so36.net - Miscellaneous

DNS Probleme (Jabber/Mail betroffen)

Thu Apr 04 10:00:00 +0200 2013

DNS Probleme (Jabber/Mail betroffen)

Durch Umstrukturierungen in unserem Netz ist es zu kurzeitigen ausfällen unseres internen DNS-Services gekommen. In der Folge waren die Services Mail und Jabber in seit dem Wochenende gestört. Insbeondere bei Mail kann es passiert sein, das vereinzelt Mails nicht angekommen sind. Die Absernderin sollte aber eine Fehlermeldung erhalten haben.

Mittlerweile sind alle Fehler behoben und wir hoffen das alle Services wieder reibungslos funktionieren.

Ausfall Fileserver

Thu Aug 09 15:39:28 +0200 2012

Ausfall unseres Fileservers

Vorgestern, am 07.08.12, am frühen Vormittag, haben wir versucht, Unregelmäßigkeiten auf einem Hardware-RAID unseres File-Servers zu beheben. Leider kam es dabei zu einem Komplett-Absturz der uralten Hardware.

Auf dem betroffene Rechner sind die DocumentRoots für nahezu alle bei uns gehosteten Websites gespeichert. Folglich waren unsere Websites und die unserer Partnerprojekte offline.

Eine Untersuchung der Maschine im Rechenzentrum ergab, dass die System-Partition des Servers den Absturz nicht überlebt hatte und durch ein neues System ersetzt werden musste. Zwei defekte Festplatten mussten ausgewechselt werden.

Nach rund 21 Stunden war der Server wieder am Start und damit die Webseiten wieder erreichbar. Als folge des neu aufgesetzten Betriebssystems gab es am Mittwochvormittag (08.08.2012) noch Probleme mit dem SFTP-Zugriff auf User-Verzeichnisse, die aber mittlerweile behoben sind.

Wir bedauern den Ausfall, der hauptsächlich auf altersschwache Hardware zurückzuführen ist. Wir haben in den letzten Monaten massiv in neue Hardware investiert. In den nächste Wochen und Monaten werden wir schrittweise viele Dienste des so36.net auf aktuellere Rechner umziehen.

Für uns bedeutet die zeitgemäße Hardware hoffentlich weniger nächtliche Notfall-Einsätze im Rechenzentrum - und für unsere Nutzer_innen eine bessere Verfügbarkeit der Dienste.

Codecoop.org down

Mon Apr 02 16:09:55 +0200 2012

Codecoop.org down

Unser Projekt-Server “codecoop.org” hat wahrscheinlich einen Plattenschaden. Wir sind heute Abend vor Ort um zu schauen was los ist.

Mailserver Zertifikate

Tue Mar 20 16:13:05 +0100 2012

Mailserver Zertifikate

Die Zertifikate unseres Mailservers musster erneuert werden, ihr findet die neuen Fingerprints hier.

ECO macht den 'Bock zum Blockwart'

Thu Jul 28 10:46:04 +0200 2011

Anfang der Woche eine tolle Email von Alexandra Baur, Internet Content Analyst bei der Internet-Beschwerdestelle des ECO - Branchenverband der deutschen Internetwirtschaft. Stein des Anstosses: eine bei uns gehostete Website. Sie scheint beim analysieren des bei der Beschwerdestelle bemängelten ‘Content’ leicht die Erdung verloren zu haben. Webseiten der politischen Meinungsbildung werden bei ihr flux zu ‘volksverhetzenden Inhalten’ - und entsprechend der ‘Verfahrensordnung’ hat Frau Alexandra Baur ‘bereits Strafanzeige bei der Polizei NRW gestellt’.

Bis hierher ist das nach unserer Ansicht zwar vorschnell, jedoch nicht weiter skandalös - denn ein Blick auf den kritisierten ‘Content’ macht schnell klar: Mensch muss sich die im Content angelegte Kritik nicht unbedingt zu Eigen machen - und kann trotzdem erkennen, dass eine Strafanzeige in diesem Fall allein zur sinnlosen Beschäftigung der involvierten Polizeidienststelle führt.

