Posts by mightyBroccoli

    Ich hab das gleiche Problem mit Microsoft wie joergmschulz.
    Wenn ich ein Ticket einreiche mit der Nachfrage wieso meine IP geblacklisted ist, kommt nur ein "Not qualified for mitigation".
    Weiter als bis dahin bin ich allerdings auch noch nicht gekommen.

    Alle anderen "großen" Anbieter laufen ohne Probleme nur Microsoft zickt. Wenn mir jemand einen Hinweis geben kann was ich da machen könnte immer her damit.

    Also mein Redis Status Report sieht folgendermaßen aus

    Allerdings sieht mein service file bedeutend anders aus.

    Ich denke das vor allem das Problem mit den nicht beständigen readwrite permissions durch das Service file von mit geregelt werden. Schau dir das Service file an und verändere es je nach Ordner bzw Prozess Priotiät und dann sollte vieles deutlich einfacher gehen.


    Ich frage mich auch wieso /usr/local/bin/redis-server verwendet wird und nicht der klassische unter /usr/bin/redis-server? Hast du redis selbst compiliert?

    Ich hab in meiner Instanz nur zur Sicherheit auch nochmal nachgesehen und ich verwende genau diese Konfiguration wie von Ihnen gewünscht. APCu für memcache.local und redis für memcache.locking dafür verwende ich diese config.

    Code
    1. 'filelocking.enabled' => 'true',
    2. 'memcache.local' => '\\OC\\Memcache\\APCu',
    3. 'memcache.locking' => '\\OC\\Memcache\\Redis',
    4. 'redis' =>
    5. array (
    6. 'host' => '/var/run/redis/redis-server.sock',
    7. 'dbindex' => 1,
    8. 'port' => 0,
    9. 'timeout' => 0.0,
    10. ),

    Eventuell könnte der Fehler sein das in deiner config'memcache.local' => '\OCMemcache\APCu',verwendet wurde statt 'memcache.local' => '\OC\Memcache\APCu',allerdings mag es sein das Ihnen dieser Fehler bereits aufgefallen ist. Daher wäre meine zweite Vermutung das der Webuser nicht die korrekten Rechte hat einen Socket unter /tmp/redis.sock anzusprechen.

    Ich habe die Vermutung das bei mir etwas ganz schief läuft. Ausgeführt wurde der Befehl auf einem RS 2000 SAS G7 SE 12M mit dem folgenden Befehl.
    fio --randrepeat=1 --ioengine=libaio --direct=1 --gtod_reduce=1 --name=test --filename=test --bs=4k --iodepth=64 --size=4G --readwrite=randrw --rwmixread=75



    Insgesamt hat der Spaß etwas über 30 Minuten gebraucht. Kein Wunder da im Schnitt auch bloß 65 iops write drin waren. Was ist das los netcup ?

    Hallo,
    ich hoste auf einem RS 2000 SAS G7SEa1 12M einige statische Websiten sowie einige php Websiten, dazu noch eine Nextcloud einen Teamspeak und einen Prosody mit ~ 50 Usern.
    Das System ist stabli bei einem load average von 0,57 zu Spitzenzeiten 0,9 wenn die php seiten ordentlich verwendet werden.

    Leider habe ich seit einige Wochen bemerkt das ich bei kleinen file Bewegungen, zb download eines 200 mb zip über die cli und entpacken dieser direkt einen loadaverage von 10 habe und das ganze System total unter Stress steht.

    Sonst bin ich super zufrieden aber das Problem ist echt hartnäckig und ich weiß nicht woran es liegen könnte

    Code
    1. System Debian 9.1
    2. Apache 2.4.25
    3. php-fpm 7.0.20-1~dotdeb+8.1
    4. nextcloud 12 latest- stable
    5. prosody 0.1


    Grüße


    mächtiger Kohl aka mightyBroccoli

    Extrem praktisch für eine Nextcloud Installation ist eine Redis Instanz die das file locking übernimmt.

