Umgang mit Sicherheitslücken ZombieLoad / MDS

  • Wir können leider nicht zu 100% den genauen Zeitpunkt nennen. Da die Reboots aber nacheinander stattfinden, stellen wir hier sicher das sie nicht genau zusammen stattfinden. In dem Zeitfenster haben wir ja eine kleine Zeitspanne für die eigentliche Nichterreichbarkeit genannt.

    Entgegen der Darstellung in einigen Beiträgen hier sollen meine beiden RS 500 (selbes Produkt) in einem sich überschneidenden Zeitfenster neu gestartet werden. Ironischerweise habe ich tatsächlich vor, beide zu einem Cluster zusammenzuschalten, was in diesem Fall aber leider nicht helfen wird. Die Server IDs kann ich bei Bedarf gerne mitteilen, die beiden Zeitfenster sind


    Diesmal habe ich mehr Glück mit meinen Zeiten (Abstand von mehreren Stunden bzw. Tagen zwischen den Servern) als beim letzten Update und die Vorlaufzeit ist auch deutlich länger (hatte das letzte Mal nicht ganz 24 Stunden, diesmal sind es mehrere Wochen) - dafür schon mal ein großes Danke an Netcup :-)


    Ich hatte beim letzten Update fast das gleiche Problem wie rbrt.mrz - der Abstand zwischen meinen Servern betrug exakt 10 Minuten - das ist auch mit einem HA-Cluster (wie in unserem Fall) ein Risiko. Zur Sicherstellung der Datenintegrität braucht man in bestimmten Fällen N/2 + 1 Nodes in Betrieb.


    Der Neustart dauert ca. 5-7 Minuten, d.h. für den Rebalance bleiben 3-5 Minuten bevor die nächste Node runter fährt - das kann zu wenig sein und wenn das der Reihe nach so geht, kann es passieren, dass man am Ende mit weniger als N/2 + 1 Nodes mit aktuellem Datenbestand dasteht.


    Wir mussten deshalb beim letzten Update einige zusätzliche Cloud-Server für die Zeit der Wartung anmieten und unseren HA-Cluster vergrößern, damit die Netcup Nodes weniger als N/2 Nodes darstellen.


    Das wäre zwar am Ende nicht notwendig gewesen, da die Reboots sofort am Beginn des Zeitfensters erfolgt sind (und auch nur wenige Minuten dauerten) aber Vorsicht ist nun mal besser als Nachsicht.


    @ felix

    Wie bereits beim letzten Mal erwähnt, vielleicht kann man den Algorithmus dahingehend optimieren, dass zwischen Nodes des gleichen Kunden in der gleichen Generation zumindest 20-30 Minuten liegen - das sollte für (fast) jede Art von HA-Clustern reichen.

  • Wenn ich jetzt mir ein Server bestelle, dann wird der doch schon auf einem aktualisiertem Hostsystem laufen oder?


    Ich wünschte mir auch so sehr, dass die Infrastruktur es hergeben würde, dass Server nur von einem Virtualisierungshost auf den anderen Verschoben werden können. Wie schon peda geschrieben hat ist es gefühlt ein bisschen Glückspiel, selbst wenn man halbwegs redundant aufgestellt ist.
    Ich bin deshalb auch schon am Auslagern von einigen Diensten, da Netcup mir nicht die Redundanz geben kann, die ich eigentlich brauche. (Und das fällt mir schon schwer, da netcup für mich "DER" Hoster ist, den ich mir immer gewünscht habe.

  • mipapo

  • super handling - einfach mal den server rebooten... für das nächste mal:


    wie wäre es mit einem reminder?

    wie wäre es mit einem backup?`

    wie wäre es mit einem "snapshot"?

    wie wäre es wenn danach noch was sauber funktionieren würde?


    mein system hat es total verhauen - und der letzte neustart war erst ein paar tage her, also spart euch bitte kommentare in diese richtung.


    komme nicht mal mehr via kvm sinnvoll drauf... wow Klasse!

  • sysbug

    Du bist lt. den AGBs selbst für deine Daten und Backups verantwortlich.

    Direkt nach dem Neustart, wenn alle VPS des Bodens hochfahren, kann der Host durchaus überlastet sein, was einige Dienste nicht richtig starten lässt. Ein Neustart sollte das richten.

    Habe außerdem im Kopf, was du hier bezahlst und was du bei der Konkurrenz bezahlst.

    Und außerdem bist du selbst dafür verantwortlich, das alles funktioniert, netcup hat bestimmt nicht an deinem Server Veränderungen vorgenommen.

  • wie wäre es mit einem reminder?

    Hast Du keine E-Mail erhalten? Vor ca. drei Wochen wurden von donotreply@netcup.de Nachrichten mit dem Betreff "Information zum Server vXXXXX" verschickt.

    wie wäre es mit einem backup?`

    Die hast Du hoffentlich selbst. Völlig unabhängig von den AGB, sollte man Backups bei wichtigen Daten regelmäßig anfertigen.

    wie wäre es mit einem "snapshot"?

