Beiträge von Talion

Ich gehe davon aus, dass davon auch hier die Rede ist: Kernelupdate am 24.01.2012

Das interessiert mich übrigens ebenfalls; ich hatte gehofft, hier würde sich mal jemand von Netcup äußern.. Wenn Netcup z.b. nachweisen könnte, dass es den Strom von einem der vier echten Ökostromanbieter (EWS, Lichtblick, Naturstrom, Greenpeace energy) bezieht, wäre das ein überzeugendes Argument für Netcup, das man auch werbewirksam einsetzen könnte.

Wie steht es eigentlich um die Firewall API? Hab im Wiki und im Forum nichts aktuelles dazu gefunden.
Firewall des netcup VCP – netcup Wiki Hier steht gar nichts dazu
Virtualisierungseinschränkungen – netcup Wiki (Hier gibts nur Stand Juni 2011)

Eine Import/Export Funktion für die Firewall-Regeln im VCP wäre übrigens auch praktisch.

Was SOPA/PIPA ist und warum es jeden Internetnutzer betrifft: PROTECT IP Act Breaks the Internet
Was man (als Webseiten-Betreiber) dagegen tun kann: STRIKE AGAINST SOPA

Zitat

On Jan 24th, Congress will vote to pass internet censorship in the Senate, even though the vast majority of Americans are opposed. We need to kill the bill - PIPA in the Senate and SOPA in the House - to protect our rights to free speech, privacy, and prosperity. We need internet companies to follow Reddit's lead and stand up for the web, as we internet users are doing every day.

Weitere Informationen:
Amerikanischer Gesetzentwurf „Sopa“: Fragen Sie Ihren Arzt oder Informatiker - Debatten - FAZ

Zitat

Die Operation ist unter dem Akronym „Sopa“ bekannt geworden. Der Stop Online Piracy Act soll dem illegalen Angebot von Filmen, Spielen, Büchern und Musikaufnahmen im Internet, aber auch dem illegalen Medikamentenhandel endlich einen wirksamen Riegel vorschieben. Der Weg: Neben der Blockade Urheberrechte verletzender Domains aus dem Inland sollen nach Gerichtsbeschluss auch die Unternehmen in die Pflicht genommen werden können, die mit solchen Domains aus dem Ausland in Verbindung stehen - sei es, dass sie Werbung für amerikanische Nutzer auf diesen Seiten verkaufen, Bezahlsysteme anbieten, die über diese Seiten genutzt werden, oder Suchmaschinen betreiben, die auf solche Seiten verweisen. Domaininhaber müssen nachweisen, dass sie Urheberrechtsverletzungen auf ihren Seiten verhindern - was die Betreiber von Youtube oder Vimeo vor ernsthafte Probleme stellt und vor die Frage, wie mit all den kleinen Urheberrechtsverletzungen zu verfahren ist, die als Teil der digitalen Fan-Kultur eigentlich bislang geduldet werden: von Amateurmusikern nachgespielte Stücke ihrer Idole, zum Spaß neu synchronisierte Filmausschnitte oder Persiflagen.
...
Auch auf der anderen Seite stehen Giganten: Google, Facebook und Twitter zählen zu den prominenten Gegnern des Gesetzes, dazu Aktivistenverbände wie die Electronic Frontier Foundation und Graswurzelprojekte wie Wikipedia. Sie sorgen sich um die Meinungsfreiheit, die mit Sopa wirkungsvoll beschnitten werde, auch wenn der Gesetzestext mit der Feststellung beginne, die Meinungs- und Pressefreiheit dürfe keinesfalls beeinträchtigt werden. Sergey Brin, einer der Gründer von Google, meint, mit Sopa stelle sich Amerika auf eine Stufe mit den repressivsten Ländern der Welt.

Stop Online Piracy Act – Wikipedia

Zitat

Das Gesetz würde es dem US-Justizministerium und Copyright-Inhabern erlauben, gerichtliche Verfügungen gegen die Betreiber von Internetseiten zu beantragen, die einen Verstoß gegen das US-amerikanische Copyright darstellen. Den Zweck der Maßnahme wählt der Antragsteller. Zum Beispiel kann eine Verfügung Werbeagenturen und Bezahldiensten die Zusammenarbeit mit Inhabern betroffener Internetseiten untersagen und so das Tätigen weiterer Geschäfte verhindern.