Darüber hinaus ist eine Verfahrenseröffnung in diesem Falle - und das sagen wir in aller Überzeugung auch ohne juristisches Vordiplom - jedem Staatsanwalt zu peinlich. Es sei denn, ECO hat den Stammsitz nach China oder sonst wohin verlegt.

Doch es kommt noch besser. Frau Alexandra Baur spricht für den ECO wenn sie schreibt, dass sie ‘leider bestätigen müsse’, dass die gemeldeten URLs volksverhetzende Inhalte nach § 130 StGB darstellen. Das erscheint wahlweise von Unkenntnis oder Selbstüberschätzung gelenkt. Glücklicherweise reicht es nicht aus, aufgrund der Einschätzung der ECO - Internet-Beschwerdestelle mit ‘Bestätigung’ nach § 130 StGB verurteilt zu werden.

Richtig kritisch allerdings, womit wir die Frage nach der richtigen Personalbesetzung streifen, wird es allerdings, wenn Frau Alexandra Baur dazu auffordert, ‘beweiserhebliche Daten’ zu sichern und auf Anforderung an Strafverfolgungsbehörden herauszugeben. Wer hier noch nicht genug von derart Prejudizierung ohne richterlichen Bescheid hat, der bekommt von Frau Baur noch die Aufforderung nachgereicht, ‘geeignete Maßnahmen zu ergreifen, damit die betreffenden Inhalte über die genannten URLs nicht mehr abgerufen werden können’.

Ein Schmankerl zum Schluss: http://ompldr.org/vNWpnaQ Zwar Verdacht der Kinderpornographie, allerdings keine Strafanzeige - da muss schon Kritik an der Bundeswehr kommen, um so weit zu gehen…

im Original:

Sehr geehrte Damen und Herren,

der eco - Verband der deutschen Internetwirtschaft e.V. betreibt eine Beschwerdestelle zur Entgegennahme von Zuschriften über rechtswidrige und schädliche Internetinhalte.

Insoweit haben wir eine Zuschrift erhalten, wonach die folgenden URLs

http://www.bamm.de/?s=plakatwettbewerb

http://www.bamm.de/wp-content/uploads/2011/04/plakat_02_klein.jpg

volksverhetzende Inhalte gem. § 130 StGB zeigen sollen. Dies müssen wir leider bestätigen.

Die beschwerdegegenständlichen URLs lösen unserem Wissen nach zur IP 83.223.73.113 auf, die von xxx in Deutschland gehostet wird.

Entsprechend unserer Verfahrensordnung bei Beschwerden über derartige Internetinhalte haben wir bereits Strafanzeige bei der Polizei NRW gestellt.

Wir bitten Sie daher, beweiserhebliche Daten zu sichern und auf Anforderung an die Strafverfolgungsbehörden herauszugeben.

Zudem bitten wir Sie geeignete Maßnahmen zu ergreifen, damit die betreffenden Inhalte über die genannten URLs nicht mehr abgerufen werden können.

Für Ihre Unterstützung und eine kurze Rückmeldung danke ich Ihnen bereits jetzt.

Mit freundlichen Grüßen

Alexandra Baur

Internet Content Analyst

Internet-Beschwerdestelle

eco - Verband der deutschen Internetwirtschaft e.V.

Lichtstraße 43h

50825 Köln

Mailserver Probleme

Tue Apr 12 12:39:28 +0200 2011

UPDATE 13.4. 10:45 Wir haben den Schaden am Mailserver über Nacht wieder behelfsmäßig beheben können. Derzeit suchen wir ein Ersatzteil, erst wenn das verfügbar ist können wir wieder auf völligen Normalbetrieb umstellen. Derzeit müssen wir den Mailserver mit einer Behelfslösung fahren, das führt dazu das wir so lange keine Sicherungskopien von den E-Mails anlegen können. Bitte sorgt also dafür das ihr Euch wichtige Mails herunterladet und auf dem eigenen Rechner speichert.

