Administrator's Blog

"Phishing" ist eine üble Sache. Zumindest wenn man drauf reinfällt. Aktuell sorgt wieder die Umgehung des neuen iTAN-Verfahrens für Aufregung. Die gute Postbank hat nämlich nach dem Wegfall von BTX alle Kunden für HBCI freigeschalten, was ja eigentlich als netter Zug anzusehen wäre. Leider kann man ("man" = u.U. böser Phisher!) sich via HBCI entspannt weiterhin via PIN anmelden und via TAN aus der Liste überweisen. Im Klartext bedeutet das, dass man auch als iTAN-User nicht sicher ist. Andere Banken haben es offenbar ähnlich gehandhabt und dem Kunden ohne sein Wissen HBCI freigeschalten.

Ich halte ja generell das Gehirn des Menschen für den sichersten Schutz vor Phishing. Schließlich muss man schon ganz schön "einfach gestrickt" sein, wenn man auf schlecht geschriebene Texte vom Absender service@postbank.ru oder sowas hin einen Link klickt und dort dann seine Onlinebanking PIN inkl. mehrerer TANs eingibt. Wer macht bitte so etwas? Seit vielen Jahren nutze ich selbst den Online-Transaktionsmanager der Deutschen Bank, habe schon tausende Phishingmails bekommen und gelöscht - mein Geld ist aber immernoch da. Also liebe Leute, bitte erst denken, dann klicken!

Ich weiss schon, man kann nicht von sich auf Andere schließen. Aber selbst einem Internetneuling (aka DAU ) traue ich doch zu, dass er auf normales Phishing via Mail nicht hereinfällt. Freilich, für ein unsicheres Betriebssystem bzw. DAS unsichere Betriebssystem "Windows" kann man nichts. Aber schon der Einsatz eines alternativen Browsers wie Firefox und eines ordentlichen Mailclients im Zusammenspiel mit einem Virenscanner können Wunder wirken. Aber wie gesagt, das Gehirn selbst schützte mich bisher ganz gut ... und hier lief auch lage Zeit das Produkt aus Redmond!

Als ich gestern mal wieder auf eAccelerator.net vorbeischaute staunte ich nicht schlecht. So gibts seit 20.11.05 den Release Candidate 1 der Version 9.4! Laut den Release Notes handelt es sich allerdings nur um ein reines Bugfix-Release. Ich werde daher meine Server nicht updaten, da die 0.93 problemlos überall läuft. Aber gut zu wissen, dass das Projekt nicht eingeschlafen ist, denn diese Befürchtung hatte ich bereits ...

Auch von Fedora gibt es etwas Neues, nämlich "Core 5 Test 1". Laut den Release Notes sind viele Neuerungen wie z.B. x.org 7.0 und KDE 3.5 bzw. Gnome 2.12 enthalten. Laut Roadmap erscheint die Final im Februar 2006. Einige Server bei uns laufen zwar auch mit Fedora (Core 3 und 4), ich bin allerdings kein großer Fan dieser Distribution. Der Paketmanager yum konnte mich nicht überzeugen, so war er einfach nur langsam, was Updates und Installationen anging. Da geht das Arbeiten mit apt schon besser von der Hand Aber irgendwas muss ja doch dran, schließlich erfreut sich Fedora recht großer Beliebtheit. Oder liegt das nur am großen Bruder und Vater RHEL?

Laut Heise ergab eine Studie von IDC, dass Windows-Server im 3. Quartal erstmals mehr Umsatz alle anderen Systeme zusammen gemacht hätten. Das liegt wohl an der Stagnation im Unix-Markt. Linux konnte erfreulicherweise mit einem Wachstum von 20,5 % zulegen - MS wuchs um 15,3 %, Unix fiel um 13,7 %! Das klingt nach schlechten Zeiten für SCO und Konsorten ...

