RackBlogger

So auch Confixx - das Administrationspanel von SWSoft?

Ich habe das ja noch nie gemocht, aber das brauchte ich auch nicht weil wir hier unser eigenes System nutzen. Nun ist eine ziemlich gravierende Sicherheitslücke bekannt geworden, und bei dem Artikel auf heise.de lässt sich Interessantes zwischen den Zeilen lesen:

1&1 weist daraufhin, dass Confixx vom Hersteller SWSoft und von 1&1 nicht mehr voll unterstützt wird.

Ist es nun mutig oder fahrlässig, eine Software nach wie vor aktiv zu verkaufen und zu bewerben, wenn diese nicht mehr “voll unterstützt” wird? Und was sollen die Webhosting-Kollegen von so einer Mitteilung halten, die Confixx einsetzen?

Auf Plesk wechseln?

Oder warten bis wir unsere Hosting-Software verkaufen?

Schonmal probiert, auf einem virtuellen XEN-Server die Systemzeit zu ändern (z.B. mit ntpdate)? Nein? Na dann viel Spaß.

Nein - aus meiner Sicht geht sowas einfach nicht. Die Kosten für eigene Hardware, Rechenzentrum mit echtem (!) 24/7-Service vor Ort, hochwertige Anbindung, und so weiter ermöglichen da keinen Überschuss, um das Unternehmen insgesamt voranzubringen.

Zu sehen an der aktuellen Selbstbeweihräucherung eines Kollegen, der sein 5jähriges Firmenjubiläum als Branchen-Besonderheit feiert, aber nach wie vor nach der Kleinunternehmer-Regelung (§19a UStG) abrechnet. Ich behaupte, daß man mit vernünftigen Preisen nach fünf Jahren durchaus mehr als 17.500 Euro Jahresumsatz hätte erwirtschaften können.

Nachtrag: um Mißverständnissen vorzubeugen: ich habe kein Problem mit kleinen Hostinganbietern (Keppler-IT ist ja auch (noch) kein Weltkonzern ) - aber es ist eine Frage der Kommunikationspolitik ob die Außendarstellung mit so einer Pressemitteilung nicht nach hinten losgeht…

… oder doch besser Kaffee?

In der Nacht vom kommenden Samstag auf Sonntag sind Wartungsarbeiten angesetzt - aus verschiedenen technischen Gründen muss ein Rack innerhalb des Rechenzentrums umziehen. Das heißt: Aufstehen um 02:00, geplanter Arbeitsbeginn um 03:00. Da ich am Sonntag aber noch tagsüber auf eine Feier gehen möchte werde ich also am Samstag rechtzeitig schlafen gehen statt die Nacht durchzuarbeiten. Außerdem hat das den Vorteil, daß man im Falle unerwarteter Probleme morgens noch fit ist.

Besonders nett fand ich vorab die Kommunikation mit dem RZ. In einer meiner Mails schrieb ich:

[…] müsste dann lediglich irgendwann
der Uplink am Router entsprechend umgesteckt werden (vom alten
aufs neue Rack). Und vielleicht könnte dann jemand einen Kaffee
aufsetzen

Die Antwort:

Hallo Herr Keppler,

der Termin vom 14. auf den 15. Juli um 03:00 Uhr nachts geht
von unserer Seite aus in Ordnung.

Das Rack wird vorbereitet, […]

Kaffee ist da

Perfekt - dann kann ja nichts mehr schief gehen.

Nun ist es da - RFC4871 beschreibt die “DomainKeys Identified Mail Signatures”, kurz DKIM. Es handelt sich dabei um einen weiteren Ansatz um den Absenderserver einer Mail verifizieren zu können.

Da DKIM im Gegensatz zu SPF nun den quasi offiziellen Status eines Internet-Standards erreicht hat, werden wir diesen wohl in Kürze auch implementieren.

Dennoch gibt es nach wie vor zwei entscheidende Probleme, die DKIM alleine nicht lösen wird:

1. DKIM macht nur Sinn, wenn möglichst alle Provider diesen Standard auch tatsächlich einsetzen (ok, wir arbeiten daran )
2. Spammer sind ja auch nicht (immer) blöd - die können sich dutzende “Wegwerf-Domains” (entweder quasi kostenlose .info-Domains o.ä., oder sogar völlig kostenfreie Third-Level-Domains) registrieren und mit den entsprechenden DKIM-Einträgen “verifizierten” Spam in die Welt pusten.

Naja, mal schauen wie sich das alles so entwickeln wird…

Wir lassen unsere MySQL-Server alle “langsamen” Abfragen (d.h. Abfragen die länger als 5 Sekunden dauern) protokollieren, um eventuelle Flaschenhälse schnell identifizieren zu können.

Eben hab’ ich das hier gefunden:

# Time: 070526 11:10:32
# User@Host: xxxx[xxxx] @ [62.146.xxxxxx]
# Query_time: 119 Lock_time: 0 Rows_sent: 523 Rows_examined: 129599476

Da wurde ein Kunde in sehr kurzer Zeit von einigen Spambots wohl ziemlich zugemüllt… Rund 250.000 Einträge in der Gästebuch-Tabelle, verknüpft mit einem nicht sehr vorteilhaften JOIN, führen somit zu über 129 Millionen Datensätzen, die dann einzeln gegen die WHERE-Bedingung geprüft wurden. Da steckt auch unabhängig vom Spam einiges an Optimierungspotenzial drin.
Ich werde wohl am Nachmittag mal ein Script schreiben, das solche Aufälligkeiten im slow_query_log automatisiert “anmahnt”.

Ein Server hat sich vorhin kurz mit einer Kernel Panic verabschiedet. Auch wenn so was nicht schön ist, die Fehlermeldungen sind teilweise doch recht kreativ.

Nun werde ich mal der Ursache für den Serverabsturz auf den Grund gehen…

Um 03:31 kam eine kurze aber schmerzvolle SMS: ein komplettes Rack ist nicht erreichbar. Schlaftrunken habe ich noch 5 Minuten abgewartet, ob Nagios die Sache sich nicht doch nochmal überlegt (Fehlmessung), aber dem war leider nicht.

Also Techniker im RZ angerufen (das sind die Momente in denen ich die 24/7-Rufbereitschaft vor Ort schätze) und gebeten einen Blick ins Rack zu werfen. Diagnose: Schranksicherung draußen

Der Techniker hat den Strom anschließend wieder eingeschalten, und gegen 03:45 waren fast alle Systeme wieder da. Fast. Ein Rechner blieb stumm - aller Voraussicht nach hat’s bei dem das Netzteil zerschossen und bei der Gelegenheit die Sicherung geworfen. Als klar war daß ein echter Hardwaredefekt vorliegt habe ich dem Techniker Bescheid gegeben daß ich dann wohl in Kürze mal vorbeischauen werde. Genial fand ich dann dessen Kommentar: “Dann setz’ ich schonmal ‘nen Kaffee auf.”

Also umgezogen, ins Auto gesetzt und losgefahren. Natürlich hat es dann auch gleich zu regnen begonnen, aber eine runde halbe Stunde später stand ich schon vor dem Rack. Die Reparatur gestaltete sich etwas unschön - für dieses alte Board hatte ich kein passendes Ersatznetzteil da, daher habe ich spontan die Platten & Controller in einen komplett neuen Server umgebaut und die Gelegenheit somit gleich für ein Hardware-Upgrade genutzt.

Zum Abschluß gab’s dann noch einen Kaffee (kurz nach Sonnenaufgang).