    PHP
    1. 'filelocking.enabled' => 'true',
    2. 'memcache.locking' => '\\OC\\Memcache\\Redis',
    3. 'redis' =>
    4. array (
    5. 'host' => '/var/run/redis/redis.sock',
    6. 'port' => 0,
    7. 'timeout' => 0.0,
    8. ),


    Dazu dann noch ein Caching das vermutlich von deinem nginx übernommen wird um redundante Anfragen auf statische Dateien zu beschleunigen.

    Dann sieht das erstmal ganz gut aus.

    franc I just quote myself :D thats how i roll. Schau mal bei Abusemeldung erhalten


    Ich hab bei mir auf der Firewall die Regel in der Form eingetragen:

    Für IPv6 mit:

    Code
    1. ip6tables -I INPUT -p tcp -s ::1 --dport 111 -j ACCEPT
    2. ip6tables -A INPUT -p tcp -m tcp --dport 111 -j REJECT
    3. ip6tables -A INPUT -p udp --dport 111 -j DROP

    Für IPv4 mit:

    Code
    1. iptables -I INPUT -p tcp -s 127.0.0.1 --dport 111 -j ACCEPT
    2. iptables -A INPUT -p tcp -m tcp --dport 111 -j REJECT
    3. iptables -A INPUT -p udp --dport 111 -j DROP

    Um eine NFS Share hinzuzufügen müsste die Adresse dann jeweils mit ihrer ipv4 / ipv6 Adresse freigeschaltet werden.

    Code
    1. iptables -I INPUT -p tcp -s aaa.bbb.ccc.ddd —dport 111 -j ACCEPT
    2. ip6tables -I INPUT -p tcp -s ::xyz —dport 111 -j ACCEPT

    Wichtig ist dabei nur das die Regel mit -I eingetragen wird damit das Packet nicht frühzeitig verworfen wird.

    Hallo,


    ich habe mir aus Anlass einige Skripte geschrieben die mir die Administration enorm vereinfachen, diese würde ich hier gerne vorstellen. Falls jemand Verwendung dafür hat klasse, falls Anregungen oä. entstehen sogar noch besser.


    teamspeak_log_daily_mail

    Die Idee ist das Moderatoren/ Admins selbst in kleineren Umgebungen, auf dem TS nicht immer zur Verfügung stehen. Das Skript schafft in dem Sinne Abhilfe da alle wichtigeren Dinge des Vortages leicht und übersichtlich dargestellt werden und an die Email Adresse der Wahl versendet werden kann.

    Dabei sortiert das Skript die Ereignisse so, dass Sektionen gebildet werden, Kick Nachrichten bei Kick Nachrichten usw. In der Repo ist auch einmal anschaulich abgebildet wie eine solche Email aussehen könnte.

    Die Installation ist super einfach mit cron oder anacron zu machen. Weitere Infos in der Repo mightyBroccoli/logwatch-scripts

    teamspeak_log_xmpp_push
    Die Idee zu diesem Skript ist mir klar geworden als Moderatoren auf meinem Teamspeak eine Lücke im Rechte System gefunden hatten und wild anfingen Dinge zu ändern /löschen oä.. Folglich eine gar nicht mal so geile Situation. Die Log Email hätte und hat mir alle diese Aktionen geliefert, allerdings erst am nächsten Tag, wenn ich morgens in meine Emails geschaut hätte.

    Daher musste ein Instant Messenger Notification Skript her. Dieses Skript funktioniert essentiell sehr ähnlich wie die tägliche LogMail. Es ist allerdings so designed das es theoretisch alle 15 Sekunden laufen könnte ohne das man ständig die gleichen Nachrichten bekommt. Durch eine history werden nur neue Ereignisse gesendet.

    Benötigt wird dafür auch keine eigener XMPP Server sondern bloß Zugangsdaten zu einem bestehenden Konto das auf einem x-beliebigen Server erstellt wurde als Sender und natürlich auch ein Empfänger Konto.

    Die Installation ist super einfach mit cron oder anacron zu machen. Weitere Infos in der Repo mightyBroccoli/logwatch-scripts



    Über Rückmeldung würde ich mich freuen. Für Probleme wäre es toll wenn ein Issue in der Repo erstellt würde.

    Bei Fragen stehe ich natürlich gerne zur Verfügung.

