Sich in der IT-Welt auszukennen ist nicht immer ein Segen. DAU's aller Geschlechter und Altersgruppen versuchen, dieses Wissen für Ihre Zwecke zu verwenden. Von defekter Hardware bis hin zu virenverseuchten Windows-Kisten soll man natürlich alles fixen, heilen und schneller machen. Wo neueste Spiele mangels guter Hardware ruckeln soll der "IT'ler" mal schnell durch ein paar coole Tricks (wie sie der DAU gern in der ComputerBild selbst schon gelesen hat ...) den heimsichen DAU-PC zu Höchleistungen verhelfen. Diese und andere Fälle kennt wohl jeder Admin, u.a. aus seinem Bekanntenkreis.

Ich habe wirklich Vieles probiert: Ignoranz, Freundlichkeit, Hinweise und sogar ein T-Shirt mit der Aufschrift "I will not fix your computer" (können DAU's eigentlich Englisch?) halfen nichts. Der DAU-Terror geht weiter. Wahrscheinlich bis an mein (IT-)Lebensende.

Eine weitere Waffe im Kampf gegen die DAU's bietet nun die Promex GmbH, nämlich den DAU-Orden. Damit z.B. zu Weihnachten beschenkt könnte dem DAU wieder einmal bewusst gemacht werden, dass er ein besonders guter DAU ist. Da dies natürlich kein wirkliches Lob ist, hoffe ich auf Rückgang der DAU-Anfragen

Falls nicht, hat man wenigstens ein nettes Fun-Gimmick verschenkt. Ich find's allemal lustig und freue mich schon auf meinen Test-Orden, der mir freundlicherweise zugestellt wird. Für die geneigte Leserschaft werde ich mich die Tage dann mit dem DAU-Orden fotografieren lassen und das Bild hier präsentieren, sozusagen als Admin im DAU-Pelz

So sieht der Orden dann aus:


PS: Als Leser des admin-blog.com ist man natürlich definitiv kein DAU - also keine Sorge, liebe Leser

Ich kann nicht genau sagen, wann sie es getan haben, aber sie haben die von mir mehrfach angemahnte XSS-Lücke (siehe auch hier) im Tchobo-Intershop endlich geschlossen. Ein Lob erspar ich mir an dieser Stelle, denn die Dauer bis zum Fix war mehr als peinlich. Wahrscheinlich war es nichtmal Tchibo selbst, sondern ein Intershop-Update. Wir werden es nie erfahren ...

Wenn ich mal ein paar Minuten Zeit und Lust habe, suche ich für die geneigte Leserschaft weitere XSS-Fundstücke - versprochen!

Als Fan von 3D-Shootern und neuester Technik beschloss ich, die 8800GT in meinem Shuttle XPC durch eine 280GX zu ersetzen. Der Kauf der GX war dabei noch die einfachste Übung, wie sich später herausstellte. Das XPC-Netzteil liefert immerhin 450W, was normalerweise wahrscheinlich sogar gereicht hätte (die Karte ist mit bis zu ~260W Eigenverbrauch angegeben).

Doch scheiterte der euphorisch angefangene Einbau bereits an der Tatsache, dass die Karte schlicht zu lang und zu dick ist - Mist! Erschwerend hinzu kommt, dass die GX280 gerne doppelt vom Netzteil mit Strom versorgt werden möchte, 1x mit einem 8-fach und 1x mit einem 6-fach-Stecker.

Da man im XPC das Netzteil aufgrung der eigensinnigen Bauform auch nicht einfach so austauschen kann, musste kurzerhand ein neues Gehäuse her. Und natürlich auch ein neues Netzteil, Mainboard und ein CPU-Kühler. Wir wollen ja klotzen, nicht kleckern

Nun steht also zu Hause unter dem Schreibtisch ein schickes, schwarzes "A+" - Gehäuse samt "be quiet!"-Netzteil mit 550W, in dem ein ASUS P5Q Pro Mainboard werkelt. Und natürlich hat dort auch die fette 280GX perfekt reingepasst. Aus dem Shuttle übernahm ich eigentlich nur die CPU (Core2Duo @ 3GHz), den RAM (2 GB Corsair) und die Festplatte. Als CPU-Kühler kommt ein echtes Monstrum (was die Größe angeht) mit dem tollen Namen "Scythe SCASM-1000 Andy Samurai Master" zum Einsatz. Den 120mm-Lüfter hört man kaum, sehr angenehm.

