Updates #10

Leider wurden diese Woche all unsere schönen Pläne über den Haufen geworfen, da es an allen Ecken und Enden gebrannt hat. Defekte Festplatten, crashende MySQL-Server und schwer zu findende Seiteneffekte von Web-Server-Konfigurationen haben uns die Woche auf Trab gehalten.

Die Ausfälle haben aber dazu geführt, dass wir unsere Status-Seite weiter aufgeschlüsselt haben. Dort sind nun nicht mehr „Premium-Paket“ und „kostenloser Webspace“ als Platzhalter für jeweils Webserver, Datenbanken und FTP zu finden, sondern diese 3 Teilsysteme sind dort als separate Punkte aufgeführt. Alle 3 Komponenten werden von einem externen System getestet und Störungen werden automatisch eingetragen. Deshalb sind dort Störungen bereits zu finden, wenn die Technik gerade erst alarmiert wird.

Am zweiten Advent setzen wir übrigens unsere Advents-Aktion mit einem Gewinnspiel fort. Es lohnt sich, am Sonntag mal auf Facebook, den Blog oder Twitter zu schauen 😉

Wir posten Freitag Nachmittags einen kleinen Rückblick auf die Woche. Auch nächste Woche tut sich bestimmt wieder einiges, also: kiek mol wedder rin!

Updates Nr. 00001001 (#9)

Nach bewegten zwei Wochen endlich wieder ein Update! Eine Vorschau auf die kommende Advents-Aktion, Infos zu Let’s Encrypt und unsere Traffic-Filterung sind wesentlichen Themen der letzten Woche:

Wir haben die Filterung und das Routing von ausgehendem Traffic auf dem Webspace grundlegend überarbeitet. Die ausgehende Netzwerk-Anbindung vom Freespace wird immer wieder für DDoS-Angriffe, Portscans oder SQL-Injections „benutzt“. Schon vor Ewigkeiten haben wir deshalb UDP-Traffic komplett gesperrt und nur eine Liste von freigeschalteten Ports ist mit Rate-Limits (z.B. 50 Pakete/s je Port) erlaubt. Zudem gab es eine Sperrliste von IPs für TCP-Verbindungen, meist nach Beschwerden der IP-„Besitzer“. 2014 haben wir dann die Architektur unseres Webspace wesentlich verändert und konnten seitdem nicht mehr nachvollziehen, welcher User-Account einzelne Pakete verschickt hat. Pakete konnten wir nur noch an einem Router abgreifen, der diese Information nicht mehr kannte. Um das wieder zu ermöglichen mussten wir unsere Filter- und Routing-Lösung deutlich anpassen. Der ausgehende Traffic wird nun über ein eigenes Gateway gerouted. Zudem haben wir die Filterung des Traffics direkt zur Quelle, in die Webspace-LXC-Container verlagert, um dort auch die User-ID abgreifen zu können. Damit sind wir nun wieder in der Lage, insbesondere Portscans und UDP-DDoS einem Account zuzuordnen und den Account zu sperren, statt nur Traffic zum Ziel zu filtern.

Let’s Encrypt hat am 17.11. ein Update ihrer Zertifizierungsstellen-Software ausgerollt und dabei unsere Anbindung an Let’s Encrypt beeinflusst. Es war uns nicht mehr möglich, für Domainnamen zu verifizieren dass wir berechtigt sind, Zertifikate auszustellen. Für Domainnnamen, wo dies bereits nachgewiesen wurde, gab es keine Einschränkungen. Die Ursache war letztendlich einfach: in der von uns benutzten Bibliothek wurde ein selbst-signiertes Zertifikat ausgestellt, wie es die Protokoll-Spezifikation vorschreibt. Die neue Software von Let’s Encrypt konnte dieses Zertifikat nicht mehr einlesen, wenn sie während der Verifizierung zu unseren Web-Servern verbinden wollte. Es stellte sich heraus, dass dieses Zertifikat keine Seriennummer enthielt und der neue Zertifikatsparser zwingend eine Seriennummer erfordert. Einen ähnlichen Bug, damals fehlte die X509-Version, hatten wir bereits im August entdeckt und gefixt. Auch für diesen Bug haben wir unseren Patch für die Bibliothek eingereicht. Let’s Encrypt hat zu dem Problem ebenfalls eine Advisory herausgegeben.

