Ein sehr schöner Cartoon zum Thema stammt von Geek & Poke.

Zu den Ursachen: Am Montag, 06:37 Uhr wurde der Server Opfer einer erst seit kurzem bekannten Sicherheitslücke (Apache kill tool). Durch diese Schwachstelle ist es für externe Angreifer möglich, den Server durch Überlastung unerreichbar zu machen. Auch wenn dabei keinerlei Daten auf dem Server manipuliert oder gestohlen werden können, bedeutet dies einen Ausfall aller Dienste. Dieser Ausfall wurde von mir gegen neun Uhr bemerkt. Bei den folgenden Reparaturarbeiten kam es anschließend zu unerwarteten Komplikationen, welche erst durch eine Neuinstallation zentraler Komponenten behoben werden konnte. Ab Dienstag, 15:00 Uhr waren wieder alle Dienste (HTTP, POP3, IMAP, SMTP) verfügbar.

Es scheint wahrscheinlich, dass der Server nicht gezielt Opfer dieser Attacke wurden, sondern zufällig in einer lange Liste von willkürlich angegriffen Systemen steht. Trotz ständiger Aktualisierung des Servers ist es leider nicht möglich, ähnliche Angriffe für die Zukunft auszuschließen. Wir arbeiten dennoch beständig daran, derartige Probleme so gut wie möglich zu verhindern.

Mehr zu den technischen Details:

Wie bereits bemerkt, war der Server montags nicht erreichbar. Nach einem Reboot mit dem Recovery-System fand sich folgendes in /var/log/apache2/error.log:

[Mon Sep 19 06:37:55 2011] [notice] child pid 24919 exit signal Segmentation fault (11)
[Mon Sep 19 06:37:58 2011] [notice] child pid 24928 exit signal Segmentation fault (11)
…
[Mon Sep 19 09:22:11 2011] [notice] child pid 15859 exit signal Segmentation fault (11)
[Mon Sep 19 09:22:11 2011] [notice] child pid 15889 exit signal Segmentation fault (11)

$ less /var/log/error.log |grep -w “Segmentation fault” | wc -l
> 16866

Das sah doch deutlich nach einem DoS-Angriff auf den Server aus, vermutlich das Apache Kill Tool. Um etwaige Patches für den Apache zu installieren, rief ich apt-get upgrade auf – ein riesen Fehler! Denn an dieser Stelle rächte sich, dass ich zwar /, /home, /var gemountet hatte, nicht allerdings /proc, /sys, /dev, /dev/pts. Danach funktionierte der Reboot erst mal nicht mehr. Viele frustrierende Stunden später ist klar: Obwohl ich das Upgrade noch während des Downloads von Paketen abgebrochen hatte, waren entscheidende Systemkomponenten (udev, …) verändert worden. Dies führt dazu, dass die Partitionen /home, /var nicht mehr gemountet wurden, weshalb auch keiner der Dienste (Apache, Postfix, Dovecot, …) gestartet werden konnte. Ironischer Weise funktionierte auch syslog nicht, da dieser ebenfalls auf /var schreibt. Die Lösung war letztendlich, einen neuen Kernel samt Bootloader zu installieren, da der installierte Kernel nicht korrekt mit udev funkionierte. Damit bleiben zwei positive Aspekte des ganzen Dramas:

1. Ich habe bei der Fehlersuche einiges Über den Systemstart und Runlevels gelernt, und
2. Das System hat jetzt einen neuen Kernel samt grub 2

Die Moral: Falls du jemals deine Maschine unter einem anderen Kernel mountest, sei bloß vorsichtig mit Upgrades!

AllowUsers admin
The option AllowUsers specifies and controls which users can access ssh services. Multiple users can be specified, separated by spaces.

Separated by spaces – not by commas. Was das für den ssh-Login heißt, könnt ihr euch ja denken…

420 Tage Uptime, und dann sowas!

Angefangen hat alles mit ein paar Bildern, die ich letzte Woche unerwartet geschickt bekam. Da web.de seinen Nutzern sagenhafte 12MB Speicherplatz zugesteht, war das Postfach dicht. Und ab diesem Zeitpunkt lehnt web.de konsequent jede eingehende Nachricht ab. Super! Da ich unterwegs war, konnte ich mich nur kurz auf der Weboberfläche einloggen, um das fragliche Mail ungelesen (!) zu löschen. Doch damit war das Problem nicht behoben, wie ich erst eine Woche später zufällig erfahren musste. Den web.de steckt gelöschte Mails in den Papierkorb und dort zählen sie natürlich weiterhin zum Speichervolumen. Keine weitere Benachrichtigung, keine Warnung a la “Wir ignorieren gerade alle Ihre eingehenden Mails.” Kurz: Nichts von dem, was man als Mindestanspruch an ein Postfach formulieren würde, funktioniert hier!

Deshalb liebe Leser: Meine Emailadresse bei web.de wird eingestellt. Ich bin zu einem Anbieter gezogen, der Speicherplatz nicht willkürlich auf 12MB beschränkt um seinen Kunden 5 Euro/Monat für ein funktionierendes Postfach aus der Tasche zu ziehen. Jetzt habe ich 7600MB Speicherplatz, völlig kostenlos unter wuerfl@gmail.com.

ps. gmail verzichtet auch auf Fristen zwischen POP3-Logins – ein weiteres großes Manko bei web.de.

So oder so ähnlich sieht jetzt meine Festplatte aus. Das war sogar gewollt. Da mein Notebook demnächst zur Reparatur muss, habe ich beschlossen, meine Festplatte zu verschlüsseln. Ist wie immer eine viel größere Aktion geworden, als geplant. Dabei bringt Ubuntu eigentlich schon alles mit, was man bräuchte (cryptsetup und luks). Aber mit einem falschen Konfigurationsparameter und einer vergessenen Zeile in der fstab lässt sich das Prozedere beinahe beliebig verkomplizieren. Aber hey: auf diese Weise habe ich etwas über initramdisks und den Systemstart gelernt. Dem Orakel sei Dank…

Wer sich für die technischen Details interessiert, darf gerne in mein Wiki schauen. Dort schreibe ich seit drei Jahren zusammen, wasimmer ich für nützlich halte.