse-Handling hat? Es geschehen noch Zeichen und Wunder! Ist zwar schon ein paar Jahre her, aber in meinem letzten Job habe ich quasi im Wochentakt Abuse-Mails an Hetzner geschickt dass ihre Kunden SIP-Bruteforce auf unsere Voiceserver fahren, aber ausser "Wir haben den Kunden verwarnt" und Wechsel auf eine andere IP war nie was passiert. (nur OVH und HostEurope waren noch lethargischer..)
Das klingt nach viel verschwendete Lebenszeit. Ich möchte aber auch eines kritisch anmerken zu #hetzner: Ja, Portscans sind verboten und eine Reaktion darauf ist wichtig. Dein Impact war aber absolut minimal. Genau aus solchen Gründen ist Hetzner für mich für Produktivsysteme nicht tragbar. Das hätte auch ein wichtiger VPN Endpoint einer Firma sein können. Jaja, resilienz und redundanz - aber trotzdem. Erst Nachricht und später blocken wäre tragbarer.
Sie haben mir ein paar h Zeit gegeben, bevor geblockt wurde. Da es halbprivate Server sind, hab ich das nicht mitbekommen, da ich andere Dinge gearbeitet habe. Ein Firmenadmin hätte genügend Zeit gehabt zu reagieren.
Was ist das denn für ein be***** load-balancing (oder was auch immer), das einen Portscan auf sich selbst durchführt, anstatt dass man einen gescheiten Load-Balancer hinter eine allgemeine Domain packt... Oh man. IT of doom.
Danke für die Story, dass man solche Fälle mal im Hinterkopf behält
Zum Glück war ich zu dem Zeitpunkt gerade mit Freunden was essen, sonst hätte ich mir permanent Sorgen um den Server gemacht. Die CPU war wohl teilweise am Limit. So schaue ich mir heute morgen die Graphen an, und denke: Wow, so sieht das also aus, wenn man gefefet wird. Server blieb stabil, nur etwas langsam. Sorry, falls gestern jemand etwas länger auf den Seitenaufbau warten musste.
Über Zuverlässigkeit kann ich eigentlich nicht maulen. Das war jetzt in 5 Jahren die erste ungeplante Downtime des Servers. Stabiler wie die MS362 Dienste 😃
Bei Hetzner ist dafür Reddit gesperrt, wobei das nicht so schlimm ist. Für Suche schonmal über SearxNG nachgedacht? Ist eine Metasuchmaschine, die dann auch nicht über Google geht, aber eben über DDG, Startpage und Co. geht, die ja auch wieder auf Google zugreifen. SearxNG liefert bei mir bessere Suchergebnisse mittlerweile als Google.
@Klaudia (aka jinxx) Ich tagge jetzt mal die einzige Autorin die ich kenne, aber vielleicht kann ja auch irgendwer anderes helfen. Sandor Katz ist ein US amerikanischer Autor, und seine bisher auf deutsch erschienenen Bücher sind leider beim Kopp Verlag veröffentlicht worden. Für die Bücher, für die er die Rechte hat, hat er es jetzt geschafft, dass die seine Bücher nicht mehr weiter veröffentlichen dürfen. Ich habe ihn damals angeschrieben, ob er weiß wo er veröffentlicht, und er hätte als queere Person nie gedacht, dass Kopp so eine Jauchegrube ist, wenn die seine Bücher veröffentlichen wollen. Jetzt hat er die einzig richtige Entscheidung getroffen nachdem sein Vertrag ausgelaufen ist, aber leider hat er jetzt keinen Verlag mehr im deutschsprachigen Raum. Welche deutschen Verlage kann man Sandor eventuell schicken, für eine Nauauflage von "The Art of Fermentation" auf deutsch? Sachbuch für ambitionierte Hobbyisten.
Liebe Sueddeutsche Zeitung, bisher hielt ich Euch ja für ein ernstzunehmendes journalistisches Erzeugnis. Bisher. Was mich gerade zweifeln lässt ist folgende Aussage: "der Schweizer Sachbuchautor Erich von Däniken" Sachbuchautor? Wirklich?
Klar, aber da steht ja nicht, der Comedian Erich, oder so, sondern SACHBUCHAUTOR! SACHBUCH!!!!!!! AAaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa So, jetzt geht es wieder. Sorry, musste kurz raus.