Am Wochenende ist der erste Advent und wir starten die Adventszeit direkt mit einer großen Domain-Aktion! Am Sonntag beginnen wir mit saftigen Rabatten für ausgewählte Top-Level-Domains und die Domains eines deutschen Bundeslandes gibt es für wenige Tage sogar komplett kostenlos (für das erste Jahr)! Es lohnt sich also, Sonntag bei uns reinzuschauen! An den nächsten Adventssonntagen wird es zudem Gewinnspiele geben, in denen wir unter anderem lima-city-Merchandise verlosen!

Wir posten Freitag Nachmittags einen kleinen Rückblick auf die Woche. Auch nächste Woche tut sich bestimmt wieder einiges, also: kiek mol wedder rin!

Updates IIX

Schon wieder ist eine Woche vorbei – übrigens lohnt sich jetzt ein Blick auf den Kalender: Weihnachten kommt jetzt immer schneller näher (obwohl die Zeit objektiv angeblich immer gleich schnell vergeht), jetzt Geschenke zu besorgen spart später eine Menge Stress 😉 . Wir haben übrigens schon „Geschenke“ besorgt, es gibt in der Vorweihnachtszeit nämlich das ein oder andere zu gewinnen, aber dazu mehr in den nächsten Wochen! Auch diese Woche wir wir fleißig:

Wir haben final DKIM für alle Domains ausgerollt, die bei uns registriert sind und unsere Nameserver benutzen. Damit können Empfänger von E-Mails und auch deren Mail-Server, z.B. als Teil des Spam-Filters, über eine kryptografische Signatur prüfen, dass eine E-Mail von einem Absender kommt, dessen kryptografischer Schlüssel vorher per DNS veröffentlicht wurde. Derzeit veröffentlichen wir per DNS einen Schlüssel für unseren Mail-Server, der die E-Mails transparent signiert. Alle E-Mails, die per Webmail oder SMTP (von authentifizierten Benutzern, also mit Benutzername+Passwort) an unseren Mail-Server geliefert werden, werden automatisch signiert. Die meisten Spam-Filter sehen eine erfolgreich geprüfte Signatur als Signal für „kein Spam“. Weitere Domain Keys können natürlich jederzeit per DNS eingetragen werden. Google/Gmail beispielsweise zeigt dann ein „Schloss-Symbol“ neben der E-Mail an und zeigt in der E-Mail-Ansicht ein „Signiert von mustermann.de“.

In der Verwaltung haben wir einen Filter für E-Mail-Postfächer und -Weiterleitungen hinzugefügt, so dass lange Listen nun schneller und „instant“ durchsucht werden können. Zudem ist die Liste etwas optisch verbessert worden, so dass das Postfach bzw. die E-Mail-Adresse schneller zu erkennen ist.

Außerdem haben wir eine Möglichkeit zum Ausgleich von offenen Beträgen auch per PayPal, Kreditkarte etc. statt nur per Banküberweisung hinzugefügt. Unter „Bestellungen“ wird im Tab „Rechnungen“ nun der Saldo und bei negativem Saldo ein Button zum Ausgleich mit den gewohnten Zahlungsmethoden angezeigt.

Beim phpMyAdmin haben wir die bisherige Eingabe von Datenbank-Benutzername und Datenbank-Passwort durch einen Single-Sign-On ersetzt. Beim Aufruf des phpMyadmin auf https://pma.lima-city.de/ wird nun auf die Datenbank-Verwaltung weitergeleitet, wo ein Button „in phpMyAdmin anmelden“ zu finden ist. Mit einem Klick auf diesen Button wird die Anmeldung zum phpMyAdmin automatisch durchgeführt.

Genug aus dem Maschinenraum, und nun ab in’s Wochenende! Wir posten Freitag Nachmittags einen kleinen Rückblick auf die Woche. Auch nächste Woche tut sich bestimmt wieder einiges, also: kiek mol wedder rin!