Auch das Anzeigen der Internetseite in Suchmaschinen könnte blockiert werden. Durch das Gesetz würde das Herunterladen geschützter Inhalte zu einer schweren Straftat. Denjenigen Internetprovidern, die gegen vermutlich rechtswidrige Internetseiten vorgehen, würde Straffreiheit gewährt.
...
Gegner erklärten, es handele sich um eine Zensur, die das Internet knebeln werde. Außerdem sei das Gesetz nicht mit dem Grundrecht der Meinungsfreiheit vereinbar, da es das Whistleblowing entscheidend erschwere oder praktisch unmöglich mache.

sopa » netzpolitik.org
Stop Online Piracy Act - Wikipedia, the free encyclopedia
List of Those Expressing Concern With SOPA & PIPA | Center for Democracy & Technology

http://mon.itor.us/
http://mywebcheck.com/

Testen in der kostenlosen Version glaube ich je alle 10 Minuten die gewünschten Ports und geben ein paar Statistiken aus. Beide in Kombination + ggf. noch Munin auf deinem US-Server (was heißt für dich eigentlich billig?) sollte dann ja eigentlich zuverlässig genug sein.

Heute nacht wurde mein Server umgezogen, seitdem sieht die CPU usage etwas spannend aus. Normalisiert sich das wieder, oder sind da nun mehr Vserver auf einem Host?

http://forum.netcup.de/showthread.php?p=31069#post31069

ich habe nun eine Lösung gefunden, die zwar nicht optimal aber machbar ist.

Meine erste Reaktion war, soft_bounces=yes zu setzen. Damit verbleiben allerdings alle Bounces in der Queue; dort kann ein Script unrechtmäßige Bounces löschen und alle regulären Bounces releasen, damit sie verschickt werden.
Besonders schön ist das aber nicht, daher habe ich weitergesucht und festgestellt, dass ich nicht der erste bin, der feststellt, dass man jedes normal konfigurierte Postfix als Spamschleuder verwenden kann: http://forum.spamcop.net/forums/index.php?showtopic=10734

Meine momentane Lösung sind nun header_checks:

/etc/postfix/main.cf:

header_checks = regexp:/etc/postfix/config/headerchecks
nested_header_checks =

/etc/postfix/config/headerchecks:

/^Delivered-To:.*@(lokaledomain1\.de|lokaledomain2\.de)/ WARN/DISCARD/REDIRECT Delivered-To $1 Exploit

Schöner wäre es, wenn man die header_checks in der master.cf nur für smtp (smtpd -o header_checks=...) definieren könnte, aber das ist nicht trivial, da sich nur cleanup darum kümmert, nicht smtp. Für meine Zwecke reicht es so.

Die größere Frage wäre, ob man das nicht eigentlich als Bug in Postfix ansehen muss. Schließlich schickt Postfix grundsätzlich Bounces an die potentiell gefakete "Mail From"-Adresse, sobald der passende Delivered-To-Header enthalten. Das ist genauso falsch wie wenn man allen anderen Spam als Bounce an den (gefälschten) Absender zurückschickt.

Hallo,

auf meinem Debian-Vserver läuft seit langem Postfix und funktioniert soweit auch wunderbar. Heute ist mir jedoch eine Möglichkeit aufgefallen, wie man meinen Server dennoch verwenden kann um Backscatter-Spam zu produzieren. Vielleicht kann mir hier jemand sagen, wie ich das unterbinden kann.

talion...@caldron.de ist eine gültige Adresse auf meinem Server
talion...@gmail.com ist meine gmail-Adresse. Es könnte aber jede beliebige andere Adresse angeben werden. Diese erhält dann Backscatter-Spam von meinem Server.

Erstmal ein Testlauf bei dem alles ist wie es sein soll:

$ telnet caldron.de smtp
Trying 78.46.117.60...
Connected to caldron.de.
Escape character is '^]'.
220 netcup.caldron.de ESMTP Postfix
HELO spamtest
250 netcup.caldron.de
MAIL FROM:talion...@gmail.com
250 2.1.0 Ok
RCPT TO:talion...@caldron.de
250 2.1.5 Ok
DATA
354 End data with <CR><LF>.<CR><LF>
Date: Mon,  7 Feb 2011 21:40:44 +0100 (CET)
From: talion...@caldron.de
Subject: spam test
To: talion...@caldron.de




hallo welt
.
250 2.0.0 Ok: queued as 7C6FB2B811E7
QUIT
221 2.0.0 Bye

Die Mail kommt auf meinem Server im Postfach talion...@caldron.de an, keinerlei Probleme.

