RackBlogger

Ab sofort gibt es auf unserer Website (www.keppler-it.de) auch wieder eine Suchfunktion.

Und zwei praktische Tools wurden auch noch hinzugefügt: Ping und Traceroute. Damit kann man schnell und bequem testen, ob IPv4-Ziele von uns aus erreichbar sind.

Gestern war ich mal wieder in Nürnberg. Allerdings nicht im Rechenzentrum, sondern mit meiner Frau auf dem Christkindlesmarkt.

Diesmal haben wir die Stände auf dem Hauptmarkt gemieden, und uns eher auf den Kinder-Weihnachtsmarkt und auf die Stände der Partnerstädte konzentriert. Dort war viel weniger los, und es gab mehr zu sehen als die übliche Abwechslung aus Glühwein-, Bratwurst-, Süßkram- und Christbaumschmuck-Stand.

Die “größte Feuerzangenbowle der Welt” fand ich ziemlich unspektakulär und überteuert. Besser war da schon der Blick auf die Pegnitz (vom Trödelmarkt aus):

Schön war’s.

Gestern Nachmittag hat ein verzweifelnder Kunde angerufen: er hat irgendwelche holländischen Weihnachtsgrüße per Mail erhalten - in der letzten Stunde bereits rund 800 mal…

Ein kurzer Blick ins Mailserver-Log bestätigte das: offenbar hat ein niederländischer Fotograf (sicher gut gemeinte) Weihnachtsgrüße per Mail verschickt. Irgendwas wird dabei wohl massiv schief gegangen sein, so dass seine Mail tausende male herausgegangen ist. Und das nicht nur an unseren Kunden: alleine im “To:”-Header der Mail standen über 50 Empfänger.

Wir haben den Absender serverseitig geblockt; insgesamt waren es letztendlich 2294 Zustellversuche.

Na dann mal fröhliche Weihnachten…

A propos: unsere Website ist seit heute auch weihnachtlich angehaucht.

Eben am Telefon:

“Ja, Guten Tag, mein Name ist ### vom Spiegel. Kann ich bitte die Geschäftsführung sprechen?”

Hmm, schon klar… Wenn gleich die “Geschäftsführung” verlangt wird, handelt es sich zu fast 100% um “Telefon-Spam”.

“Also, der Spiegel hat da ein besonderes Angebot speziell für Geschäftsführer […]”

Ich gebe zu, ich war ziemlich unfreundlich als ich - ohne den Herrn aussprechen zu lassen - abgelehnt und aufgelegt habe. Natürlich haben die spezielle Angebote “nur für Geschäftsführer”, weil Privatpersonen ja telefonisch nicht mehr so ohne weiteres zugespammt werden dürfen…

Was ist nur mit dem Spam los? Wir sind schon wieder nur etwa auf der Hälfte des üblichen Niveaus:

Nachtrag (10.12.2008): Inzwischen ist wieder alles beim alten… siehe auch der Beitrag im Heise Newsticker: Zurück zum normalen Spam-Wahnsinn

Für einen Kunden haben wir auf einem Shared-Hosting-Server eine SSH-Anmeldung per Private/Public Key einrichten wollen. Im Log (/var/log/auth.log) erschien jedoch beim Anmeldeversuch nur die folgende Fehlermeldung:

Authentication refused: bad ownership or modes for directory /[…]

Der Grund dafür: die Webspacebenutzer-Verzeichnisse gehören bei uns nicht den Benutzern selbst, sondern einem speziellen Systembenutzer. Über die Verzeichnisrechte ist so sichergestellt, dass der Apache-Prozess lesend in alle Verzeichnisse schauen darf, während Benutzer nicht in die jeweils fremden Verzeichnisse blicken können.

Die Lösung in diesem Fall: in /etc/ssh/sshd_config die Option “StrictModes” auf “no” setzen. Damit wird der SSH-Daemon angewiesen, die Verzeichnisrechte nicht zu prüfen (konkret: er beschwert sich nicht mehr, wenn jemand anderes als der Benutzer selbst Schreibrechte auf sein eigenes Home-Verzeichnis hat).

Das setzt natürlich voraus, dass das Rechtesystem auf dem Server entsprechend ausgeklügelt ist, und man somit keine anderen Sicherheitslücken öffnet.

Außerdem haben wir bei SharedHosting-Servern die Option “AllowTcpForwarding” auf “No” gesetzt; schließlich soll niemand über diese Server irgendwelche TCP-Tunnel aufbauen (egal in welche Richtung).

Auf heise.de gab es einen interessanten Artikel über das Botnetz “Srizbi”. Merkwürdig aufgestoßen ist mir jedoch folgender Absatz:

FireEye wäre nach eigenen Angaben in der Lage gewesen, den Bots zu befehlen, sich von infizierten Systemen zu löschen. Allerdings habe man Bedenken gehabt, damit möglicherweise Schäden auf PCs anzurichten und daher davon abgelassen. Aus dem Srizbi-Botnetz stammen Schätzungen zufolge 40 Prozent des weltweiten Spams. Rund eine halbe Million PCs sollen mit 50 Varianten von Srizbi-Bots infiziert sein. Nach dem zwischenzeitlichen Abflauen der Spam-Mails tritt also leider wieder der “Normalzustand” ein.

Bevor man also ohnehin infizierte PCs von deren Virus befreit und Gefahr läuft, dadurch evtl. andere Schäden anzurichten, lässt man sie also lieber in Ruhe um “nur” Spam zu versenden.

Ein Schelm, wer Böses dabei denkt - schließlich lebt FireEye ja zumindest indirekt auch vom Spam…

Es gibt einen nicht gerade kleinen Registrar, bei dem ich (trotz aller noch so hartnäckigen Werbeversuche) definitiv niemals auch nur eine Domain registrieren lassen würde…

• der WhoIs-Dienst dieses Anbieters (whois.###.net) ist schon seit einiger Zeit nicht erreichbar. WhoIs-Anfragen auf Port 43 werden abgelehnt, ein Web-WhoIs existiert dort nicht.
• auf der Website des Anbieters ist eine Mailadresse genannt (tld-support@###). Der Versuch, dort hin eine E-Mail mit einem Hinweis auf den Fehler zu schreiben, endete in einer Fehlermeldung:
  ” (expanded from ): host ### said: […] User unknown”
• wenn man dann im WhoIs der .de-Domain des Unternehmens nachschaut, findet man beim Tech-C/Zone-C eine andere Mailadresse. Doch der Versuch, diesen per Mail zu erreichen, führt dazu:
  g[…]@###: SMTP error from remote mail server after RCPT TO:[…] Recipient address rejected: Accedd denied.
• Natürlich ist im .de-WhoIs auch eine Telefonnummer beim Tech-C/Zone-C hinterlegt. Wenn man dort anruft, ertönt jedoch nur eine Ansage “Derzeit ist telefonisch niemand erreichbar” [aufgelegt].
• Die .de-Domain, welche als “Referral URL” vom Verisign-WhoIs ausgegeben wird (http://nsi-robo.###.de), ist auf eine “ABC Eurodomain SRL” registriert, als Admin-C/Tech-C/Zone-C ist die selbe Person eingetragen wie beim rumänischen Anbieter “netbeat.de”

Wenn der Domainregistrar schon in seiner eigenen Außenwirkung so chaotisch organisiert und technisch quasi nicht erreichbar ist - wer will da schon Domains registrieren?