Updates Numero 7

Thank god it’s Friday! Heute gibt’s am Ende zusätzlich ein paar News aus dem Maschinenraum, aber first things first:

Für das Premium-Paket kann nun der Speicherplatz von 10 GB bis 100 GB selber eingestellt werden. Bei der Buchung und beim Ändern (wo auch Preis und Abrechnungszeitraum mit Wirkung zur nächsten Abrechnung geändert werden können) des Premim-Vertrags kann also nun auch der Speicherplatz flexibel festgelegt werden. Wenn der Speicherplatz mehr als 10 GB betragen soll wird ein entsprechender Mindestpreis verlangt, also bspw. für 30 GB sind es 6 € Mindestpreis pro Monat (3 x 10GB á 2,00 € = 6,00 €). Der Speicherplatz ist im übrigen eine Soft-Quota, die Hard-Quota ist 10% mehr (wobei diese „Zugabe“ auf 2 GB gedeckelt ist).

Zudem haben wir in PHP den Zugriff auf /dev/urandom erlaubt, was u.a. in ownCloud eine Warnung verschwinden lässt. Auch das GMP-Modul (GNU Multiple Precision), eine Mathematik-Erweiterung mit beliebiger Präzision, ist dazugekommen.

Außerdem haben wir das Erzeugen von Backups auf den Premium-Servern verbessert. Die Backups werden nun von einem Snapshot des Dateisystems statt vom Dateisystem selber kopiert, damit das Backup in sich konsistent ist (z.B. bei Dateisystem-Caches wichtig). Außerdem packen wir die MySQL-Backups nun nicht mehr mit gzip sondern mit dem wunderbaren zstd von Facebook, einem neuen Kompressionsalgorithmus mit exzellenten Kompressionsraten und -zeiten. Für den Benutzer ändert sich dadurch allerdings nichts, da der Backup-Server daraus eine .zip-Datei macht, die mit allen „handelsüblichen“ Programmen gelesen werden kann. Der Storage-Server freut sich aber trotzdem über mehr Platz auf der Festplatte 😉

Zudem gab es die üblichen Bugfixes, aber auch intern haben wir einige größere Verbesserungen umgesetzt, die man nicht „von außen“ bemerken kann. Beispielweise haben wir das Deployment unserer Verwaltung von capistrano auf mina umgestellt und damit die Zeit für ein Deployment der App von ca. 90-120 Sekunden auf 30 Sekunden verkürzt. Das heißt dass Code, der gerade „frische entwickelt“ ist nun zwar nur eine Minute schneller online ist, aber wenn man darauf wartet ein Problem zu lösen kann das eine Ewigkeit sein 😉 Übrigens hat unser CI-Server mittlerweise schon 1.166 mal Code automatisch getestet und dann auf die Produktionssysteme geschoben – und das nur für die Webseite www.lima-city.de, andere Teilprojekte gar nicht mitgezählt! Und wo wir schon bei Zahlen sind: wir haben derzeit 988 Testfälle, mir denen der Build-Server die Anwendung vor jedem „Go Live“ testet.

Genug aus dem Maschinenraum, und nun ab in’s Wochenende! Wir posten Freitag Nachmittags einen kleinen Rückblick auf die Woche. Auch nächste Woche tut sich bestimmt wieder einiges, also: kiek mol wedder rin!

Update-Freitag #6

Diese Woche haben wir einen Punkt abgehakt, auf den wir besonders stolz sind: unser Software-Installer, der bisher nur den Installer für Software-Pakete wie WordPress, Joomla, myBB usw. auf dem Webspace abgelegt hat, kann nun auch das Setup ausführen. Damit ist der Software-Installer nun in der Lage, vom Benutzer einmal alle wichtigen Informationen abzufragen (Webseiten-Adresse, Datenbank, Webseiten-Titel, Admin-Username etc.) und anschließend den Setup-Assistenten der Software „durchzuklicken“. Und das im wahrsten Sinne des Wortes, denn es wird tatsächlich das von der Software mitgelieferte Setup benutzt und mit den eingegebenen Informationen befüllt. Am Ende steht dann hoffentlich die Erfolgsmeldung, so wie in diesen Beispielen von WordPress, ownCloud, myBB und phpBB, osCommerce, Contao oder diesem Joomla-Beispiel.