Der folgende Versuch enthält exakt die selben Daten, nur dass ich nach DATA die Zeile "Delivered-To: talion...@caldron.de" einfüge. Ich behaupte also, die Mail wäre bereits irgendwann mal auf meinem Server angekommen, so dass Postfix denkt, ein Mail Loop würde entstehen. Deshalb bounct Postfix die Mail, so dass eine unbeteiligte Adresse (nämlich talion...@gmail.com) von meinem Server eine Bounce-Mail erhält. Das entspricht der Definition von Backscatter-Spam.

$ telnet caldron.de smtp
Trying 78.46.117.60...
Connected to caldron.de.
Escape character is '^]'.
220 netcup.caldron.de ESMTP Postfix
HELO spamtest
250 netcup.caldron.de
MAIL FROM:talion...@gmail.com
250 2.1.0 Ok
RCPT TO:talion...@caldron.de
250 2.1.5 Ok
DATA
354 End data with <CR><LF>.<CR><LF>
Delivered-To: talion...@caldron.de
Date: Mon,  7 Feb 2011 21:40:44 +0100 (CET)
From: talion...@caldron.de
Subject: spam test
To: talion...@caldron.de




hallo welt
.
250 2.0.0 Ok: queued as A41162B811C2

Diese Mail kommt NICHT in meinem Postfach an, aber dafür folgende Bounce Message bei Gmail:

Delivered-To: talion...@gmail.com
Received: by 10.213.98.72 with SMTP id p8cs68947ebn;
        Mon, 7 Feb 2011 12:55:00 -0800 (PST)
Received: by 10.213.30.5 with SMTP id s5mr2424137ebc.44.1297112099678;
        Mon, 07 Feb 2011 12:54:59 -0800 (PST)
Return-Path: <>
Received: from netcup.caldron.de (caldron.de [78.46.117.60])
        by mx.google.com with ESMTPS id q52si9134083eeh.30.2011.02.07.12.54.59
        (version=TLSv1/SSLv3 cipher=RC4-MD5);
        Mon, 07 Feb 2011 12:54:59 -0800 (PST)
Received-SPF: pass (google.com: domain of netcup.caldron.de designates 78.46.117.60 as permitted sender) client-ip=78.46.117.60;
Authentication-Results: mx.google.com; spf=pass (google.com: domain of netcup.caldron.de designates 78.46.117.60 as permitted sender) smtp.mail=
Received: by netcup.caldron.de (Postfix)
	id 29D8A2B811EA; Mon,  7 Feb 2011 21:54:59 +0100 (CET)
Date: Mon,  7 Feb 2011 21:54:59 +0100 (CET)
From: MAILER-DAEMON@netcup.caldron.de (Mail Delivery System)
Subject: Undelivered Mail Returned to Sender
To: talion...@gmail.com
Auto-Submitted: auto-replied
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
	boundary="1D59D2B811EB.1297112099/netcup.caldron.de"
Message-Id: <20110207205459.29D8A2B811EA@netcup.caldron.de>




This is a MIME-encapsulated message.




--1D59D2B811EB.1297112099/netcup.caldron.de
Content-Description: Notification
Content-Type: text/plain; charset=us-ascii




This is the mail system at host netcup.caldron.de.




I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.




For further assistance, please send mail to postmaster.




If you do so, please include this problem report. You can
delete your own text from the attached returned message.




                   The mail system




<talion...@caldron.de>: mail forwarding loop for talion...@caldron.de




--1D59D2B811EB.1297112099/netcup.caldron.de
Content-Description: Delivery report
Content-Type: message/delivery-status




Reporting-MTA: dns; netcup.caldron.de
X-Postfix-Queue-ID: 1D59D2B811EB
X-Postfix-Sender: rfc822; talion...@gmail.com
Arrival-Date: Mon,  7 Feb 2011 21:54:59 +0100 (CET)




Final-Recipient: rfc822; talion...@caldron.de
Action: failed
Status: 5.4.6
Diagnostic-Code: X-Postfix; mail forwarding loop for talion...@caldron.de




--1D59D2B811EB.1297112099/netcup.caldron.de
Content-Description: Undelivered Message
Content-Type: message/rfc822