Ansonsten bin ich, bis auf die Lautstärke, sehr zufrieden mit der 280GX. Counterstrike-Source läuft laut "net_graph" mit nahezu permanet 299FPS trotz maximaler Einstellungen. FarCry 2 läuft ebenfalls sehr angenehm mit der Einstellung "ulrahoch" (Vista) - da kann man nicht meckern. Allerdings komm ich mir ohne Kopfhörer nach wenigen Minuten vor wie in einem Friseursalon, wo neben mir 3 ältere Damen mit dem Fön gestylt werden, was die Lautstärke angeht. Aber das ist wohl der Preis für die Performance ...

Hier mal noch 2 Bilder 8800GT vs 280GX, das "große" ist jeweils die 280GX:

Wie Robert schon geschrieben hat, Google Analytics ist wohl mittlerweile bei vielen Projekten als Tracking-Tool am Start. Und dafür, dass es kostenfrei ist, finde ich es gar nicht mal so schlecht.
Allerdings hatten wir immer Probleme mit der Session-ID, die als Parameter in der URL durch die Gegend gereicht wurde. Dass das grundsätzlich suboptimal ist wissen wir, aber unser System ist historisch gewachsen. Um es mal diplomatisch auszudrücken .

Mal ne Beispiel-URL:

http://www.admin-blog.com/?sid=123456789¶m1=1¶m2=2

Die Session-ID muss dabei nicht zwangsläufig als erster Parameter erscheinen.

Jedenfalls hat uns die Sesssion-ID immer die Ergebnisse verfälscht. Im Netz fanden wir Hinweise, einen Suchen&Ersetzen-Filter im Google Analytics einzurichten und den mit regulären Ausdrücken zu spicken. So weit das Google Analytics zulässt. Das hat nicht befriedigend funktioniert.

Eine Anfrage bei Google brachte Erleuchtung. Nix Suchen&Ersetzen-Filter sondern folgendes Vorgehen:

Melden Sie sich unter http://www.google.com/analytics/de-DE/ in Ihrem Konto an (oder klicken Sie in Ihrem AdWords-Konto auf die Registerkarte "Analytics"). Die Seite "Analytics-Einstellungen" wird angezeigt.

Suchen Sie in der Tabelle "Websiteprofile" nach dem entsprechenden Profil und klicken Sie auf "Bearbeiten". Die Seite "Profileinstellungen"
wird angezeigt.
Klicken Sie in der Tabelle "Profil-Information für Hauptwebsite" auf "Bearbeiten".

Geben Sie in das Feld "URL-Suchparameter ausschließen" die Parameter ein, die aus Ihren Berichten entfernt werden sollen (Beispiel: sid, sitzungsid, vid). Trennen Sie die einzelnen Parameter durch Kommas voneinander.

Seit wir unser Google Analytics so konfiguriert haben, ist die Session-ID weg. Ich hoffe, das bleibt so .

Wie ich zu meiner Erheiterung eben auf Heise gelesen habe, leitet perl.com neuerdings auf ein dubioses Blog (grepblogs.net) weiter, wo mit Erotik-Inhalten geworden wird. Witzigerweise gehört diese Domain aber Tom Christiansen, einem bekannten Perl-Entwickler. Offenbar hat er versucht, sich ein zweites Standbein aufzubauen, wenns mit PERL mal nicht mehr so klappt Das PERL-Hauptquartier unter perl.org ist aber weiterhin problemlos erreichbar.

Dies ist auf jeden Fall mal wieder ein tolles Beispiel dafür, dass man fremde JavaScript nicht auf seiner Seite einbinden sollte. Schuld ist hier nämlich ein JavaScript-Include, das folgendermaßen aussieht:

<script src="http://grepblogs.net/adx.js" type="text/javascript" language="JavaScript">

Normalerweise liefert dieses Script wahrscheinlich nur ein Banner oder so etwas aus, in diesem Fall aber eben eine nette Weiterleitung

Besonders toll wäre dieses Szenario, wenn mal wer ein paar Server von Google-Analytics hackt. Dann könnte ein Angreifer quasi das halbe Internet manipulieren und auf eigene Server umleiten. Schließlich haben millionen von Webseiten das Google-Analytics-JavaScript bei sich eingebunden. Unter Anderem auch diverse von mir betriebene Projekte. Bei Google sollte der Sicherheitsstandard zwar entsprechend hoch sein, generell ist dies aber kein netter Gedanke. Zumal ja nichtmal Google schuld sein muss, schließlich würde DNS-Spoofing auch schon reichen, um google-analytics.com umzuleiten ...