Manchmal gibt es dabei Probleme, weil das Setup einige Angaben nicht akzeptiert. Ein Beispiel ist WordPress, das ein ziemlich starkes Admin-Passwort verlangt.In diesem Fall machen wir einen Screenhot der Seite, auf der das Setup nicht weiter funktioniert und zeigen dem Benutzer diesen Screenshot wie in diesem Beispiel. So lassen sich die Fehler schnell und unkompliziert beheben. Der Software-Installer zeigt praktischerweise auch an, wie lange die Installation einer bestimmten Software in etwa dauern wird (das berechnen wir mit dem Mittelwert der Installationen aus den letzten 7 Tagen). Zum Glück sind das in der Regel aber weniger als 60 Sekunden!

Nun müssen wir unsere „Bibliothek“ an Setup-Scripten, welche die Installation „steuern“, erst einmal aufbauen. Derzeit sind die folgenden Software-Pakete vollautomatisch installierbar:

  • WordPress (Deutsch)
  • Joomla!
  • ownCloud
  • phpBB
  • myBB
  • Contao (3.5 LTS)
  • osCommerce
  • Prestashop

In den nächsten Tagen werden wir weitere Software-Pakete mit dem neuen Setup ausstatten. Zudem pflegen wir gerade Beschreibungen und Screenshots ein, so dass man sich vorher besser über die Software-Pakete informieren kann (die sind jetzt noch nicht live!).

Zudem haben wir die Möglichkeit geschaffen, E-Mail-Postfächer und -Weiterleitungen für Subdomains anzulegen (z.B. info@vertrieb-nord.musterfirma.de). Nicht unbedingt ein sehr häufiger, aber doch ein sehr nachvollziehbarer Wunsch, den wir endlich umgesetzt haben. Die Subdomains werden nicht automatisch eingerichtet (da nicht zu jeder Subdomain auch gleich E-Mail-Postfächer eingerichtet werden sollen). Bisher macht das der Support für Dich, also schreib‘ uns bei Interesse bitte eine kurze E-Mail (support@lima-city.de).

Zudem haben wir nun wieder die automatische Verlängerung von Domains per SEPA-Lastschrift und Kreditkarte in die Verwaltung integriert. Unter „Websites & Domains“ steht nun neben dem Ablaufdatum ein Link zum Einrichten der automatischen Verlängerung. Dabei werden eine SEPA-Bankverbindung oder Kreditkartendaten abgefragt. Natürlich kann auch eine bestehende Zahlungsmethode, z.B. vom Premium-Paket, ausgewählt werden.

Wir posten Freitag Nachmittags einen kleinen Rückblick auf die Woche. Auch nächste Woche tut sich bestimmt wieder einiges, also: kiek mol wedder rin!

Update-Freitag #5: Backup-System

Auch diese Woche hat sich wieder einiges getan, leider war vieles davon hinter den Kulissen. Ein kleiner Einblick:

Beispielsweise haben wir den Restore-Prozess beschleunigt. Wenn wir (z.B. im Premium-Paket täglich) ein Backup machen, wird das Backup sofort an einen Storage-Server (ein 4HE Supermicro SC847E16 mit derzeit 30x 2TB, 6 Einschübe sind noch frei) übertragen. Dort liegen die Backups dann bis zu dem Moment, an dem sie wieder angefordert werden: es muss aber natürlich das Backup irgendwann wiederhergestellt werden, in der Regel in ein zip-Archiv. Das haben wir beschleunigt, u.a. in dem die temporären Dateien nun auf einem schnelleren RAID entpackt werden. Ein Test-Archiv von 2 GB Endgröße mit 125.000 Dateien wird nun in etwa 5 Minuten erstellt (aus dem Backup-Format extrahiert und wieder zu einem zip-Archiv zusammengefügt). Übrigens stellt das Restore-System demnächst das 500. mal Daten aus dem Backup wieder her – ob das gut oder schlecht ist, darüber kann man sicher streiten 😉

Das Abrechnungssystem für Premium-Pakete haben wir überarbeitet, denn in Zukunft wollen wir den Speicherplatz beim Premium-Paket flexibel gestalten. Dann lässt sich nicht nur der Preis und Abrechnungszeitraum mit Wirkung zur nächsten Abrechnung einstellen, sondern auch den Speicherplatz in Schritten von 10 GB. Vorerst werden wir 200 GB als Obergrenze setzen. Wir überlegen jetzt nur noch an der Preisstaffel (für den Mindestpreis) herum, dann kann es losgehen.