Heute ist mal wieder so ein Tag, wo ich kein Mailserver sein wöllte. Schließlich sind diese heute extremer Last ausgesetzt. Der Grund ist mal wieder ein nerviger Sober-Wurm, der massiv durch das Netz geistert. Die Mails gaukeln vor, man hätte illegale Kopien im Netz gesaugt und das BKA wäre einem auf die Spur gekommen (siehe heise.de - Meldung) - ja ne, is klar Einem meiner Kollegen wurde zu seinem neuem eBay-Account "pipi01" oder sowas gratuliert, auch nicht schlecht. Eben erhielt ich noch ein Thawte SSL-Zertifikat, was aber dann doch eine .exe war

Wir konnten in den Morgenstunden einen ~75% höheren Mail-Traffic als an normalen Tagen feststellen. Auf einigen Mailknoten sieht es da laut Nagios eben mal so aus:

CRITICAL - load average: 94.76, 87.40, 71.91
CRITICAL - 1117 processes running

Dabei handelt es sich i.d.R. um ClamAV-Prozesse, da die Mails ja alle gescannt werden müssen. Aber Linuxserver mit mehreren CPU's können das schon ab

Auf meinen privaten Servern mit postfix blocke ich derartige anhänge direkt via RegExp:

/filename=\"?(.*)\.(bat|chm|cmd|com|cpl|do|exe|hta|jse|rm|scr|pif|vbe|vbs|vxd|xl|zip)\"?$/
REJECT For security reasons we reject attachments of this type
/^\s*Content-(Disposition|Type).*name\s*=\s*"?(.+\.
(lnk|asd|hlp|ocx|reg|bat|c[ho]m|cmd|exe|dll|vxd|pif|scr|hta|jse?|sh[mbs]|vb[esx]|ws[fh]|wav|mov|wmf|xl|zip))"?\s*$/
REJECT Attachment type not allowed. File "$2" has the unacceptable extension "$3"

Wenn man damit leben kann keine Zip's etc. mehr zu bekommen, stellt das wohl die beste Lösung dar!

Irgendwie habe ich zur Zeit etwas Pech mit Hardware - vielleicht der Fluch eines Kunden, dem ich nicht helfen konnte? Wer weiss Gestern gegen 22 Uhr wollte ich via IMAP Mails von meinem Webserver abrufen, als ich plötzlich "Could not access maildir" lesen musste. Der anschließende SSH-verbindungsversuch wurde dann direkt mit "Connection refused" beendet. Super Sache, dachte ich mir. Komischerweise gingen die Webseiten noch, allerdings bemerkte ich bei einer Unserseite, wo via PHP fwrite() ein Counter hochgezählt wird, schon den Fehler "Read-Only filesystem". Das klang nicht gut und ganz danach, dass die Platte nicht mehr richtig lebt. Also habe ich prompt meinen Kollegen von der Spätschicht informiert (hat schon Vorteile, wenn man den Server auf Arbeit im RZ stehen hat), welcher dann gegen 23 Uhr vor Ort war und nichts Gutes berichten konnte. Das Booten war gar nicht mehr möglich, ein Plattenfehler jagte den nächsten. Tolle Sache! Da der Server aber nicht lebenswichtig ist und ich sehr müde war, vertagte ich die Reperatur auf heute morgen. Gegen 8:30 Uhr war ich dann also auf Arbeit - obwohl ich eigentlich erst gegen 15 Uhr hätte kommen müssen, da Spätschicht - um meinen Server zu reparieren. Sowas macht man natürlich am liebsten selbst

Mir bot sich das selbe Bild wie meinem Kollegen, Fehler ohne Ende. Ein mounten der Platte war um keinen Preis mehr möglich. So setzte ich auf einer frischen Platte mein Debian Sarge neu auf und richtete alles neu ein. Glücklicherweise hatte ich tagesaktuelle Backups von /etc und dem Webroot da, so dass das sehr schnell ging. Nun läuft wieder alles (bis auf MRTG, aber den Fehler find ich noch ) und ich bin zufrieden. Via smartd wurde übrigens vorher kein Fehler festgestellt, obwohl ich jede Nacht einen Check laufen lasse ...

Da freut es einen doch, dass man mit dem Problem nicht alleine dasteht. Ein Kundenserver erlitt vor wenigen Minuten das selbe Schicksal, so dass ich diesen morgen früh direkt auch neu installieren werde. Wer weiss, vielleicht vertragen die Platten ja die kalte Jahreszeit auch nicht so - obwohl es ja eigentlich genau gegenteilig sein sollte

Es war ruhig die Tage im Adminblog. Der Grund dafür war ein kurzer Urlaub meinerseits, der morgen in der Spätschicht auf Arbeit sein trauriges Ende findet
Die Tage war ich aber nicht untätig, sondern habe intensiv nach einem PDA gesucht - und bin fündig geworden. Ich wollte unbedingt einen mit Bluetooth und WLAN, was die Auswahl schonmal arg eingeschränkt hat. Bei Dell wurde ich zwar fündig, allerdings war es dort einfach zu teuer. Die beste Lösung wäre ja gleich einer mit integriertem GPS-Modul, aber da gibts leider wieder keinen, wo auch Bluetooth und WLAN mit dabei sind - zumindest habe ich keinen gefunden, der mir zugesagt hätte.