    Snapshots werden auf dem gleichen Speichermedium, wie Deine virtuelle HDD erstellt. Diese ersetzen kein Backup!

    wie wäre es wenn danach noch was sauber funktionieren würde?

    Wenn Du Hilfe mit Deinem System brauchst, erstelle bitte ein neues Thema und beschreibe Dein Problem: https://forum.netcup.de/thread-add/6/

    komme nicht mal mehr via kvm sinnvoll drauf...

    Du meinst die VNC-Konsole im SCP? Was genau passiert, oder eben nicht?

    […] also spart euch bitte kommentare in diese richtung.

    Gerne, aber der Ton macht die Musik! ;)

  • Hast Du keine E-Mail erhalten? Vor ca. drei Wochen wurden von donotreply@netcup.de Nachrichten mit dem Betreff "Information zum Server vXXXXX" verschickt

    du weist was ein "reminder" ist? okay nochmal auf deutsch: eine erinnerung


    Die hast Du hoffentlich selbst. Völlig unabhängig von den AGB, sollte man Backups bei wichtigen Daten regelmäßig anfertigen.

    ja hab ich - danke der nachfrage


    Snapshots werden auf dem gleichen Speichermedium, wie Deine virtuelle HDD erstellt. Diese ersetzen kein Backup!

    danke - war mir bekannt


    Wenn Du Hilfe mit Deinem System brauchst, erstelle bitte ein neues Thema und beschreibe Dein Problem: https://forum.netcup.de/thread-add/6/

    nein danke, ich komme ganz gut zurecht


    Du meinst die VNC-Konsole im SCP? Was genau passiert, oder eben nicht?

    ja in fachkreisen nennt man das allgemein auch KVM oder ilo. es ist keine anzeige oder eingabe möglich, versch. browser und zwei OS verwendet - keine funktion

    Gerne, aber der Ton macht die Musik! ;)

    danke für deine mühe - aber hat mir nicht geholfen :thumbup:

  • sysbug Wenn du von irgendjemanden Hilfe willst, dann würde ich Mal einen höflichen Ton empfehlen. I'm out.


    Aber wenn wir schon Mal in diesem Ton sind: Wenn du es nicht auf die Reihe bekommst, nach der Reboot-Ankündigung dir das in den Kalender (egal ob digital oder "analog") zu schreiben, dann weiß ich auch nicht

  • du weist was ein "reminder" ist? okay nochmal auf deutsch: eine erinnerung

    Ja, ist mir bekannt. Mir war nur nicht bewusst, dass man von seinem ISP weitere Erinnerungen erwartet. Das habe ich (bei solchen harmlosen Ereignissen) bisher weder offline noch online erlebt. Einige Kunden wären, insbesondere jene mit vielen Servern, sicherlich durch weitere E-Mails genervt.


    Außerdem wäre es durchaus möglich gewesen, dass Du diese E-Mail nicht erhalten hast. Das war nach dieser Einleitung meine logische Schlussfolgerung:

    super handling - einfach mal den server rebooten...

    danke für deine mühe - aber hat mir nicht geholfen :thumbup:

    Wie bereits geschrieben, bei konkreten Problemen kannst Du gerne einen Thread eröffnen! :-)


    Du befindest Dich hier in einem Forum, in dem zu 99% ebenfalls "nur" Kunden unterwegs sind. Wir können Dir somit nur allgemeine Tipps geben und haben auch keinen Einfluss auf das Handling der Reboots. Wenn Du netcup direkt erreichen möchtest, sende Dein Feedback bitte an den Support: https://www.netcup.de/kontakt/

  • @timkoop


    danke für den ratschlag - hat mir nicht geholfen und schade das du auf meine frage welche direkt an dich ging nicht mehr antworten willst

    danke für den tipp mit dem kalender - soll aber auch leute geben die "sowas" mal vergessen oder eine weile keine zeit haben. private umstände usw. - offline


    p.s. @lle die jetzt auf forums-engel machen wollen - ich habe euch nicht um hilfe gebeten - also fühlt euch nicht angegriffen deswegen. ging nur darum etwas anzumerken wie das ggf. in zukunft besser gemacht werden kann. es gab ja nicht mal einen hinweis im ccp und allein das ist schon traurig. ich habe schon ein ticket entsprechend offen und werde dem support das gleiche sagen - sofern er mal antwortet. wie gesagt ihr könnt euch jetzt gerne weiter aufplustern, aber rechnet bitte mit einer nicht ernstgemeinten antwort :)

  • Ja, ist mir bekannt. Mir war nur nicht bewusst, dass man von seinem ISP weitere Erinnerungen erwartet. Das habe ich (bei solchen harmlosen Ereignissen) bisher weder offline noch online erlebt. Einige Kunden wären, insbesondere jene mit vielen Servern, sicherlich durch weitere E-Mails genervt.

    empfinde ich nicht so - aber da hat wohl jeder andere vorstellungen von support


    Außerdem wäre es durchaus möglich gewesen, dass Du diese E-Mail nicht erhalten hast. Das war nach dieser Einleitung meine logische Schlussfolgerung:

    Wie bereits geschrieben, bei konkreten Problemen kannst Du gerne einen Thread eröffnen! :-)

    ich habe die email am 23.06. erhalten - danke der nachfrage, alles gut. wie bereits weiter oben beschrieben finde ich nur die gangart von netcup hier nicht sonderlich kundenfreundlich - manche vergessen das nicht jeder jeden tag vor dem rechner sitzt oder seine server im auge hat. und ja sorry ich hatte mir kein monitoring gebaut der mich daran erinnert... mein fehler... hätte ich nur mal...