Natürlich gab es auch einiges an Bugfixes und Verbesserungen, z.B. in der Webseiten-Statistik, wo es einen Fehler bei der Umrechnung gab, versehentlich zweimal getätigte PayPal-Zahlungen für eine Bestellung können einfacher und schneller erstattet werden und neu angemeldete Accounts werden gleichmäßiger auf alle Server-Systeme verteilt.

Wir posten Freitag Nachmittags einen kleinen Rückblick auf die Woche. Auch nächste Woche tut sich bestimmt wieder einiges, also: kiek mol wedder rin!

Update-Freitag #4: kurze Woche, kurze Liste

Diese Woche war nicht nur kürzer als sonst, wegen Krankheit war auch der Support etwas geringer besetzt. Deswegen gibt’s leider nicht so viel zu berichten:

Eine Vereinfachung gibt es bei der Verbindung zum MySQL-Server. Statt „[username].lima-db.de“ oder „mysql.lima-city.de“ kann jetzt auch „localhost“ verwendet werden um zur Datenbank zu verbinden. Das funktioniert allerdings nur vom „eigenen Webspace“ aus, also der Account „mustermann“ kann per „localhost“ zu seinen eigene Datenbanken verbinden, aber nicht zu denen von „mustermann2“. Auch von extern funktioniert das (natürlich) nicht, denn „localhost“ ist immer die eigene Maschine.

Wir prüfen nun die DMARC-Header eingehender E-Mails, sofern sie vorhanden sind. DMARC ist ein Standard zur Authentifizierung und Überwachung von E-Mails, die den Missbrauch von Absender-Adressen verringern soll. Bisher ist der Filter nur im Test-Modus: E-Mails, welche die DMARC-Prüfung nicht bestehen, werden noch nicht abgelehnt. Den Filter schalten wir voraussichtlich im Laufe der nächsten Woche scharf, wir möchten noch überwachen ob es unvorhergesehene Probleme gibt. Wir erhoffen uns, dass noch weniger Phishing- und Spam-Mail in die Mailboxen gelangt 🙂

Bei der Aufschaltung von Domains werden es seit Kurzem vier IP-Adressen zur Eintragung angeboten um Lastverteilung und DDoS-Schutz zu erreichen. Manche Domain-Provider unterstützen allerdings nur eine IP-Adresse (was unfassbar albern ist, aber lassen wir das…). Wir haben nun eine Möglichkeit hinzugefügt, DNS-Probleme bei der Aufschaltung zu ignorieren und so z.B. nur eine IP-Adresse aufzuschalten.

Eine Kleinigkeit kam auch noch dazu: wenn bei der Domain-Registrierung oder dem Domain-Umzug ein Fehler auftritt, wird nun eine detailliertere Fehlermeldung angezeigt (z.B. „Transfer-Lock gesetzt“, „AuthInfo stimmt nicht überein“ etc.).

Wir posten Freitag Nachmittags einen kleinen Rückblick auf die Woche. Diesmal etwas kürzer wegen des Feiertags, aber vielleicht erwartet Dich nächste Woche ein Feuerwerk an interessanten Änderungen! Also: kiek mol wedder rin!

Update-Freitag #3: E-Mails, E-Mails und noch mal E-Mails….

Bald ist Wochenende! Und es hat sich auch in dieser Woche wieder einiges getan, das wir euch nicht vorenthalten wollen.

Beim E-Mail-Server ist einiges passiert. Wir haben in den Statistiken des Virus-Filters entdeckt, dass einige Viren durchgerutscht sind und E-Mails mit Viren zugestellt wurden. Mit einem Update haben wir die Erkennungsrate des Viren-Filters verbessert, unsere Test-Dateien wurden danach korrekt abgelehnt (wir nehmen E-Mail mit Viren gar nicht erst an sondern lehnen sie direkt ab).

Zudem haben wir die E-Mail-Zustellung verbessert. Einige Provider, die eingehende E-Mail besonders scharf prüfen, hatten E-Mails von unserem Server vorher abgelehnt. Nach einem Hinweis eines Kunden auf diese Nichtzustellbarkeit haben wir einige Punkte der Konfiguration überarbeitet und dabei unter anderem die E-Mail-Zustellungsrate verbessert, auch in dem wir über mehrere ausgehende IP-Adressen (natürlich IPv6 und IPv4) versenden. Zudem bereiten wir die DKIM-Signierung von ausgehenden Mails vor, wenn die Domains bei uns registriert sind.

