RackBlogger

Was ist nur mit dem Spam los? Wir sind schon wieder nur etwa auf der Hälfte des üblichen Niveaus:

Nachtrag (10.12.2008): Inzwischen ist wieder alles beim alten… siehe auch der Beitrag im Heise Newsticker: Zurück zum normalen Spam-Wahnsinn

Für einen Kunden haben wir auf einem Shared-Hosting-Server eine SSH-Anmeldung per Private/Public Key einrichten wollen. Im Log (/var/log/auth.log) erschien jedoch beim Anmeldeversuch nur die folgende Fehlermeldung:

Authentication refused: bad ownership or modes for directory /[…]

Der Grund dafür: die Webspacebenutzer-Verzeichnisse gehören bei uns nicht den Benutzern selbst, sondern einem speziellen Systembenutzer. Über die Verzeichnisrechte ist so sichergestellt, dass der Apache-Prozess lesend in alle Verzeichnisse schauen darf, während Benutzer nicht in die jeweils fremden Verzeichnisse blicken können.

Die Lösung in diesem Fall: in /etc/ssh/sshd_config die Option “StrictModes” auf “no” setzen. Damit wird der SSH-Daemon angewiesen, die Verzeichnisrechte nicht zu prüfen (konkret: er beschwert sich nicht mehr, wenn jemand anderes als der Benutzer selbst Schreibrechte auf sein eigenes Home-Verzeichnis hat).

Das setzt natürlich voraus, dass das Rechtesystem auf dem Server entsprechend ausgeklügelt ist, und man somit keine anderen Sicherheitslücken öffnet.

Außerdem haben wir bei SharedHosting-Servern die Option “AllowTcpForwarding” auf “No” gesetzt; schließlich soll niemand über diese Server irgendwelche TCP-Tunnel aufbauen (egal in welche Richtung).

Auf heise.de gab es einen interessanten Artikel über das Botnetz “Srizbi”. Merkwürdig aufgestoßen ist mir jedoch folgender Absatz:

FireEye wäre nach eigenen Angaben in der Lage gewesen, den Bots zu befehlen, sich von infizierten Systemen zu löschen. Allerdings habe man Bedenken gehabt, damit möglicherweise Schäden auf PCs anzurichten und daher davon abgelassen. Aus dem Srizbi-Botnetz stammen Schätzungen zufolge 40 Prozent des weltweiten Spams. Rund eine halbe Million PCs sollen mit 50 Varianten von Srizbi-Bots infiziert sein. Nach dem zwischenzeitlichen Abflauen der Spam-Mails tritt also leider wieder der “Normalzustand” ein.

Bevor man also ohnehin infizierte PCs von deren Virus befreit und Gefahr läuft, dadurch evtl. andere Schäden anzurichten, lässt man sie also lieber in Ruhe um “nur” Spam zu versenden.

Ein Schelm, wer Böses dabei denkt - schließlich lebt FireEye ja zumindest indirekt auch vom Spam…

Es gibt einen nicht gerade kleinen Registrar, bei dem ich (trotz aller noch so hartnäckigen Werbeversuche) definitiv niemals auch nur eine Domain registrieren lassen würde…

• der WhoIs-Dienst dieses Anbieters (whois.###.net) ist schon seit einiger Zeit nicht erreichbar. WhoIs-Anfragen auf Port 43 werden abgelehnt, ein Web-WhoIs existiert dort nicht.
• auf der Website des Anbieters ist eine Mailadresse genannt (tld-support@###). Der Versuch, dort hin eine E-Mail mit einem Hinweis auf den Fehler zu schreiben, endete in einer Fehlermeldung:
  ” (expanded from ): host ### said: […] User unknown”
• wenn man dann im WhoIs der .de-Domain des Unternehmens nachschaut, findet man beim Tech-C/Zone-C eine andere Mailadresse. Doch der Versuch, diesen per Mail zu erreichen, führt dazu:
  g[…]@###: SMTP error from remote mail server after RCPT TO:[…] Recipient address rejected: Accedd denied.
• Natürlich ist im .de-WhoIs auch eine Telefonnummer beim Tech-C/Zone-C hinterlegt. Wenn man dort anruft, ertönt jedoch nur eine Ansage “Derzeit ist telefonisch niemand erreichbar” [aufgelegt].
• Die .de-Domain, welche als “Referral URL” vom Verisign-WhoIs ausgegeben wird (http://nsi-robo.###.de), ist auf eine “ABC Eurodomain SRL” registriert, als Admin-C/Tech-C/Zone-C ist die selbe Person eingetragen wie beim rumänischen Anbieter “netbeat.de”

Wenn der Domainregistrar schon in seiner eigenen Außenwirkung so chaotisch organisiert und technisch quasi nicht erreichbar ist - wer will da schon Domains registrieren?

Eben bei einem Mitbewerber gesehen:

Tjo, bei Hostingpaketen für 0,29 EUR im Monat (brutto, inkl. Domain!) reicht’s eben nicht mal mehr für Allgemeine Geschäftsbedingungen…

Es gibt derzeit drei Sachen im Radio, die mir gewaltig auf den Senkel gehen:

1. die Radio-Werbung eines Autoscheiben-Reparaturbetriebes (”Kraaaaack!”)
2. die Radio-Werbung eines baden-württembergischen Müsliherstellers (”Woisch…”)
3. Last Christmas, I gave you my heart…

Für unser neues Bestellsystem habe ich vorhin nach einer schicken Ajax-Warte-Animation gesucht, die angezeigt werden soll, während unser System im Hintergrund die Verfügbarkeit der gewünschten Domains prüft.

Nachdem ich auf die Schnelle nichts gefunden hatte was mir gefällt, habe ich kurzerhand eine eigene Animation gebastelt:

Gestern Nacht gab’s in einem Netzbereich seitens des Carriers ein paar angekündigte Wartungsarbeiten, die aber leider viiiieeeel länger dauerten als angekündigt (aus 10 Minuten wurden über zwei Stunden…). Aus diesem Grund habe ich seit 02:45 unzählige SMS-Meldungen vom Nagios erhalten. Irgendwann habe ich genervt mein Handy ausgeschalten.

Heute früh um 07:00 habe ich das Handy wieder eingeschalten, und seitdem bekomme ich im Abstand von bis zu 2 Stunden tröpfchenweise noch immer die ausstehenden SMS-Mitteilungen von heute Nacht. Mein Puls hat zwischendurch höher geschlagen, wenn so eine SMS mit der Meldung “Host ### DOWN!” kommt; ein Blick auf die Uhrzeit der Meldung bringt dann aber Erleichterung.

Ein Kollege meinte dazu eben per Mail:

vielleicht hast du versehentlich so ein abo abgeschlossen ?