Nachdem ich mich die Tage mit einer Nasennebenhöhlenentzündung rumgeplagt habe bzw. immernoch rumplage (daher meine geringer Aktivität hier) ist von Tchibo.de bereits die nächste kompetente Antwort auf die von mir entdeckte XSS-Lücke eingetroffen. Schockierenderweise sah die Antwort diesmal so aus:

Sehr geehrter Herr Klikics,
[ ... ]
Das Problem ist bekannt. Soweit uns bekannt ist, wird dies bei den wichtigen Seiten unterbunden.
Sie können uns gerne einen Tipp schicken, damit wir weiter Verbesserungen machen können.

Ist nicht wahr, oder? Entweder man unterbindet XSS konsequent oder man lässt es. Schließlich spielt es im Falle eines Missbrauchs doch keine Rolle, wo genau der User seine Kreditkartennummer an den Phisher übermittelt. Als "Tipp" habe ich diesmal geantwortet, dass man HTML-Tags prinzipiell aus Userangaben entfernen sollte, vor Allem wenn man die Userangaben nach dem Absenden eines Formulares noch einmal anzeigt. Mal schauen ob ich erneut eine so tolle Antwort erhalte.

Im Grunde hätte ich die Lücke (die natürlich immernoch besteht) vielleicht lieber aktiv nutzen sollen, anstatt mich mit dem Support rumzuschlagen. Für eine Senseo-Maschine z.B. für 29,99 EUR hätten doch sicher jede Menge Leute ihre Kreditkartennummer an mich übermittelt, oder?

Erstmal wünsche ich allen Lesern ein gesundes Neues und viel Spaß in 2008 (lieber spät als nie, bin die Tage erst aus dem Skiurlaub eingetroffen ). Natürlich wird das Admin-Blog auch 2008 weiterleben und euch mit mehr oder weniger tollem Tech-Talk erfreuen. Kommentare/Anregungen sind natürlich weiterhin erwünscht, gern helfe ich bei Fragen auch weiterhin per Mail weiter oder gebe Tipps zu meinen Artikeln.

Als erstes technisches Highlight dieses Jahr habe ich als neues Firmenhandy das "QBOWL" von Samsung bekommen, welches von Vodafone als Konkurrent für das iPhone ins Rennen geschickt wurde (siehe Bild). Ein iPhone kommt ja bekanntlich aus bereits erklärten Gründen für mich als Telefon nicht in Frage, und mein altes Nokia E61 hat mich dann doch auf Dauer genervt, vor Allem was die Ausmaße anging. Einige bezeichnen das gute Stück treffenderweise als Eiskratzer ;), aber der Funktionsumfang und die Bedienung als "Business-Handy" waren dennoch einwandfrei. Ich war also dementsprechend gespannt und ein wenig skeptisch, ob das QBOWL meine Ansprüche erfüllen kann.

Nachdem das gute Stück für 399,90 EUR in einem Vodafone-Laden ohne Vertrag, Simlock oder Netlock erworben wurde - ich will ja schließlich meine O2-Karte samt UMTS-Datentarif behalten - machte ich mich gleich ans Testen. Der Lieferumfang kann sich eigentlich sehen lassen, so fanden sich in der Packung eine 4 GByte Micro-SD-Karte samt Adapter auf SD und ein SD-USB-Kartenleser sowie Kopfhörer und offenbar eine Kabel-Freisprecheinheit, die ich allerdings noch nicht getestet habe. Das Telefon selbst wirkt technisch hochwertig, wenn auch das iPhone ein wenig "geiler" ist, ums mal so zu sagen. Das QBOWL hat auch leider nur eine Displayabdeckung aus Plastik und wird ohne Tasche bzw. Tuch ausgeliefert. Besonders das Tuch vermisst man ein wenig, da das Touch-Display sehr schnell fettig wird. Aber dank eBay sollte ich in Kürze stolzer Besitzer von Tasche+Tuch sein