Auch für das Webmail Roundcube gab es ein Update auf die Version 1.2.2 (von 1.2.1). Es gibt eine Liste der Änderungen in dem Update. Zusätzlich haben wir den „Abwesenheits-Benachrichtigungen“-Tab in den Einstellungen aktiviert, so dass bei Abwesenheit einfacher eine automatische Antwort eingerichtet werden kann.

Bereits in der letzten Woche hatte ich zudem über die Schwierigkeiten bei der automatische Aktualisierung der Status-Seite gebloggt. Das hat sicher geändert, nun werden alle Komponenten auf der Status-Seite automatisch auf den aktuellen Status gesetzt. Dazu ruft ein Programm die aktuellen Test-Ergebnisse von den Monitoring-Providern, die unsere Server überwachen, ab (wir setzen parallel ein: Webmon, Monitis, Uptime Robot und New Relics Synthetics – zusätzlich zu einer eigenen Icinga2-Installation). Daraus wird ein Graph erzeugt, dessen Knoten jeweils eine Verfügbarkeit abhängig von dem Status ihrer „Kind-Knoten“ errechnen. Die Kind-Knoten sind die Monitoring-Ergebnisse der verschiedenen Provider. So ergibt sich schnell ein Überblick darüber, welche Teilbereiche des Systems von einem Problem betroffen sind und das Programm ändert dann die Status-Seite. Nur einen sinnvollen Text dazu verfassen und auf die Status-Seite schreiben, das ist derzeit noch nicht vorgesehen – aber verbessern kann man immer noch 😉

Das war’s auch schon wieder mit den Änderungen dieser Woche. Wir posten Freitag Nachmittags einen kleinen Rückblick auf die Woche. Stay tuned und gucke auch nächste Woche wieder rein!

Update-Freitag: DDoS, aufgeschaltete Domains und Status-Seite

Am letzten Wochenende wurden wir seit langer Zeit einmal wieder stärker mit DDoS-Angriffen belästigt. Das (beliebte) Ziel war die IP-Adresse, die wir zum Aufschalten von Domains benutzen (212.83.45.137). Bei kleineren DDoS-Angriffen ist die Standard-Lösung: unsinnige Pakete filtern (im Idealfall direkt am Switch) und fertig. Wenn das Angriffs-Volumen allerdings ein gewisses Maß übersteigt greift automatisch eine weitere Maßnahme: Nullrouting. Nullrouting ist „DIE“ Methode, um große DDoS-Angriffe abzuwehren: die Pakete an die angegeriffene IP werden schlicht von dem Netzwerk-Equipment nicht weitergeleitet. Große und kleine Anbieter nutzen diese Methode immer dann, wenn die Bandbreite des Angriffs so groß wird, dass das Filtern nichts mehr hilft.

Das Problem beim Nullrouting ist: wenn die IP-Adresse 212.83.45.137 wegen Nullrouting (aufgrund eines DDoS-Angriffs auf eine aufgeschaltete Domain) nicht mehr erreichbar ist, dann sind alle aufgeschalteten Domains nicht mehr erreichbar. Genau das war auch am letzten Wochenende der Fall, weshalb wir später noch eine Liste weiter IP-Adressen herumgeschickt haben, die als Alternative verwendet werden konnten und weiterhin online waren.

Um in Zukunft eine stabilere Aufschaltung von Domains gewährleisten zu können haben wir uns einfacher Mathematik bedient: „Ziehen ohne zurücklegen und ohne der Beachtung der Reihenfolge“ (n über k). Haben wir es damals nicht in der Schule geliebt?

Wir haben einen Block von IP-Adressen (bspw. 192.168.0.2 bis 192.168.0.50) in unseren „Pool“ gelegt. Jedes Mal, wenn eine Domain aufgeschaltet wird, ziehen wir aus diesem Pool eine Liste von 4 IP-Adressen und prüfen, dass diese Kombination bisher noch nicht vergeben wurde. So erhält jeder Kunde eine individuelle Liste von IP-Adressen, die nur für ihn „reserviert“ ist. Bei dem Aufschalten der Domain wird diese IP-Liste im DNS für die Domain eingetragen.