So fiel die Wahl also auf den Fujitsu Siemens Pocket Loox 420. Sieger in diversen Tests und mit allem ausgestattet, was ich so brauche. Bei cyberport.de fand ich das Teil für 299 EUR und habe gleich zugeschlagen. Um im Auto und notfalls auch mal zu Fuß navigieren zu können, musste natürlich auch ein GPS-Modul her. Die Wahl fiel auf die Leadtek 9537 Bluetooth-GPS-Maus. Dank eigenem Akku und Auto-Ladegerät kann man diese beispielsweise im hinteren Teil des Autos platzieren. Für den PDA selbst habe ich bei eBay gleich noch ein Autoladekabel und eine Halterung mit Saugnapf erworben, bei Amazon noch eine 512 MByte große SD-Karte. Was nun noch fehlt ist jede Menge Software für das Gerät, ganz besonders natürlich zur Navigation. Über Tipps und Erfahrungen dazu würde ich mich sehr freuen Natürlich hätte ich am liebsten Linux auf dem PDA, allerdings sieht es da mit der GPS-Navigation eher schlecht aus ...

Es soll ja Webseiten da draußen geben (wie z.B. admin-blog.com ), die mehr als 100.000 einzelne Besucher am Tag haben und somit mit einem normalen Webserver nicht weit kommen. Das heisst der Webserver läuft mit 200+ Prozessen einfach am Limit und kann keine weiteren Anfragen annehmen. Für sowas eignet sich Loadbalancing auf Linuxbasis als schnelle Lösung besonders, da alle erforderlichen Funktionen im Kernel > 2.6 bereits von Haus aus implementiert sind und man an den Scripten der Website (hier: PHP) nichts ändern muss. Hier mal ein konkretes Fallbeispiel einer Lösung, die ich zusammen mit einem Kollegen für eine stark frequentierte Seite aufgebaut habe:
Die Lösung baut komplett auf Suse-Linux auf und ist durch beliebig viele weitere Webserver erweiterbar. Die Webserver und der Loadbalancer hängen am Schrankswitch, der die Verbindung ins Internet stellt. An den internen Switch ist der Fileserver mit Gigbit angeschlossen, die Webserver mit jeweils 100 MBit. Der Fileserver ist von extern gar nicht zu erreichen, der Kunde lädt seine Daten einfach auf einen der Webserver, wo das NFS-Share gemountet ist. Auf den Webservern selbst liegen keinerleit Nutzdaten, so dass diese ohne großen Aufwand neu installiert werden können bzw. ein weiterer hinzukommen kann. Den Loadbalancer könnte man noch redundant auslegen, um die Sicherheit zu erhöhen. RAID-1 ist in allen System natürlich vorhanden. Die Konfiguration auf dem Loadbalancer geschieht via ipvsadmin, womit man sich auch die aktuellen Verbindungsstatistiken anschauen kann. Auf dem Loadbalancer und den Webservern läuft die gleiche IP, um das Loadbalancing zu realisieren. Auf den Webservern allerdings als Interface lo:1 mit -arp, damit die Anfragen nur beim Loadbalancer landen und es keine Konflikte gibt. Ebenfalls auf dem Loadbalancer gibt man konkret an, welche Ports wie weitergeleitet werden sollen. In der Regel sind das mindestens die Ports für HTTP(s) und FTP.