Nachdem ich meine o2-Karte sowie die Speicherkarte und Akku eingesetzt hatte, konnte es losgehen. Das Vodafone-Branding im Gerät hält sich in Grenzen, man wird nur beim Start sowie im Menü durch den "Vodafone-Live" - Eintrag daran erinnert. Unschöner ist hingegen der Vodafone-Schriftzug oben auf der Vorderseite des Telefons, aber auch daran gewöhnt man sich (sieht man auf dem Bild hier nicht). Die Bedienung ist weitestgehend intuitiv, wenngleich man sich manchmal ein wenig mehr CPU-Power wünschen würde, was die Geschwindigkeit der Eingaben mit dem Finger angeht. Teilweise muss man kurz warten, bis etwas losgeht. Im Großen und Ganzen kann man das Gerät aber flüssig bedienen und nach einer Weile macht es sogar richtigen Spaß. Das Display erscheint mir sehr gut ablesbar und farbenfroh, die Kamera ist wohl eher durchschnittlich trotz ihrer 3 MP. Darauf lege ich aber sowieso keinen Wert. Wichtiger sind für mich ein guter Browser sowie Mailclient.

Nachdem ich die Vodafone-Profile durch den UMTS-Zugang von o2 ersetzt hatte, kam ich problemlos ins Netz. Die Geschwindigkeit via UMTS ist sehr angenehm, HSDPA ist via o2 hier in Dresden leider noch nicht verfügbar. Nicht gerade ein Grund, den Vertrag zu verlängern oder o2 weiterzuempfehlen, aber vielleicht tut sich da ja was dieses Jahr. Zu meiner Freude funktioniert das "eingebaute" Google-Maps ebenfalls problemlos mit o2, nur der modifizierte Opera-Mini verabschiedet sich permanent mit Timeouts. Ich benutze allerdings lieber den eingebauten Browser (NetFront 3.4 von ACCESS), der problemlos funktioniert. Die Seiten werden zügig geladen und ordentlich dargestellt. Der Mailclient ist ein wenig unausgereift, so gibt es z.B. nur einen globalen Posteingang für alle Konten. Auch TLS-Auth für SMTP wird offenbar nicht unterstützt, so dass ich auf meinem Postfix-Mailserver smtpd_tls_auth_only=yes auskommentieren musste. Etwas unschön und nicht sehr zeitgemäß - das Nokia hatte damit keinerlei Probleme. SSL wird hingegen unterstützt. Sinnlos finde ich die Begrenzung von Mails auf 2048 Byte - das reicht zwar i.d.R. aus, aber wozu eine solch unsinnige Einschränkung? Nervig ist auch, dass der Mailclient keine RFC-konformen Mails verschicken kann. Man kann also immer damit rechnen, dass die versendeten Mails im Spamassassin auf der Empfängerseite hängen bleiben. Hier mal ein Spamreport für eine normale Mail vom QBOWL aus:

X-Spam-Status: No, score=2.4 tagged_above=-1000 required=6.31
tests=[BAYES_05=-1.11, FORGED_RCVD_HELO=0.135,
FROM_EXCESS_BASE64=1.309, MIME_BASE64_NO_NAME=0.224,
MSGID_FROM_MTA_ID=1.393, SUBJECT_EXCESS_BASE64=0.449]

Der MP3-Player ist einwandfrei und auch die mitgelieferten Kopfhörer klingen nicht direkt schlecht, soweit ich das nach einem Test mit den mitgelieferten Files sagen kann. Auf der SD-Karte befanden sich nämlich 100 Songs und einige Musikvideos. Am Linux-PC wurde das Telefon als Massenspeicher via USB erkannt, so dass man problemlos weitere Songs auf die Speicherkarte laden kann. Bluetooth funktionierte ebenfalls problemlos (sowohl Filetransfer als auch Freisprechen im Auto). Die Tastatur funktioniert nach einer Weile auch richtig gut, so dass man schnell ein paar Mails tippen kann und problemlos im Web agiert. Auch der automatische Mailabruf im vorgegebenen Intervall funktioniert ebenfalls zuverlässig, leider vermisse aber die Abrufzeit-Option vom E61 (da hatte ich Mo-Fr von 8-22 Uhr), denn zwischen 22 und 8 Uhr will ich beispielsweise nicht bei jeder neuen Mail einen Alarm hören sondern schlafen. Ein 24/7 - Abruf von Mails macht für mich keinen Sinn, so dass ich diese Option wohl deaktivieren werde.