Received: by netcup.caldron.de (Postfix, from userid 6666)
	id 1D59D2B811EB; Mon,  7 Feb 2011 21:54:59 +0100 (CET)
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on netcup.caldron.de
X-Spam-Level: 
X-Spam-Status: No, score=0.6 required=2.6 tests=AWL,RCVD_IN_PBL
	autolearn=disabled version=3.2.5
X-Original-To: talion...@caldron.de
Received: from spamtest (i59F5EBBE.versanet.de [89.245.235.190])
	by netcup.caldron.de (Postfix) with SMTP id A41162B811C2
	for <talion...@caldron.de>; Mon,  7 Feb 2011 21:54:42 +0100 (CET)
Delivered-To: talion...@caldron.de
Date: Mon,  7 Feb 2011 21:40:44 +0100 (CET)
From: talion...@caldron.de
Subject: spam test
To: talion...@caldron.de
Message-Id: <20110207205446.A41162B811C2@netcup.caldron.de>







--1D59D2B811EB.1297112099/netcup.caldron.de--

Das sollte natürlich nicht so sein. Aber wie unterbindet man das? Es gibt ja auch gerechtfertigte Bounce-Messages bei Mail Loops, daher ist deaktivieren aller Loop-Bounces oder gar deaktivieren sämtlicher Bounces sicherlich nicht die ideale Lösung.

Danke für eure Hilfe,

Hannes

http://talion.caldron.de/2011/01/sar23
sar loggt bei mir normalerweise im 3 Minuten Takt, etwas genaueres hab ich für den Tag leider nicht. Auffällig ist aber, dass der 3 Minuten Takt nicht eingehalten wird, sondern von 21:40 uhr auf 21:45 gesprungen wird und dann wieder 21:46 Uhr. Das passt zum Peak in der Munin-Grafik; zu dem Zeitpunkt ging für mehrere Minuten absolut gar nichts mehr, da konnte ich auch keine detaillierten Messungen starten. (Zumal ich damit die Auslastung noch in die Höhe getrieben hätte).

Wenns wieder vorkommt, bemüh ich mich mal um eine brauchbare Datenbasis.

Die konkrete Lösung steht schon in der ersten Antwort, also ist es Unsinn zu behaupten, es wüsste keiner was zu tun ist. Schau im Manual von apt-get nach "purge" (man apt-get) bzw. im Manual von dpkg nach force (man dpkg) und installiere danach die gewünschten Pakete neu. Falls dir das nicht weiterhilft, empfehle ich, erstmal zuhause zu üben, dazu braucht man keinen konnektierten Server.

Zitat von cosmopol_b;30923

Das Diagramm von Threadsteller ist nicht aussagekräftig. Wieso?
Es ist zu grob. Es umfasst 24 Stunden. Ein Pixel darauf sind vielleicht 7 Minuten. Ich glaube kaum, dass du so lange Lags hast. Die Lags die Du meinst kann man dort nicht sehen.

Wie ich dazugeschrieben hab, kann ich auch z.b. sysstat-Output zur Verfügung stellen, da ist das deutlich detaillierter. Davon abgesehen ist der Server tatsächlich bei den Peaks für mehrere Minuten extrem langsam oder zeigt gar keine Reaktion (weder ssh noch web, imap, ftp oder sonst irgendetwas), d.h. die Grafik zeigt genau das was ich meine.
(Es geht übrigens nicht um einen Gameserver)

Welche Daten genau gebraucht werden, damit der Support feststellen kann, ob die garantierte Qualität noch gewährleistet wird, sollte der Support vermutlich am besten selbst sagen. Wobei mir nicht bekannt wäre, dass es für iowait irgendeine Garantie gäbe, aber es wird eben auch die garantierte Rechenleistung beeinträchtigt.
Damit wir vergleichbare Daten haben, wäre es auch sinnvoll, dass du (Philipp) sagst, wie du deine Messung durchgeführt hast. Meine Daten stammen von munin und sar.
In den letzten Tagen ist es aber wieder deutlich besser geworden, daher habe ich bisher auch nicht weiter nachgehakt.

Es wäre keine Hilfe, wenn dir jemand helfen würde, dieses Problem zu lösen. Es geht hier um Basiswissen, das zwingend notwendig ist, um einen Server administrieren zu können. Ein Server ist kein Spielzeug, du kannst dir ernsthafte rechtliche und finanzielle Probleme einfangen, wenn du das nicht beherrscht. Das würde nicht besser dadurch, wenn dir jetzt jemand die exakten Kommandos nennt.