UPDATE 12.4. 19:30 Die Festplatte des Mailserver ist kaputt. Wir überspielen die Daten gerade auf eine Ersatzplatte. Wir bemühen uns das Problem bis morgen früh zu beseitigen.

Die Festplatte unseres Mailservers macht gerade ein paar Probleme, daher ist alles was Mail ist derzeit ausgefallen. Wir arbeiten an einer Lösung des Problems.

jabberd - probleme

Fri Mar 11 00:38:46 +0100 2011

Update 11.3. - 19.30

Probleme beseitigt. Sorry für das Beben…

Mit dem heutigen Upgrade unseres Jabber-servers sind Probleme aufgetreten, die bisher noch nicht gelöst werden konnten. Wir arbeiten an einer Lösung des Problems.

Update 11.3. - 18.15

Probleme sind noch nicht wirklich gelöst

es scheint als ob mit dem upgrade verschiedene Jabber-clients keine Verbindung mehr aufbauen können:

So weit wir das derzeit absehen können:

Positiv: Adium auf OS X und mcabber auf fbsd und linux machen keine Probleme

Negativ: Pidgin und Epiphany auf Linux machen genau solche…

Arbeiten am Mailserver

Sun Dec 19 11:57:41 +0100 2010

Wir führen heute notwendige arbeiten an unserem Mailsever durch. Dadurch wird von Zeit zu Zeit das Abholen von Mails gestört sein.

Sicherheitsproblem auf dem Webserver von so36.net

Thu Dec 16 10:06:25 +0100 2010

Es gab einen Einbruch auf dem Webserver von so36.net (IP Adresse 83.223.73.113). Auf diesem Server befinden sich die Homepages von diversen Projekten und Initiativen. Der Einbruch erfolgte wahrscheinlich durch einen Spam-Bot.

Es gab einen Einbruch auf dem Webserver von so36.net (IP Adresse 83.223.73.113). Auf diesem Server befinden sich die Homepages von diversen Projekten und Initiativen. Die Ursache für den Einbruch ist mit hoher Wahrscheinlichkeit ein von unseren Nutzer_innen programmiertes PHP-Skript welches es versehentlich erlaubte fremden Quellcode auszuführen.

Der Einbruch betrifft ausschließlich diesen Server. Nutzer_innen die dieses System nicht nutzen, sind von dem Problem de-facto nicht betroffen, wir haben uns aber dennoch entschieden alle Nutzer_innen über den Vorfall zu informieren.

Seit wann bestand das Problem?

Die letzten Einträge die wird gefunden haben stammen vom 8. November 2010. Weiter zurück reichen unsere Aufzeichnungen nicht. Der Zeitpunkt deckt sich aber etwa mit dem Zeitpunkt an dem uns erste Unregelmäßigkeiten an dem Server aufgefallen sind. Es kann davon ausgegangen werden das der eigentliche Angriff irgendwann im Oktober stattfand.

Da wir aus Datenschutz/Privacy gründen die Zugriffe auf den Webserver nur begrenzt und anonymisiert aufzeichnen, können wir den genauen Verlauf des Einbruchs nicht mehr nachvollziehen.

Warum ist das nicht eher aufgefallen?

