Leslie Schnee – Blog

Mal eine Werbung in eigener Sache:

Heute haben wir im PS-Webhosting Kundenmenü den Link zu Open-Xchange freigeschaltet. Damit steht über 10.000 Kunden ab sofort eine vollwertige Groupware-Lösung zur Verfügung, die neben einer intuitiven Webmail-Oberfläche mit Kalender, Adressbuch und vielen weiteren Funktionen auch Smartphones, Outlook & Co. voll unterstützt.

PS-Webhosting bietet damit ab sofort professionelle E-Mailkommunikation für Unternehmen, Freiberufler und Privatnutzer gleichermaßen.

Das Beste: Jeder Kunde kann Open-Xchange mit allen Funktionen uneingeschränkt bis 31.01.2012 kostenlos testen. Ist eine Nutzung nach diesem Datum nicht gewünscht, fällt der Account automatisch zurück in die kostenlose Webmail-Variante. Diese bietet bereits viele praktische Funktionen und bleibt auf Dauer kostenfrei.

In der kommenden Woche stellen wir die Angebote dann noch offiziell mit Preisen auf die Homepage.

Schönes Wochenende!!!

...titelte ich vor etwas mehr als zwei Jahren in diesem Blog. Damals ging es noch ins Telecity-Rechenzentrum in der Frankfurter Bürostadt, wo bis vor kurzem unsere Server standen. Und natürlich ohne Hund, denn der war dort nicht gestattet (ich wollte ihn natürlich nur in die Büroräume mitnehmen).

Inzwischen fahre ich wieder mit dem Fahrrad ins Büro, allerdings an einer sehr viel schöneren Strecke direkt am Main entlang in die Hanauer Landstraße 139. Und Sandy packe ich einfach vorne drauf! Sie würde die vier Kilometer auch problemlos laufen (rennen), bleibt jedoch an jeder zweiten Laterne stehen, um zu schnuppern. Das erledigen wir dann auf dem Rückweg...

Was vor allem an den umfangreichen Veränderungen PS-Webhosting liegt. Diese kann man hier verfolgen:

blog.ps-webhosting.de

Wenn die Umzugsarbeiten abgeschlossen sind, wird hier auch wieder mehr gebloggt. Versprochen!

Was es genau damit auf sich hat, wird noch nicht verraten. Aber es wird spannend in den kommenden Wochen!

Schoenes Wochenende!

Posted from Ferdinand-Happ-Straße 65, Ostend, Hessen, Germany.

Seit etwa einer halben Stunde haben wir vermehrt Anrufe von Kunden an unserer Hotline, die ihre Seite nicht mehr erreichen können. Eine Ursachensuche bei uns ergab keine Störung, aus verschiedenen Technikquellen werden jedoch größere Probleme bei der Vergabestelle für .de-Domains gemeldet, die schlussendlich mit ihren root-Nameservern für die Erreichbarkeit der .de-Domains verantwortlich sind. Noch gibt es keine offiziellen Quellen, lediglich einige Blog-Einträge wie diesen hier. Auf unserer Traffickurve beobachten wir seit ca. 45 Minuten einen Rückgang des Datentransfers. Wir bereiten uns bei PS-Webhosting mal auf einen größeren Ansturm an der Telefonhotline vor.

Bei uns sind durch den Ausfall in der Regel "nur" .de-Domains betroffen, da wir bei den meisten Domains inzwischen unsere aktuellen Nameserver a.ps-dns.de und b.ps-dns.NET verwenden. Würden beide Nameserver auf die Endung .de hören, wären diese auch nicht mehr erreichbar und somit auch sämtliche Domains (wie zum Beispiel dieser Blog).

Siehe auch:

> http://www.golem.de/1005/75090.html
> http://www.webhostlist.de/provider/nachrichten/109167-Probleme-mit-allen-deDomains.html
> http://www.heise.de/newsticker/meldung/DNS-Fehler-legen-Domain-de-lahm-999068.html

Update 15:00 Uhr:
Es zeichnet sich eine Entspannung ab. Man scheint die Probleme in den Griff zu bekommen. Die Denic Root-Nameserver antworten wieder.

Aus technischer Sicht sah das Ganze so aus:

Die automatische Serverüberwachung bei PS-Webhosting hat heute Vormittag den Stopp des E-Mailversandes von sogenannten Formular-Mails gemeldet, auf Grund sehr vieler Einlieferungen in kurzer Zeit - ein Indiz für Spam über eine gehackte Kundenseite.

Ein Login auf unserem Mailrelay-Server, auf dem seit Urzeiten noch qmail läuft, offenbart das Ausmaß der Spamattacke:

turbocalculon:/home/ls# qmailctl stat
/service/qmail-send: down 677 seconds, normally up
/service/qmail-send/log: up (pid 2351) 10362937 seconds
/service/qmail-smtpd: down 77 seconds, normally up
/service/qmail-smtpd/log: up (pid 2349) 10362937 seconds
messages in queue: 212969
messages in queue but not yet preprocessed: 7813

Über zweihunderttausend E-Mails wurden in kurzer Zeit eingeliefert. Beim Betrachten einer dieser Mails in der Queue konnte man schnell den Verursacher ausfindig machen; das von uns auf den Webhosting-Servern eingesetzte Programm nullmailer, welches die durch Kontaktformulare, Gästebücher und Onlineshop-Bestellbestätigungen generierten E-Mails an das o.g. Mailrelay weiterleitet, schreibt die User-ID jeder E-Mail in den Header:

Received: (qmail 18107 invoked from network); 2 Feb 2010 12:13:44 -0000
Received: from unknown (HELO turbolrrr.planet-school.de.planet-school.de) (194.116.187.71)
by 0 with SMTP; 2 Feb 2010 12:13:44 -0000
Received: (nullmailer pid 12051 invoked by uid 1411);
Tue, 02 Feb 2010 02:51:53 -0000
To: pmriosaude@slavenet.com.br
Subject: Segurana On-line: Seu dispositivo de segurana expirou.
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
From: Ita Bankline <clientes.bankline@online.com.br>
Date: Tue, 02 Feb 2010 03:51:53 +0100
Message-Id: <1265079113.076354.12050.nullmailer@turbolrrr.planet-school.de.planet-school.de>

Durch die genannte User-ID 1411 kann man anhand der /etc/passwd Datei des ebenfalls genannten Webservers den Kunden ermitteln. In diesem Fall war (wie so oft) eine veraltete Installation des Content-Management-Systems Joomla für den Spamversand verantwortlich. Die "Hacker", hier offenbar aus Brasilien, suchen gezielt über Google nach Joomla-Installationen und versuchen durch Ausnutzung bekannter Sicherheitslücken Code einzuschleusen, um damit dann Spam/Phishing-Mails im großen Rahmen zu versenden. Warum nutzen die Spammer keine eigenen Server? Diese sind in der Regel sehr schnell geblacklistet und damit für die allermeisten Mailserver nicht mehr vertrauenswürdig. Man ist daher immer auf der Suche nach "sauberen" Maschinen.

Das Problem war schnell gelöst, mittels qmail-remove sucht man nach einem eindeutigen Begriff, der in jeder der Spammails vorkommt (und in keiner normalen E-Mail, die sich ebenfalls in der Queue befindet, vorkommen sollte!):

qmail-remove -p "expirou" -d

Vorher qmail anhalten (qmailctl stop).

Vorher wurde noch der nullmailer auf dem Webhosting-Server angehalten (/etc/init.d/nullmailer stop) und die Queue in /var/spool/nullmailer/queue ebenfalls bereinigt (durch einfaches löschen der Maildateien mit der User-ID des Kunden).

Eigentlich ist die Inbetriebnahme eines neuen Servers ja nicht mehr besonders erwähnenswert. Wir benennen sämtliche unserer eigenen Server bei PS-Webhosting ja schon fast seit Beginn an nach Figuren aus der Zeichentrick-Serie Futurama, es wird allerdings mit der Zeit nicht gerade leichter, neue Namen zu finden. Die gängigen Figuren haben wir natürlich schon längst ausgeschöpft und haben neben Leela, Fry, Bender & Co. auch schon Slurm, Morbo, Lrrr und viele weitere Server mit entsprechenden Namen im Einsatz. Erfreulicherweise lassen uns die Futurama-Macher nicht im Stich und haben jüngst vier neue (najaaaaa) Filme auf DVD herausgebracht mit einigen neuen Namen.

Und wer hier weiß, wer "Rodriguez" ist, dessen Namen wir heute für einen neuen Webhosting-Server für die nächsten paar hundert Kunden verwendet haben (turborodriguez.planet-school.de), der ist schon ein ziemlicher Futurama-Fan!

Gerade wollte ich mir hier im Rechenzentrum einen schoenen Becher Kaffee holen, in der Kaffeekueche herrscht jedoch Chaos und ich muss mit einem Mini-Taesschen vorliebnehmen. Und das hat was von "draussen nur Kaennchen".

Aber ich glaube, das ist in den meisten Firmen-Kaffeekuechen irgendwie gleich, oder? "Wer die Kanne leer macht, macht auch neuen Kaffee" hat quasi keine Bedeutung, denn der durchschnittliche kaffeetrinkende Mitarbeiter kennt mittlerweile genau den Druckpunkt der Zwei-Liter-Pumpkanne und weiss, wieviel noch in die Tasse geht, ohne sie ganz leer zu machen. Den naechsten beissen die Hunde, wenn er mit Schmackes auf die Pumpe haut und nur noch 10 Milliliter Kaffe raustroepfeln. Hoffentlich hats dann keiner gesehen und wir versuchens in einer halben Stunde nochmal - vielleicht hat sich dann jemand erbarmt und Kaffee gemacht.

Daher gilt fuer mich, immer erst den Schuettel- und Hochheb-Test der Kanne machen, bevor man sich Kaffee goennt. So ist man stets auf der sicheren Seite!

Vor kurzem hat die Denic ja auf Grund eines Urteils die Vergaberichtlinien fuer .de-Domains geaendert und akzeptiert seit heute 9 Uhr die Registrierung von Ein- und Zwei-Buchstaben-Domains sowie reiner Zifferndomains.
Unsere Kunden haben davon natuerlich Wind bekommen und bestellen Domains ohne Ende - die meisten davon werden auf Grund laaaanger Vormerkungslisten bei den Registraren (und nur 4 Registrierungen pro Minute und Registrar) wohl nicht auf den jeweiligen Kunden registriert werden koennen. Und wer auf die Idee kommt, hm.de, vz.de, mb.de, vw.de oder aehnlich registrieren zu wollen, um damit das grosse Geschaeft zu machen, dem sei gesagt, die Konzerne gewinnen den Prozess in der Regel