Hallo,

wieviel iowait ist eigentlich normal, bzw. ab wann wäre ein nodewechsel gerechtfertigt und sinnvoll? Ich bin im allgemeinen mit meinem Vserver 1000 ganz zufrieden, aber von Zeit zu Zeit wird der Node durch hohe IO-Last mehr oder weniger außer Gefecht gesetzt.

[Blockierte Grafik: http://talion.caldron.de/2011/netcup.talion-cpu-day.png]

Bei den hohen Peaks ist keinerlei Reaktion mehr vorhanden (weder ssh noch http noch sonst irgendwas, auch das Webinterface geht dann oft nicht mehr), und bei den nicht ganz so hohen aber breiteren Peaks reagiert der Server sehr träge. Load bleibt die ganze Zeit im harmlosen Bereich, RAM-Auslastung und andere relevante Werte ebenfalls.

Bei Bedarf kann ich auch sysstat-Output zur Verfügung stellen.

Grüße,
Hannes

Das selbe Problem habe ich auch, und zwar schon bevor ich IPv6 verwendet habe.
Es tritt ebenfalls nur bei vielen kleinen Dateien auf, soll heißen, das Problem ist nicht der Durchsatz (wenn der Upload/Download einmal läuft, ist die Geschwindigkeit gut), sondern die Initialisierungsphase, muss also am Verbindungsaufbau o.ä. liegen.
Da mich das nicht sehr trifft, habe ich mir nicht die Mühe gemacht, es zu hinterfragen. Bei SFTP (über ssh) besteht das Problem nicht, rsync etc sind ebenfalls nicht betroffen.

Zitat von thomasw;27931

Wenn die Eingabe von HELP ACIDBITCHEZ folgendes ausgibt:
> Befehl: HELP ACIDBITCHEZ
> Antwort: 502 Unknown command 'ACIDBITCHEZ'
bin ich dann sicher? Falls nicht: mit welchen Schritten würde ich sonst feststellen können, ob ich tatsächlich betroffen bin? .

http://pastebin.ca/2008461
So siehts bei einem kompromittierten Server aus.

Zitat von sim4000;27784

Der Fehler existiert erst seid ProFTPd 1.3.2rc3.
Also ist die aktuelle 1.3.1-17lenny4 in Lenny nicht davon betroffen.

Zitat von [netcup] Felix;27800

Was wir allerdings gesehen haben, ist das bei ca. 5 % der vServer die Load auf über 100 gestiegen ist, sprich hier haben die Angreifer vermutlich erfolgreich die Lücke nutzen können.

Kann ich demnach davon ausgehen, dass ich (mit einem ständig aktuell gehaltenen Debian und Proftpd 1.3.1-17lenny4) ungefährdet bin, obwohl bei die Load ebenfalls auf 20 gestiegen ist? Die bei mir verzeichnete hohe CPU-Last haben also die anderen Vserver auf dem selben Node verursacht?
Außer der hohen Last habe ich keinerlei Anzeichen dafür gefunden, dass auf meinem System etwas passiert ist.
Vorsichtshalber habe ich heut morgen ohnehin schon proftpd1.3.3c kompiliert und installiert, was mich allerdings einige Mühe gekostet und ein paar Änderungen an der Konfiguration erfordert hat. Vermutlich würde die langfristige Wartung leichter, wenn ich wieder auf die Paketversion zurückdrehe.

Das würd ich dann als 3 Monate und nicht 3.5 bezeichnen
Ich fürchte, dann hilft mir das nicht, ich brauche den Server den gesamten Januar + Februar, aber danach nicht mehr.

Der Server ist bis Ende Februar bezahlt und direkt zum Laufzeitende (mit Frist von einem Monat zum Monatsende) kündbar, richtig? Dann nehme ich ihn.

Mal ganz davon abgesehen, dass googlen (und manpages lesen) meiner Meinung nach eine wichtige Qualifikation zum Administrieren ist. (Solang man sich dann nicht auf Copy&Paste Tutorials beschränkt, ohne sie zu verstehen.)
Ich würde ruhig auch Fragen einbauen, bei denen man nachlesen MUSS, selbst wenn man ein solides Basiswissen hat. Viel wichtiger als irgendwelche Kommandos auswendig zu wissen ist es doch, dass man weiß wie man vorgeht, wenn man nicht direkt weiter weiß