RackBlogger

Wenn man die Verantwortung für die Sicherheit von Webservern trägt ist es ganz praktisch, einschlägige Sicherheits-Mailinglisten abonniert zu haben. Auf einer dieser Listen wurde letzte Nacht jedoch ein “0day exploit” der ganz anderen Art veröffentlich: das bis dato wohlgehütete Geheimnis, wie der letzte Band von Harry Potter (…”and the Deathly Hallows”) enden wird.
Noch ist diese Mitteilung mit Vorsicht zu genießen, da aussagekräftige Beweise fehlen. Der Autor dieser Mitteilung hat angeblich über einen ganz normalen und im Prinzip auch schon recht alten Trojaner Zugang zu einem oder mehreren Rechnern des Verlages erhalten, welcher die Harry-Potter-Bände publiziert, und dort entsprechende Entwürfe herunterladen können. (Vielleicht ist er aber auch nur auf einen der zahllosen Fake-Drafts des Buches hereingefallen, die über Bittorrent verfügbar sind…)
Wenn das alles aber doch stimmen sollte sieht man mal wieder, wie wichtig Virenscanner und eine “richtige” Firewall (also mehr als nur ein kleiner Paketfilter) sind.

Wir (BessereHälfteâ„¢ und ich) besitzen ja seit rund einem Jahr einen kleinen Kater. Dieser liebt es, morgens (gegen 06:00) in unser Bett zu hüpfen und wahlweise ganz friedlich dort zu warten bis wir aufstehen und ihn füttern, oder an den Fingern herumzuknabbern und über’s Gesicht zu laufen, um das Frühstück etwas zu beschleunigen. Seit einigen Monaten bin ich da aber absolut abgehärtet und bekomme von all dem überhaupt nichts mehr mit.

Auf der anderen Seite bin ich aber total auf den SMS-Klingelton meines Handys konditioniert. Mit dem Gefühl, daß irgendwas “schlimmes” passiert sein könnte, wache ich bei jeder SMS auf - auch wenn das Handy im Flur oder gar im Wohnzimmer liegt.

Meine Befürchtung ist, dass wenn wir mal gemeinsamen Nachwuchs haben, ich gegen nächtliches Kindergeschrei genauso “immun” werde wie gegen die Katzenaktivität. Meine BessereHälfteâ„¢ hat dann aber wirklich vorgeschlagen, ein Babyfon mit Nagios zu koppeln, so dass ich eine SMS bekomme sobald das Kind schreit…

Irgendwann habe auch ich mal so eine kleine gelbe “Postcard” für das Büro beauftragt; zum einen um bei der Post unkompliziert zu zahlen, zum anderen für die bargeldlose Zahlung von Nachnahmesendungen (stand zumindest so auf dem Prospekt).

Allerdings sehe ich inzwischen, wie weit Wunsch und Realität bezüglich der Postcard auseinander sind. Unser “normaler” DHL-Bote hat beim ersten Anblick der Karte (bei irgendeiner Nachnahmesendung vor ein paar Monaten) laut lachen müssen und festgestellt, dass wir nun die zweiten (!) auf seiner gesamten Route sind, die mit so einer Karte Nachnahmesendungen zahlen wollen. Die Kollegin, die das Paket damals angenommen hat, musste auch keine PIN oder sonstwas irgendwo eingeben, sondern nur irgendwo unterschreiben (ich muss mal in der Fibu anfragen, ob der Betrag überhaupt abgebucht wurde… ). Bei meiner letzten Nachnahmelieferung musste die damalige Urlaubsvertretung unseres DHL-Boten zurück zum Fahrzeug, um einen vergilbten Block zu holen, auf den dann von Hand alle Kartendaten geschrieben wurden und ich das ebenfalls (ohne PIN) nur unterschrieben habe (der Betrag wurde dann rund zwei Wochen später abgebucht).
Heute kam eine nette Dame von DHL-Express mit einer für uns ziemlich eiligen Nachnahmesendung. Sie hat gleich gefragt, ob ich mit irgendeiner Karte zahlen möchte (”is einfacher…”), also habe ich die PostCard gezückt. Das war wohl ein Fehler.

Die Dame ließ das Paket (~30 kg ) vor unserer Tür stehen und ich bin mit zum Fahrzeug gegangen, wo das Kartentermin lag. Dieses wollte sich aber partout nicht mit dem Scannerterminal synchronisieren und musste erst zweimal neu gebootet werden. Dann musste die Paketnummer von Hand erfasst werden, weil das Scannerterminal diese wohl inzwischen “vergessen” hatte. Schließlich hat das Kartenterminal die PostCard immer mit irgendeinem “Error xxx” abgelehnt. Super.