Hardwareseitig kamen als Webserver und NFS-Server Pentium 4 CPU's mit 3 GHz, 200 GByte SATA-Platten im RAID-1 am 3Ware-RAID-Controller und je einem GByte RAM zum Einsatz. Der Loadbalancer ist ein schwächeres Gerät (Pentium 3 mit 1,2 GHz, 256 MByte RAM), was aber mehr als ausreicht. Die Load auf dem Loadbalancer ist permanent 0,00 denn er verteilt ja nur die Arbeit

Insgesamt eine gute und ausreichend performante Lösung, um mit recht einfachen Mitteln eine Lastverteilung und zentrale Datenhaltung zu realisieren. PHP wird noch durch den "IonCube PHP-Accelerator" beschleunigt, was auch die Last auf den Webservern senkt. eAccelerator konnte ich wie erwartet erneut mit dem PHP 4.3.10 aus den Suse-RPM's nicht zum Zusammenspiel bewegen.
Aufpassen muss man natürlich bei den Configfiles und Usern. So sollte die Apache-vHosts-Config auf den Webservern identisch sein. Ebenfalls müssen User und Gruppen für das Schreiben auf dem NFS-Share auf den Webservern und dem NFS-Server identisch sein, inklusive User- und Group-ID's. Sonst gibts Probleme mit den Berechtigungen.

Für die hässliche Grafik entschuldige ich mich übrigens ausdrücklich, die wurde in der Wiki-Software "Twiki" mit dem Java-Draw-Plugin im Browser gemalt - ich hatte vorhin keine Bildbearbeitung oder sowas zu Hand

Heut wollten wir eigentlich auf unseren diversen Webservern aufgrund der Sicherheitsprobleme in PHP <= 4.4.0 die aktuelle Version 4.4.1 einspielen. Nach diversen Berichten über Probleme mit dieser Version, u.a. auf heise.de, haben wir uns nun aber doch dagegen entschieden. Ich denke die Probleme durch das Upgrade wären einfach enorm, da dort ja elementare Array-Funktionen wie next(), prev() und reset() betroffen sind. Bleibt nur zu hoffen, dass die Jungs von von PHP bald die 4.4.2 nachschieben, die Sicherheitslücken in <= 4.4.0 sind nämlich auch sehr unschön. Ich bin ja froh, dass wenigstens vBulletin mit der 3.5.1 die Probleme erkannt und behoben hat, obwohl ja nicht vBulletin sondern PHP selbst schuld ist. Aber wenn man die php-dev Mailingliste liest, sieht das ja für die 4.4.2 ganz gut aus ...

Auch macht wieder der Backdoor.Linux.Small.al von sich reden, so dass grad Blog-User nochmal checken sollten, ob deren Server bzw. PEAR-Erweiterungen auf dem aktuellsten Stand sind! Denn besonders bei Blogs etc. kommt XML-RCP häufig zum Einsatz.

Da ich eben noch fix einen Server mit Suse 9.3 für einen Kunden aufgesetzt habe kam ich auf die tolle Idee, mal ein Foto (wenn auch nur mit dem Handy) unserer "Installationskammer" zu machen. Hier werden die besten und stabilsten Server der Welt installiert, Teststellungen aufgestellt, Server augeschlachtet & anderweitig mißhandelt etc! Übrigens machte mir der Server spontan gleich Kummer, als ich ihn im Rechenzentrum in Betrieb nehmen wollte. Schon zweimal habe ich nun erlebt, dass Suse die Netzwerk-Config eines "Via Rhine II" - OnBoard -Interfaces einfach ignoriert. Erst nach löschen, rebooten und erneutem Einfügen der Config via Yast2 klappt es dann. Sehr nervig ...

Und hier nun das "Labor" - nein, das ist nicht mein Arbeitsplatz. Der sieht etwas ordentlicher aus, manchmal zumindest . Vorne liegt übrigens ein Server, der momenat operiert wird. Er hatte Probleme in der Festplattengegend und bekam prompt ein verfügbares "Spenderorgan". Hoffentlich nimmt er es auch an ...

Irgendwie scheint es ja momentan im Netz "in" zu sein, verpixelte Werbeflächen auf seiner Website gegen Cash an irgendwelche Firmen oder Leute zu verkaufen, die das toll finden. Das bekannteste Beispiel ist wohl die Million Dollar Homepage eines Studenten aus den USA. Klar, die Amis ticken alle nicht richtig, wird der geneigte Leser nun denken - stimmt ja auch - aber auch in Deutschland versucht man sich am schnellen Euro. So habe ich auf thepixelwars.de eine ähnliche Sache gefunden, offenbar bisher allerdings ohne den gewünschten Erfolg. Und auch mein Radiosender #1 in Sachen Streaming macht mit, siehe di.fm. Ich bin mir absolut sicher, dass es da draußen sogar noch mehr davon gibt ... Wie auch immer, in meinen Augen alles Fake. Ich kann mir einfach nicht vorstellen, dass der Gründer der Million Dollar Homepage bis jetzt wirklich rund 500.000 Dollars mit seiner Seite eingenommen hat. Ein paar Dollar bestimmt, ein Großteil ist aber meiner Meinung nach Fake. Andernfalls müsste ich mich nämlich mein Leben lang ärgern, dass ich nicht diese tolle Idee hatte.