Ich finde dennoch, dass das QBOWL trotz einiger Mägel durchaus empfehlenswert ist, sowohl optisch als auch technisch. Wunder darf man natürlich nicht erwarten, aber bis auf WLAN ist eigentlich alles dran, was man von einem modernen Handy erwartet. Und das kann man vom iPhone nicht wirklich behaupten, oder? Das für mich perfekte Handy, sei es nun als Smartphone oder Sonstwas, gibt es aber leider immernoch nicht. Mein damaliger Palm Treo 650/680 war zwar schon recht nah dran, ist aber heute einfach nicht mehr zeitgemäß. So hoffe ich, dass das QBOWL mir gute Dienste leistet, bis sich mal jemand ein Herz fasst und mir das perfekte Handy entwickelt. Denn so weltfremd sind meine Ansprüche an ein solches Gerät sicher nicht ...

Nachdem ich vor einigen Tagen eine XSS-Lücke auf tchibo.de entdeckt hatte, antwortete mir der sofort informierte Support heute leider sehr unzureichend auf die Info zur Schwachstelle in der eigenen Webseite. Offenbar vermutet der Mensch im Support, dass ich das sinnlose "Stallowned"-Bild mit in meine Empfehlungs-eMail packen will. Sehr interessant, diese Vermutung

Meine Erwähnungen von "XSS-Lücke" und "Sicherheitsproblemen" wurden großzügig übersehen und ignoriert, so dass ich leider Opfer dieser Standardantwort wurde:

Sehr geehrter Herr Klikics,
[ ... ]
Die Angaben der fett markierten Felder benötigen wir, um Ihre Empfehlung bearbeiten zu können.
Diese sind bei Ihnen nicht gefüllt.

Das "eingefügte" Bild kann nicht mitgesendet werden.
[...]

Aber natürlich lasse ich nicht locker und habe erneut mit der Bitte um Weiterleitung meiner Info's an die IT geantwortet. Mal schauen, was nun zurückkommt ...

Bevor ich hier die Welt mit meinen News beglücke, soll ich brav sein und mich vorstellen meint Rob. Also: ich bins - der Tom . Im Job programmiere ich mit Perl, privat versuche ich (nicht nur) den Rob von der "Power of CSS" zu überzeugen. Mit noch wenig Erfolg .
Dabei bin ich übrigens über folgend Zeilen gestolpert:

#GeorgeWBush{
position:absolute;
bottom:-6ft;
}

Das wäre doch was fürs "globale Stylesheet"

Und wer noch was für den technikbegeisterten Opi zu Weihnachten sucht klickt hier.
seniorenland.com - hier werden die Senioren noch mal richtig übern Tisch gezogen...

In diesem Sinne schon mal
Frohes Fest

Vorgestern las ich mit Interesse den Heise-Artikel zu einer XSS-Lücke auf bundesregierung.de, wo Marcell Dietl in Blog Links zu bundesregierung.de gepostet hatte, auf dem Ex-Rambo Sylvester Stallone mit einem coolen Hemd und dem Spruch "You got STALLOWN3D" zu sehen war (Link zum Bild). Das war nach dem Fake-Rücktritt von Angela Merkel bereits die 2. Lücke auf der Website der Bundesregierung. Nunja, dass unsere Regierung nicht nur offenkundige Fehler auf ihrer Website sondern in diversen Bereichen hat, ist ohnehin schon lange klar