    Allerdings geht es in diesem Thread speziell um den rpcbind port 111 tcp/udp und für die Leute die die abuse mail erst vor kurzem bekommen haben ist dort der genau Zeitpunkt und die verwendete IP Adresse in der Mail genannt.

    abuse Mail wrote:

    Netcup hat damit dann aber nichts am Hut. Es gibt wie von Felix weiter oben in diesem Thread beschrieben wie gesagt gute Gründe den Port offen zu haben. Netcup kann nicht einfach hingehen und Port schließen das ist Sache der Kunden.

    in der Zukunft auch ein Teil des Logs mitgeschickt wird, in dem Informationen zu den IP-Adressen stehen, die der CERT-Bund geprüft hat. Auch hier gilt, IP-Adressen die andere Kunden betreffen, werden geschwärzt.

    @Alessandro99 den Port des rpcbind zu ändern wäre nicht der richtige Ansatz. Das Funktioniert bei ssh bots die wahllos die Weiten des Internets mapen und nach Zugängen suchen aber bei so was klappt das nicht so wirklich gut.
    Zum zweiten einige haben diese Mail bekommen. Es handelt sich dabei nicht um einen Angriff, sondern bloß um eine Benachrichtigung das, in diesem Fall der BSI, in der Lage war von Außen auf den rpcbind einzuwirken, wie auch immer. Netcup hat hier gar nichts mit am Hut, du bestellst dein Produkt und dann bist du dafür zuständig Netcup hat seinen Dienst damit getan das die Benachrichtigung weitergeleitet wurde und du als Besitzer das bemerkst.
    [netcup] Felix P. Ich hoffe das war so richtig. Sonst Schande über mein Haupt.

    Ich hab bei mir auf der Firewall die Regel in der Form eingetragen:

    Für IPv6 mit:

    Code
    1. ip6tables -I INPUT -p tcp -s ::1 --dport 111 -j ACCEPT
    2. ip6tables -A INPUT -p tcp -m tcp --dport 111 -j REJECT
    3. ip6tables -A INPUT -p udp --dport 111 -j DROP

    Für IPv4 mit:

    Code
    1. iptables -I INPUT -p tcp -s 127.0.0.1 --dport 111 -j ACCEPT
    2. iptables -A INPUT -p tcp -m tcp --dport 111 -j REJECT
    3. iptables -A INPUT -p udp --dport 111 -j DROP

    Um eine NFS Share hinzuzufügen müsste die Adresse dann jeweils mit ihrer ipv4 / ipv6 Adresse freigeschaltet werden.

    Code
    1. iptables -I INPUT -p tcp -s aaa.bbb.ccc.ddd —dport 111 -j ACCEPT
    2. ip6tables -I INPUT -p tcp -s ::xyz —dport 111 -j ACCEPT

    Wichtig ist dabei nur das die Regel mit -I eingetragen wird damit das Packet nicht frühzeitig verworfen wird.

    Du könntest Dir einen kleineren SSD-Server holen und die restlichen Nutzdaten hier auslagern: netcup.de - Storagespace für vServer / Root-Server

    Soweit ich das verstanden habe, ist der zusätzliche Storage den man buchen kann aus einem SAS Storage System. Ich denke aber das ein auslagern auf ein zweites System dann etwas zu viel wird. Sonst könnte ich direkt den DB Server komplett auslagern und auf einem separaten DB Server hosten. Insgeheim ist das auch mein Ziel für Ende des Jahres aber im Moment habe ich dafür keine Zeit. :D

    Hol dir doch einfach einen reinen SSD Server haste generell mehr Spaß.

    Das stimmt ich denke wenn es an der Zeit ist den Server wieder zu vergrößern dann werde ich auch auf ein SSD System wechseln. Hoher IO Wait ist echt gar nicht mal so praktisch.

    die schnellste Möglichkeit wäre wohl, einen NetApp NFS Storage zu buchen und darauf von einem reinen SSD Server aus zuzugreifen; die Mysql Trickkiste sollte Caching Möglichkeiten vorrätig haben, oder?

    Ich denke nicht das ich meine Datenbanken auslagern werde womöglich noch zu einem anderen Hoster. Dann reduziere ich lieber die Datenbank Last und finde mich damit ab bis ich auf ein SSD System wechsle.