So, ich hab auch gleich Feierabend. War ein guter Tag, schließlich habe ich 2 neue Server ins Rennen geschickt, einer davon wird demnächst sogar die Weihnachtsangebote eines großen Versandhauses über Eure Monitore flimmern lassen Also denkt beim Onlineeinkauf immer an den lieben Admin, der Euch das ermöglicht hat

Administrator's Blog läuft ab sofort mit Serendipity in Version 0.9 als Weblog-Engine und PHP 4.4.0 (offensichtlich gepatcht, da heute erst in Debian Etch/Testing), was offensichtlich jetzt auch problemlos funktioniert. Aber natürlich wäre das zu einfach. So wollte der frisch kompilierte eAccelerator natürlich erstmal nicht mehr laufen. Nachdem ich das Teil schließlich mehrmals neu kompiliert hatte und die verrücktesten Parameter getestet hatte fiel mir auf, dass mein apt das Paket "php4-dev" spontan zurückgehalten hatte. Ohne dieses macht es natürlich keinen Sinn, den Accelerator neu zu compilen, da phpize etc. noch nicht auf dem neuesten Stand sind Nachdem ich das dev-Paket von Hand auf den neuesten Stand gebracht hatte, klappt dann auch endlich alles.

In Sachen AdWords bzw. kontextbezogene Werbung habe ich heute mal einen für mich neuen Anbieter getestet, nämlich cpase.de. Ob dieser allerdings mit Google's AdSense mithalten kann, darf bezweifelt werden. Auf jeden Fall war die Anmeldung schnell und unkompliziert und auch die Statistiken und Tools machen einen guten Eindruck. Es soll ja "böse" Seiten geben, auf denen Google keine Werbung schalten mag - da ist cpase.de vielleicht tatsächlich eine Alternative. Mirago konnte diese Erwartungen leider nicht erfüllen, weshalb ich deren Ad's nicht mehr einblenden werde. Ebenso suitad.de, die bei mir nur Eigenwerbung einblendeten und dann auch noch meine Supportanfrage ignorierten. Letztendlich gibt es leider keine echte Alternative zu Google AdSense, wenn man mit seinen Websites ein paar Euro durch kontextbezogene Werbung verdienen will. Schade.

Wie Stefan Esser vom Hardened-PHP Project mitteilt, liegen gleich mehrere Probleme in den aktuellen PHP-Releases sowohl in der 4.4.0 als auch in der 5.0.5 vor. Für die 4er Versionen gibt es bereits ein Bugfix-Release, nämlich Version 4.4.1 (Changelog) - bei meinen morgentlichen Updates war es allerdings noch nicht einmal in Debian Sid aktualisiert.
Offenbar lässt sich das $GLOBALS - Array teilweise überschreiben, auch wenn register_globals in der php.ini auf Off steht (was es ja im besten Fall sollte!). Logischerweise werden natürlich besonders PEAR und vBulletin im Advisory erwähnt, wo ich doch beides sehr aktiv einsetze. Normal Wie das Überschreiben der Var's dann konkret aussieht, wird auch gleich beschrieben.

Spontan hat mich dieser Bug in PHP auch dazu angeregt, mir direkt mal Hardened-PHP genauer anzuschauen bzw. zu Überlegungen geführt, das auch in meinen Produktivumgebungen einzusetzen. Allerdings habe ich dazu bislang keine Erfahrungsberichte gelesen. Kann da jemand mit Erfahrungen prahlen?

Für mich heisst das auf jeden Fall in den nächsten Tagen etwas Arbeit durch Updates auf diversen Servern. der eAccelerator muss ja in den meisten Fällen auch wieder neu kompiliert werden ...

PS: Für alle, die noch in der Sommerzeit leben: Bitte schnell ntpdate ntp.ubuntulinux.org ausführen! Ich habe die Stunde an "Mehrschlaf" auf jeden Fall genossen. Nach dem Aufstehen war ich dann auch erfreut zu sehen, dass sämtliche wichtigen Server automatisch die Zeit aktualisiert hatten ...