    Du befindest Dich hier in einem Forum, in dem zu 99% ebenfalls "nur" Kunden unterwegs sind. Wir können Dir somit nur allgemeine Tipps geben und haben auch keinen Einfluss auf das Handling der Reboots. Wenn Du netcup direkt erreichen möchtest, sende Dein Feedback bitte an den Support: https://www.netcup.de/kontakt/

    da netcup diese möglichkeit herrvorhebt um nach support zu fragen landen dann auch solche "ärsche" wie ich hier und schreien mal darauf los. kontakt zu netcup ist aufgebaut, aber seit ca. 2h keine Rückmeldung. da scheint es hier wohl mehr leute zu geben die hier mehr zeit haben privat als manche kollegen von NC@job

  • Meine Bedenken waren unbegründet. Mein Mailcluster hatte ein ein relativ schmales Zeitfenster hintereinander. Jedoch waren zwischen den Neustarts der beiden Systeme knapp 45 Minuten Zeit :). Mein Cluster hat also ohne Ausfall überlebt :)

  • da netcup diese möglichkeit herrvorhebt um nach support zu fragen landen dann auch solche "ärsche" wie ich hier und schreien mal darauf los. kontakt zu netcup ist aufgebaut, aber seit ca. 2h keine Rückmeldung. da scheint es hier wohl mehr leute zu geben die hier mehr zeit haben privat als manche kollegen von NC@job

    Warum eskalierst du es dann nicht via Notfall Hotline? :o

    Also in dem Sinne verstehe ich die Aufregung nicht. Wenn es ein Problem gibt, dass im Zuständigkeitsbereich von netcup liegt und außerhalb der regulären Arbeitszeiten auftritt, Mail schreiben und bei Dringlichkeit anrufen.


    Und wenn dein Server so wichtig ist, verstehe ich auch nicht, warum man eine Erinnerung braucht, oder das System nicht redundant ausgelegt ist. :o


    Hübsch und nett wäre die Anzeige der Reboot Zeitfenster im CCP und/oder SCP, aber die zwingende Notwendigkeit erkenne ich da nicht.

  • @chrko


    mir ist mein server wichtig - wieso weshalb warum ist egal - ich schaue das er läuft, up2date ist und nach einem reboot entsprechend wieder hochfährt...


    aber sorry mich kotzt es an wenn dann nach so einem patch teilweise mein system kaputt ist


    notfall würde ich das nicht nennen - aber verschwenden meiner lebenszeit. ich habe weder kunden noch sonstiges was einen "notfall" rechtfertigen würde. aber ich bin nun mal kein fan davon wenn man dafür sorge trägt das sein system läuft und "der servicedienstleister" ihn dann bei der wartung kaputt macht. findest du es schön wenn du dein auto zum service bringst und danach ist mehr kaputt als vorher? ja stimmt, du hast bestimmt ein zweites auto... :)


    *UPDATE*


    okay die "KVM" funktioniert... man muss nur einmal raus oder rein zoomen. mein gott bin ich ein idiot das ich das nicht selbstverständlicherweise sofort selber gemerkt habe ;( vielleicht sollte ich keinen server betreiben wenn ich mich damit nicht auskenne? :(


    zum thema info im ccp/scp hinweis: die jobanzeige kann man da ja auch schick einbinden - also mein anspruch als dienstleister bzw. ISP wäre es solche infos meinem kunden immer verfügbar und ersichtlich zu machen. als beispiel nehme ich da gerne züge/s-bahnen: die leute sind beruhigter wenn sie informationen zu einem ausfall oder eine verspätung haben. die haben sie lieber als "dumm" am bahnsteig zu stehen und die mitarbeiter am schalter anzumachen und nachzufragen was nun los sei.


    aber naja... nicht jeder hat kundenfreundliche ansprüche an sich selber... :)


    mal sehen ob ich meine zeug wieder zum laufen bringen kann, ansonsten werde ich mich einfach nach einem anderen dienstleister umsehen. war jahre lang gerne kunde und hab es nie für nötig gehalten mich im forum zu "beschweren" oder dergleichen - aber wenn gepfuscht wird, man nur 0815-floskeln als antwort vom support bekommt und man dann da unnötig zeit rein investieren muss ist es mir wert hier auch mal etwas schlechte luft zu verbreiten.

  • Meine Reboots sind jetzt alle durch, hat gut geklappt.

    Beim Optane-Server hing Docker (genauer gesagt der Elastic Stack) wieder mal, nach einem erneuten manuellen Reboot war wieder alles grün.

    CentOS 7 / nginx / php-fpm / postfix / rspamd / clamav / dovecot / nextcloud running on RS 1000 SSDx4 G8 / VPS 500 G8 / VPS 2000 G8 Plus