Alternativ zu dieser Heise-Meldung hatte ich in einem weiteren Tab meines Firefox noch den Onlineshop eines großen Kaffee- und Schnäppchen/Allesanbieters, nämlich tchibo.de, offen. Eine Skijacke hatte es mir besonders angetan, so dass ich diese gleich einem Familienmitglied per Empfehlung senden wollte. Natürlich gibts diese Funktion beim eingesetzten Shopsystem Intershop auf tchibo.de zu jedem Produkt als Option. Und natürlich werden dort (leider) die Eingaben nicht ordentlich geprüft, so dass man mit diversen Tags die tollsten Sachen auf der Tchibo-Seite machen kann. Unter Anderem kann man das coole Stallowned-Bild dort einbinden (siehe Screenshot) und Texte hinterlegen (hier: XSS ist plöt!). Das sind wahrscheinlich noch die harmlosesten Varianten, mit I-Frames und externen Javascripts kann man noch viel mehr machen, vielleicht sogar unerfahrene User zur Eingabe ihrer Kreditkartennummern usw. bewegen, wenn man massenhaft Spams mit diesen manipulierten Links raushaut. Wie einfach das geht, und dass es dort in dem Formular keinerlei Sicherheitsabfragen gibt, zeigt dieser Direktlink (keine Ahnung, wie lange der funktionieren wird), der den Nutzer direkt zu der manipulierten Seite bringt - in diesem Fall nur wieder mit dem harmlosen Bild von "Sly"

Natürlich habe ich es nicht bis auf die Spitze getrieben, sondern lieber die Betreiber über den Missstand informiert ... die Kollegen dort sollten also dringend mal die Datei /home/cvs/cvsroot/tchibo_cvs/dev/share/private/eCS/Store/templates/de/tch_de_recommendation.isml bearbeiten - witzigerweise lässt sich der absolute Pfad zum File im CVS-Repository direkt als Kommentar aus dem Quelltext auslesen (was ja eigentlich nix macht hier an der Stelle). Da kann man auch sehen, dass die Datei zuletzt am 30.11.07 bearbeitet wurde.

Leider gibt es wahrscheinlich noch tausende von Webseiten, die derartige Lücken aufweisen und sich der Konsequenzen nicht bewusst sind. Spätestens aber wenn die eigene Seite einmal für Phishing oder Ähnliches missbraucht wurde und evtl. sogar deswegen in der Presse auftaucht, werden die kleinen Lücken zu richtigen Problemen. Dabei ist es doch eigentlich recht einfach, dies zu umgehen. Eine einfache Umwandlung oder Entfernung von HTML-Tags in Eingabefeldern behebt dieses Problem beispielsweise sehr effektiv.

Update:
Im Heiseforum war ein weiteres, sehr nettes Beispiel verlinkt: XSS auf cdu.de - nur mal als Beweis dafür, dass tausende Sites betroffen sind

Seit einigen Tagen erfreut sich das admin-blog.com (also dieses Blog hier *g*) besonders großer Beliebtheit, wenn man den Stats glauben darf. Und das kann man getrost, denn die Apache-Logs werden seit Ewigkeiten von Webdruid ausgewertet und grafisch dargestellt. Probleme gab es damit noch nie und ich setze Webdruid zudem auch bei diversen anderen Projekten ein. Auf jeden Fall ging die Anzahl der "echten" Besucher am Tag von vorher ~1000, was ich für ein Non-Mainstream-Blog schon gut fand, auf beachtliche ~6000 hoch. Entweder sind das alles Spambots, die das Blog hier "überfahren", oder tatsächliche User. In den Logs sieht man nichts Üngewöhnliches, was auf massive Zugriffe von nur wenigen Quellen hindeutet.

Auf dem Graph rechts kann man das sehr gut sehen. Am 1.12. waren es noch die "normalen" rund 1000 User, dann plötzlich nahezu jeden Tag über 6000 (gelber Graph). Auch die Pageviews haben sich mehr als verdoppelt. Der PageRank des Blogs ist aber auf 4 geblieben, was ein recht guter Wert ist, wenn man "legal" arbeitet. Einige neue Rewrite-Einstellungen in letzter Zeit könnten evtl. auch der Grund sein, ich rewrite zumindest seit 3-4 Wochen alle Zugriffe immer auf www.admin-blog.com, auch die der anderen Domains linux-log.de und tuxblog.de. Wer weiss ...

Auf jeden Fall vielen Dank an die lieben Besucher, vielleicht schreibt ja mal Einer ein Kommentar - ich freue mich immer wie ein kleines Kind über jeden Kommentar/Trackback zu meinen geistigen Ergüssen;)

Wenn das mit den Zugriffen so weitergeht wirds dann langsam Zeit, dass ich hier Erotikwerbung und Casinobanner schalte.
Oder doch lieber eBay im Zusammenspiel mit AdWords?