Wir haben das Problem ernst genommen, sind jedoch zuerst nicht davon ausgegangen das Schadsoftware auf den Server hochgeladen wurde, sondern das der Spam-Versand über ein fehlerhaftes Kontaktformular ausgeführt wird. Da der Spam-Versand wellenartig und unregelmäßig erfolgte war es recht schwer festzustellen ob Änderungen die wir an der Server-Konfiguration vorgenommen haben zum Erfolg geführt haben oder nicht. Durch unsere anfängliche These wie der Spam Versand zustande kommt, haben wir an der falschen Stelle gesucht. Nachdem die Server-IP wiederholt auf einer Spam-Blacklist gelandet ist, war klar das dass Problem noch nicht behoben ist. Anfang Dezember haben wir den Server erneut untersucht. Zufällig lief in dieser Zeit der Spam-Versand und wir sind dabei auf die Schadsoftware gestoßen.

Was wurde gemacht?

An dieser Stelle können wir nur mutmaßen. Derzeit sieht es so aus als ob die Angreifer_innen den Server lediglich zum Spam-Versand genutzt haben. Prinzipiell können wir nicht ausschließen das die Angreifer_innen auch versucht haben auf persönliche Daten / Foren / Datenbankinhalte zuzugreifen. Nach allem was wir bisher gefunden haben ist das aber eher unwahrscheinlich. Nach bisheriger Analyse handelt es sich um einen automatisierten Angriff von Spammern, die in der Regel kein Interesse an persönlichen Daten haben.

Konkret war eine Domain betroffen, die auch die Lücke enthielt. Dort wurde durch die Angreifer_innen Software hinterlegt die zum automatisierten Spam-Versand genutzt werden kann, sowie eine sogenannte PHP-Shell die es ermöglicht beliebige Befehle (mit den Rechten des Webservers auf dem Server auszuführen - wie z.B. Dateien zu öffnen, oder zu verändern.

Im Rahmen der Untersuchung des Einbruchs sind wir noch auf zwei weitere PHP-Shell Skripte gestoßen, wobei noch nicht klar ist ob die in einem Zusammenhang mit dem Einbruch stehen.

Welche Konsequenzen hat der Einbruch?

Wir werden die Konfiguration des jetzigen Webservers so anpassen, das Programmierfehler in PHP-Skripten nicht mehr so leicht auszunutzen sind. An dieser Stelle müssen wir einen Kompromiss zwischen Sicherheit und Benutzbarkeit des Systems finden.
Des Weiteren nehmen wir keine neuen PHP-basierten Webseiten an, die selbst programmiert / oder gewartet sind. Als Alternative werden wir in Zukunft ein von uns administriertes Wordpress-System zur Verfügung stellen, in dem Leute eigene Inhalte hinterlegen, aber keine Softwareveränderungen vornehmen können.
Für Projekte die nicht öffentlich sind, oder nicht für die Öffentlichkeit bestimmte persönliche Daten enthalten, werden wir bis Ende Januar einen speziell gehärteten PHP-Webserver aufbauen. Leider können wir diesen Service nicht allen Projekten anbieten, weil uns schlicht die Hardware-Resourcen dafür fehlen.

Wir appellieren im Rahmen dieses Vorfalls wieder an unsere Nutzer_innen verantwortungsvoll mit ihren persönlichen Daten umzugehen. Wir sind natürlich immer sehr darum bemüht die Daten unserer Nutzer_innen zu schützen, allerdings können und wollen wir keine Verantwortung dafür übernehmen. Ein Vorfall wie jetzt kann immer passieren und in diesem Bewusstsein sollten die Resourcen genutzt werden. Für interne Kommunikation ist eine dezentralere Infrastruktur wie ein verschlüsselter E-Mail Verteiler sicher besser geeignet, als ein Forum auf einem öffentlichen Webserver. Eine ausführliche Position von uns zu diesem Thema findet Ihr hier.

Für Rückfragen stehen wir gerne zur Verfügung.

Downtime unseres Netzes

Sat Nov 27 17:00:19 +0100 2010

Heute Nacht, d.h. 27.11.2010 gegen 23.00 bis ca 0.00 wird es eine Unterbrechung der Erreichbarkeit unseres gesamten Netzes geben. Unser zentraler Router braucht eine kurze Wartungspause.