Wenn nun ein DDoS-Angriff stattfindet gibt es zwei Möglichkeiten (wir betrachten nur den Fall, dass der Angriff stark ist):

1. der Angreifer greift nur eine einzelne IP-Adresse an: diese IP-Adresse wird durch Nullrouting abgeschaltet. Da für die aufgeschaltete Domain mehrere IP-Adressen eingetragen sind, benutzt der Browser die nächste IP-Adresse aus dem DNS.
2. der Angreifer greift alle IP-Adressen für diese aufgeschaltete Domain an: es werden alle IP-Adressen mit Nullrouting abgeschaltet. In diesem Fall ist die aufgeschaltete Domain nicht zu erreichen – allerdings kann (durch den Vergleich mit der IP-Liste) identifiziert werden, welche Domain das Ziel des Angriffs war und weitere Maßnahmen ergreifen.

Ein weiterer Vorteil ist, dass alle anderen aufgeschalteten Domains weiterhin funktionieren, da die IP-Listen nicht ganz, sondern höchstens teilweise gleich sind. Schöner wäre es noch, wenn wir die IP-Adressen für die aufgeschalteten Domains dynamisch verwalten könnten, denn dann würden wir auch Fälle wie Nr. 2 behandeln können (durch Austausch von IP-Adressen) und bei Nr. 1 die Verbindungszeiten reduzieren (durch Entfernen von IP-Adressen), aber leider ist eben genau das bei aufgeschalteten Domains nicht möglich.

Das Formular zum Aufschalten von Domains haben wir für diese Änderung natürlich auch deutlich überarbeitet. Es lassen sich nun auch (mit Premium-Paket) direkt E-Mail-Dienste für Domain-Aufschaltungen konfigurieren, das war vorher nur über ein gesondertes Menü machbar.

In dem Zusammenhang haben wir noch einige Änderungen am internen Netzwerk an der Kommunikation der Webspace-Server untereinander vorgenommen, so dass die interne und externe Kommunikation besser getrennt ist. Ein eingehender DDoS-Angriff führt nun nicht mehr zu kurzzeitigen Fehlermeldungen von „Fehler 503“ o.ä.

Zu guter letzt haben wir uns auch berechtigte Kritik an der Status-Seite anhören müssen. Das Problem an der Status-Seite ist bisher, dass viele Ereignisse nicht automatisch auf der Status-Seite eingetragen werden. Bisher wurden die Informationen aus dem Monitoring darüber, welchen Status einzelne Dienste haben (und ggf. welche Probleme), nicht automatisch zu einem einheitlichen „Bild“ zusammengesetzt, was auf die Status-Seite übertragen werden kann. Unser Monitoring ist ein viel, viel komplexeres Gebilde als die Ansicht auf der Status-Seite und muss dementsprechend erst einmal eingedampft werden. Bisher haben wir dazu die Tools des Monitoring direkt verwendet, haben aber seit Monaten bereits an den Tools gearbeitet um die Monitoring-Daten aufzubereiten und daraus ein besseres Gesamtbild zu bauen – das dann automatisch auf die Status-Seite publiziert wird. Diese Tools werden wir in Kürze produktiv schalten, so dass die Status-Seite deutlich bessere Informationen enthält.

Und als winzige Kleinigkeit ist noch das LDAP-Modul für PHP installiert worden.

Wir posten Freitag Nachmittags einen kleinen Rückblick auf die Woche. Stay tuned und gucke auch nächste Woche wieder rein!

Update-Freitag: Webmail + Mobile-Skin

Passend zum Wochenende haben wir ein paar Updates eingespielt: das Webmail wurde auf eine aktuelle Version aktualisiert, die viele Fehler behebt. Zudem haben wir nun erstmalig ein Mobile-Skin installiert, mit dem das Webmail auf Mobilgeräten besser funktionieren sollte.

Ganz nebenbei haben wir dann auch noch ein PHP-Update (im wesentlichen ein Sicherheits-Update) auf 5.6.26 eingespielt.

Wir wünschen ein schönes Wochenende!

« Ältere Beiträge