Ich weiss, dass viele Admins "Lighty" wegen seiner teilweise höheren Geschwindigkeit dem Apache vorziehen. Leider konnten das meine Tests in der Vergangenheit nicht bestätigen. Aber man muss natürlich mehrere Szenarien probieren. Also gab ich "Lighty" erneut die Chance, sich gegen den Apache zu beweisen. Und zwar auf einem Server, der nur Suchvorschläge für die User ausgibt, ähnlich dem Prinzip auf Google Suggest. Dabei sind in unserem Umfeld ~200 Requests/sec. auf ein PHP-Script zu beantworten, welches einige SQLite Datenbanken abfragt und die Ergebnisse ausgibt. Im Grunde ein sehr einfaches Script, aber die Masse der Anfragen macht hier die Last aus. Peaks von 300-400 Requests/sec. sind durchaus möglich.

Als Umgebung kam ein Debian GNU/Linux 4.0 AMD64 (Kernel 2.6.18-4-amd64) Server mit 2 Stück Dual-Core AMD Opteron(tm) Processor 2216 HE (sagt cat /proc/cpuinfo | grep Opteron | head -n1) @ 2.4 GHz, 4 GByte RAM und 2x WD-Rapor SATA-Platten an einem 3Ware-8000 Controller zum Einsatz. Ich würde das als duchaus leistungsfähiges System bezeichnen.

Zuerst wurde Lighty via apt-get in Version 1.4.13-4etch1 samt xCache (aus Sourcen) und PHP 5.2.0-8+etch5~pu1 (eingebunden via FastCGI) installiert, was aber nicht wirklich gut funktionierte. Denn nach einigen Minuten ging die CPU-Last auf 100% und der Server reagierte nicht mehr wie gewünscht auf Anfragen. Nach einigen Recherchen im Wiki auf der HP von Lighty stieß ich dann auf den wahrscheinlichsten Grund, eine Lösung war leider nicht zu finden. Seltsamerweise trat das Problem in der anschließend von Hand kompilierten Version 1.4.18 nicht mehr auf, so dass der Server ca. 24 Stunden unter Last durchlaufen konnte. Die Load bewegte sich bei 3.x im Schnitt und alle Anfragen wurden schnell beantwortet. Allein die Prozessanzahl war mit mehreren hundert PHP-Prozessen etwas hoch (8 Lighty-Prozesse mit je 64 PHP-Prozessen waren konfiguriert), was aber kein Problem war. Änderungen an der Anzahl der PHP-Prozesse brachten keinerlei Veränderungen an der Last.

Nun konnte der Apache in Version 1.3.34-4.1 (Debian-Paket) samt PHP-Modul libapache-mod-php5 in Version 5.2.0-8+etch5~pu1 zum Einsatz kommen. Statt xCache habe ich hier den eAccelerator v0.9.5.2 aus Sourcen zum Einsatz gebracht. Die Konfiguration gefiel mir sowieso deutlich besser also bei Lighty, schließlich kenne und benutze ich Apache seit vielen Jahren. Auch scheint mir das Finetuning hier etwas genauer möglich zu sein, zumindest was KeepAlive etc. angeht. Das KeepAliveTimeout wurde also auf 5 sec. gesetzt, MinSpareServers auf 15, MaxSpareServers auf 25 - die anderen Werte habe ich nicht verändert. Der Apache läuft nun seit rund 48h im Dauertest und hat eine mittlere Load von 2.x. Alle Anfragen werden ebenfalls problemlos beantwortet. Außerdem ist die Prozessanzahl deutlich geringer, da für PHP als Modul keine FastCGI-Prozesse "gespawnt" werden müssen wir bei Lighty.