Gerade etwas "tolles" erlebt. Eine Seite die anscheinend auf Schnittmuster verlinkt, möchte nach anklicken des Links, dass ich bestätige kein Bot zu sein. Und zwar indem ich auf "Benachrichtigungen zulassen" klicke. Ja ne, is klar. Da ich neugierig war, hab ich das trotzdem mal gemacht, die Einstellungen sind ja gleich wieder geändert im Browser. Wenige Sekunden später kommt als Systembenachrichtigung doch tatsächlich eine Meldung mit Avira Logo, mein Rechner sei infiziert, Panik, Panik. Da hab ich dann mal nicht weiter geklickt, man weiß ja nie, was man sich da so alles einfangen kann. Wieso gibt es im Internet nur noch Betrüger? Das macht doch so keinen Spaß mehr, und ich bringe keine Häme mehr gegen jemanden auf, der sich so irgendetwas böses einfängt. Wer sich nicht mit der Materie befasst denkt durch Antivirenkonditionierung eventuell wirklich man müsse da drauf klicken. Schlimm so etwas.
Oh wie großartig, nach zwei weiteren Klicks auf die Meldung (aus einem Livesystem heraus) komme ich tatsächlich zu Avira. Die Meldung selbst löst nach "virenschutzmeldung.de" auf,
Von dort geht es direkt weiter zu Avira. (avira.com) Ich hielt ja bisher schon wenig von Schlangenölfirmen, aber wenn die aktiv an so einem Betrug beteiligt sind, dann geht das ja mal gar nicht. Jetzt kommt gerade eine Meldung mit Windowssicherheitssysmbol, aber auf die Seite lässt mich der Privoxy schon gar nicht zum nachschauen.
Das wird mit jeder Meldung besser. Jetzt werden schon "Warnfenster" auf der Seite so aufgemacht, dass man denken könnte, es seien Windowsfensterchen.
Sag mal, wenn ich so eine Seite betreiben würde, dann würde ich mir wenigstens die Mühe machen den Useragent auszulesen. Der ist bei mir: Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/115.0 Da hätte ich gerne was personalisiertes, und nicht so ne schnöde Windowsfehlermeldung! Ich fühle mich diskriminiert.
Was mir da gerade so auffällt, diese Anzeige hat keinen Link zu einem Impressum, und wenn ich die Domain ohne die Trackinglinks und Co ansurfe, kommt nur eine Textdatei mit dem Wort OK zurück. Darf das so? Wo kann man die anschwärzen? Landesdatenschutzbeauftragter? Bundesdatenschutzbeauftragter? Weiß die @Stiftung Datenschutz so etwas?
Mir ging ja diese ganze El Hotzo Sache sonst wo vorbei. Ein paar Scherzchen, die ich auch nicht lustig fand, da man niemandem den Tod wünscht in meinen Augen, ein Miliardärsbaby, der denkt sich in den Diskurs unqualifiziert einmischen zu müssen, und unsere Presse die das hoffnungslos ausschlachtet. Nix besonderes, langweilig. Und ob jetzt irgendwer beim ÖRR seinen Job verliert ging mir auch am Allerwertesten vorbei. Bis ich gerade im Stern folgenden echt tollen Kommentar fand: stern.de/kultur/-el-hotzo--vor… Und ich muss sagen, ja, da ist etwas dran. Die Antisemiten Precht und Lanz werden weiterhin von unseren Gebühren bezahlt, der unsägliche Somuncu (erinnert sich noch irgendwer an sein Gelaber über das Fediverse), und auch Nuhr und Fitz dürfen weiterhin ihre Verschwörungstheorien raushauen. Mir fällt gerade auf, dass genau die Meinungen, die am lautesten über Cancel Culture schreien weiterhin von der Allgemeinheit bezahlt werden. Unglaublich wie schön man an dieser Kolumne die Verschiebung des Diskurses nach rechts sehen kann.
Der rbb will nicht mehr mit dem Satiriker El Hotzo zusammenarbeiten, weil er gegen "Werte" verstoßen habe. Unserem Kolumnisten fallen da noch andere Kandi...
Sven222
Als Antwort auf Sven222 • •