Ich bin dann nochmal zurück, habe meine Kreditkarte geholt, und die wurde einwandfrei akzeptiert. Schon traurig, daß ausgerechnet die (fast?) unternehmenseigene Karte nicht akzeptiert werden kann…

Zurück beim Paket ist mir dann der Hinweis auf dem Zustellaufkleber aufgefallen: “Abs. akzeptiert keine Kreditkarten!”.

Hoppla…

Ich war eben kurz unterwegs, u.a. in der Metro um ein paar triviale aber wichtige Büroartikel zu holen. Auf dem Weg durch’s Süßigkeiten-Schlaraffenland hab’ ich eine Packung Haribo Saftbären eingepackt.

Die normalen Gummibärchen sind ja schon lecker (obwohl ich eher Schokolade als Gummizeugs mag), aber das Zeug macht absolut süchtig!
(PS: Nein, dieser Beitrag wurde nicht von Haribo gesponsert… auch wenn ich nichts dagegen hätte )

Um den Speicherplatz auf dem zentralen Storagespeicher aufzustocken habe ich mich vorhin mal wieder nach aktuellen Festplatten umgesehen. Dabei ist mir eine Festplatte von Samsung aufgefallen, bei welcher die MTBF (mean time between failure) mit 600.000 Stunden angegeben ist.

Ohne jetzt die Werte von anderen Platten zu kennen - 600.000 Stunden entspricht rund 68 Jahren!

Nun ist es da - RFC4871 beschreibt die “DomainKeys Identified Mail Signatures”, kurz DKIM. Es handelt sich dabei um einen weiteren Ansatz um den Absenderserver einer Mail verifizieren zu können.

Da DKIM im Gegensatz zu SPF nun den quasi offiziellen Status eines Internet-Standards erreicht hat, werden wir diesen wohl in Kürze auch implementieren.

Dennoch gibt es nach wie vor zwei entscheidende Probleme, die DKIM alleine nicht lösen wird:

1. DKIM macht nur Sinn, wenn möglichst alle Provider diesen Standard auch tatsächlich einsetzen (ok, wir arbeiten daran )
2. Spammer sind ja auch nicht (immer) blöd - die können sich dutzende “Wegwerf-Domains” (entweder quasi kostenlose .info-Domains o.ä., oder sogar völlig kostenfreie Third-Level-Domains) registrieren und mit den entsprechenden DKIM-Einträgen “verifizierten” Spam in die Welt pusten.

Naja, mal schauen wie sich das alles so entwickeln wird…

Aufgrund der noch nie dagewesenen Spam-Flut der letzten Tage haben wir das bisher nur experimentell betriebene Greylisting für alle Postfächer aktiviert. Seit einer knappen Stunde verfolge ich die Greylisting-Datenbank, die Mailserver-Logs und die Testsysteme (gut daß ich hier drei TFTs habe )

Jedenfalls ist es der absolute Wahnsinn, wie viel Müll so hereinkommt. Ãœber 90% (!) aller Mailserver-Aktivitäten haben mit Spam zu tun. Wenn man sich mal überlegt, was ein Mailserver heutzutage so macht bis er eine Mail überhaupt annimmt: Realtime-Blacklist-Check, diverse Protokoll-Tests, Greylisting, MIME-Check, Virenscanner, Spamfilter, … - früher wurde eine Mail einfach angenommen und als Datei abgespeichert.

Wir lassen unsere MySQL-Server alle “langsamen” Abfragen (d.h. Abfragen die länger als 5 Sekunden dauern) protokollieren, um eventuelle Flaschenhälse schnell identifizieren zu können.

Eben hab’ ich das hier gefunden:

# Time: 070526 11:10:32
# User@Host: xxxx[xxxx] @ [62.146.xxxxxx]
# Query_time: 119 Lock_time: 0 Rows_sent: 523 Rows_examined: 129599476

Da wurde ein Kunde in sehr kurzer Zeit von einigen Spambots wohl ziemlich zugemüllt… Rund 250.000 Einträge in der Gästebuch-Tabelle, verknüpft mit einem nicht sehr vorteilhaften JOIN, führen somit zu über 129 Millionen Datensätzen, die dann einzeln gegen die WHERE-Bedingung geprüft wurden. Da steckt auch unabhängig vom Spam einiges an Optimierungspotenzial drin.
Ich werde wohl am Nachmittag mal ein Script schreiben, das solche Aufälligkeiten im slow_query_log automatisiert “anmahnt”.