In beiden Webservern wurde übrigens alle überflüssigen (also quasi alle ausser fcgi bzw. PHP) Module für den Test deaktiviert. Abschließend kann ich nur sagen, dass ich hier erneut keinen Vorteil für Lighty verbuchen kann und daher Apache auf diesem Server im Einsatz bleibt. Aber vielleicht finde ich ja noch das ideale Szenario für Lighty

In der heutigen Nacht wurde ich von SMS geweckt, die ganz grauenvolle Inhalte hatten. Es war fast so, als wollten meine Server mir etwas sagen ....
Erst kamen diverse NAGIOS-Meldungen, dann habe ich auf den Servern in /var/log und via dmesg eigenartige Logeinträge gefunden.
Zu allem Überfluss fuhr sich einer der Loadbalancer selbst herunter, nachdem er komisches Zeug ins Log geschrieben hat - sowas habe ich noch nie erlebt

Aber seht selbst, hier die "Beweise" in Textform:

NAGIOS sagte:
Notification Type: PROBLEM
Service: Age
Host: robert.klikics.de
Address: 07.12.1980
State: CRITICAL
Date/Time: 2007-12-07 00:00:41
Additional Info: Age of 26 expired, Rob is getting older and older

"dmesg | grep -i rob"auf diversen Servern ergab dann:
Calibrating delay using age timer specific routine.. 27.000008 AgeMIPS (lpj=6383969)
CPU: After generic identify, caps: Rob is too old now, Error-Code: bfebfbff 20100000 00000000 00000000 0004e33d 00000000 00000001 in libAge.so

"tail /var/log/messages" auf einem Loadbalancer schaffte dann Klarheit:
Dec 7 00:22:58 LB1 -- Rob, you're too old for administrating me any longer. I want a sexy, young admin and not a 27 years old grandpa ... --
Dec 7 00:22:58 LB1 -- I'll shutdown me now until you get a young admin for me - bye grandpa! --

Broadcast message from AgeWatch@LB1 (pts/0) (Fri Dec 7 00:22:59 2007):
The system is going down for halt NOW!

Tja was soll ich sagen - man wird auch als Admin nicht jünger!

Ich dachte ja immer, unsere Firmenseite hat mit Peaks von 500 Reqs/sec. schon sehr viele Besucher, aber Wikipedia toppt alles von mir bisher Gesehene mit Peaks von ~50.000 Requests/sec. Das ist einfach nur Wahnsinn. Aus der Jahresgrafik (siehe unten) kann man auch sehr schön sehen, wie der Traffic immer weiter ansteigt - ein Ende scheint nicht in Sicht. Da werden die DB-Server und Squid's wohl ordentlich schwitzen. Aber es wird bald Nachschub geben, von den geplanten 4,6 Mio. Ausgaben im nächsten Jahr sollten laut Heise 2,5 Mio. für Server und deren Administration ausgegeben werden.

Aktuell rennen laut http://de.wikipedia.org/wiki/Wikipedia:Server insgesamt 341 Maschinen für die Wikipedia. Im Verhältnis zu den Usern/Requests eigentlich eine winzige Zahl. Mit gutem Caching kann man offenbar sehr viel erreichen. Google hat da schnell mal das Tausendfache an Servern, was wahrscheinlich nicht einmal reicht. Laut einem Voting liegt deren Serverbestand um die 1,2 Mio - Genaues weiß man allerdings nicht. Ich tippe auf ~500.000, da ich diese Zahl schon öfter gelesen habe

Hier noch die RRD-Graphs der Wikipedia-Requests:

Hier mal ein lustiger Beitrag, der meiner Meinung nach ganz nett die diversen Betriebssysteme/Gesinnungen darstellt (sorry, das Thumbnail ist ein wenig klein, da das Bild so breit ist):


        ^^^^^^^^^^ ----> da auf das Pic klicken (hey, das ist das erste Mal, dass ich "^" produktiv einsetze, außer in RegExp oder Chat-Sessions *g*)

Besonders gut gefällt mir ja der Vista-Typ, aber natürlich sind auch GNU und Linux irgendwie treffend dargestellt

Hoffentlich bekomme ich für das Bild nicht wieder eine Abmahnung bzgl. Urheberrechtsverstoß samt Forderungen in astronomischen Höhen wie damals vor einem Jahr für diesen bekloppten 16-Bit Rechner, der aus einem Bierkasten gebastelt wurde! Solltest Du, lieber unbekannter geistiger Erzeuger dieses coolen Bildes, ein Problem mit der Darstellung hier haben, lass es mich bitte wissen. Vorzugsweise per Mail und nicht, wie der andere Experte damals, per Brief von einem bekannten Anwalt. Vielen Dank