Um noch bessere Dienste anbieten zu können, sind wir ständig auf der Suche nach Verbesserungen.
Diese Veränderungen sichern unsere Servicequalität nicht nur nachhaltig - nein, sie haben das Ziel unsere gebotene Leistung Schritt für Schritt voranzutreiben.

Ihre Kritik ist unsere Motivation, es noch besser zu machen.


Für eine klare Darstellung wurde das Dossier wie folgt strukturiert:

1. Änderungen bei den Angeboten
   
   
2. Das neue IT Equipment
   
   
3. Informationen für die aktuellen Kunden
   
   
4. und weitere technische Details...
   

Sollten sie irgendwelche Fragen haben, so wenden sie sich bitte direkt per Mail/Telefon an mich.

Es wurde eine neue Version des Cpanel in den "stable Tree" aufgenommen und wir werden natürlich die Server entsprechend updaten.

Status: Erledigt

Aufgrund eines Kernel Update wird der Server in den nächsten Minuten rebootet.

Zitat

Security Advisory - RHSA-2004:166-08 ------------------------------------------------------------------------------ Summary: Updated kernel packages resolve security vulnerabilities Updated kernel packages that fix several minor security vulnerabilities are now available Description: The Linux kernel handles the basic functions of the operating system. iDefense reported a buffer overflow flaw in the ISO9660 filesystem code. An attacker could create a malicious filesystem in such a way that they could gain root privileges if that filesystem is mounted. The Common Vulnerabilities and Exposures project (cve.mitre.org) has assigned the name CAN-2004-0109 to this issue. Solar Designer from OpenWall discovered a minor information leak in the ext3 filesystem code due to the lack of initialization of journal descriptor blocks. This flaw has only minor security implications and exploitation requires privileged access to the raw device. The Common Vulnerabilities and Exposures project (cve.mitre.org) has assigned the name CAN-2004-0177 to this issue. These packages also contain an updated fix with additional checks for issues in the R128 Direct Render Infrastructure. The Common Vulnerabilities and Exposures project (cve.mitre.org) has assigned the name CAN-2004-0003 to this issue. Additionally, hardening of the mremap function was applied to prevent a potential local denial of service attack. All users are advised to upgrade to these errata packages, which contain backported security patches that correct these issues. ------------------------------------------------------------------------------

Status: Erledigt

In der heutigen Nacht kam es zu den gleichen Probleme wie am 18.03.04 (http://www.rubas.net/forums/viewtopic.php?t=38).

Die gemessene Outage begann 04:06:15 und endete 04:20:40.

Bei der Analyse des Vorfalles konnten wir das Problem nun exakt rekonstruiren, was leider aufgrund der Charakteristika dieses Vorfalls zu einer erneuten Downtime zwischen 09:29:24 und 09:53:09 führte.

Die Probleme wurden durch ein Logfileanalyseskript verursacht, welches den Server derart überlastete, dass dieser seinen Dienst für eine bestimmte Zeit quittierte.

Ich möchte mich in aller Form für die Unanehmlichkeiten entschuldigen und ihnen versichern, dass wir alles unternehmen um die Serverstabilität auch weiterhin zu gewährleisten.

Aufgrund der Analysedaten, welche uns Bluewin in den letzten Tagen zur Verfügung stellte, konnten wir das Problem endgültig lokalisieren und eliminieren!

Obwohl hiervon nur Bluewinkunden mit den neuen Class B IP Blocks betroffen waren, trifft Bluewin in keinster Weise Schuld!

Die Problemursache lag bei "ungepflegten" Filtern, welche den Traffic von noch nicht vergebenen IP Ranges filtern sollten.
Traffic von noch nicht vergebenen IP Ranges wurde hier gleichgesetzt mit Traffic mit gefälschtem Absender.
Der Class A Block 83.0.0.0/8 wurde jedoch schon vor mehr als einem Jahr durch die Ripe vergeben und ist somit in Benützung!

Ich möchte mich in aller Form für die entstandenen Unanehmlichkeiten entschuldigen und mich bei Bluewin für die Kooperation bedanken, da wir selbst nicht die Möglichkeit besassen diesen Fehler zu reproduzieren und auszuwerten.

Betroffene IP Range von Bluewin:

• 83.76 /16
  
• 83.77 /16
  
• 83.78 /16
  
• 83.79 /16
  

Note
Aufgrund der Unübersichtlichkeit wurde der alte Thread zu diesem Thema archiviert und durch diesen abschliessenden Bericht ersetzt.

Leider kam es in der Nacht zu einem Zwischenfall mit dem Server cpanel01, welcher zwischen 04:10:03 und 05:04:27 - insgesammt 54 Minuten und 24 Sekunden - keine Anfragen von ausserhalb beantwortete.

Die genaue Fehlerursache ist bis jetzt noch nicht eindeutig geklärt, aber wir sind dabei entsprechende Informationen auszuwerten.

Ich möchte mich hier in aller Form für die dadurch entstandenen Unannehmlichkeiten entschuldigen.

Uptime Statistik - cpanel01

Update:
Fehlerhafte Apache Prozesse, welche den Server komplett überlasteten, waren die Problemursache.
Inwiefern das ganze im Zusammenhang der letzten cPanel/WHM Updates steht, wird noch abgeklärt.

Neuerdings wird beim Aufrufen von http://domain/cpanel und http://domain/webmail standardmässig eine sichere SSL Verbindung erstellt.

Note
Aus diesem Grund erscheint jetzt auch eine Zertifikatmeldung für "cpanelXX.rubas.net" - lassen sie sich davon nicht beunruhigen.

Die LastLogin Funktion zeigt bei Zugriffen über SSL immer "Last login from: 127.0.0.1" an.

Aufgrund einer kritischen Sicherheitslücke wurde cPanel/WHM geupdatet.

Zitat

cPanel Security Advisory - CPANEL-2004:01-01 --------------------------------------------- Date: Thu Mar 11 2004 --------------------------------------------- --------------------------------------------- Summary: --------------------------------------------- Due to a recently discovered bug, it will be necessary for users following the STABLE and RELEASE branches to disable the feature that allows users to reset their password. For those following the EDGE and CURRENT branches, the latest updates have been fixed. A review of the RELEASE tree is still pending, and fixed RELEASE builds may be available in the next 48 hours as well. --------------------------------------------- Description: --------------------------------------------- The feature "Allow cPanel users to reset their password via email", found in WebHostManager in the "Tweak Settings" section allows for a cpanel user to run some commands as the root user. This hole is built in to all compiled cpanel binaries and as such can not be "patched". For users of STABLE and RELEASE branches it is strongly suggested that you disable this feature. For users of the EDGE and CURRENT branches, the latest builds have been updated and compiled without this bug. --------------------------------------------- References: --------------------------------------------- http://www.securityfocus.com/archive/1/357064/2004-03-08/2004-03-14/0 --------------------------------------------- Affected Systems: --------------------------------------------- All builds on all platforms are vulnerable up to and including (9.1.0 build 34), all builds after that have been fixed. --------------------------------------------- Fix Details: --------------------------------------------- For STABLE and RELEASE suers, to remove this feature from user's cPanels, log into WebHostManager as root, open the "Tweak Settings" page, and uncheck the box next to "Allow cPanel users to reset their password via email" and save the change. For EDGE and CURRENT users, update cPanel. The suggested method is to do the following as root from the shell. # /scripts/upcp You can also do this from inside WebHostManager. This should update the cPanel and WHM package to the latest version available where this hole does not exist. ---------------------------------------------

Quelle: BugTraq


Status: Erledigt

Update:
Die Ereignisse überschlagen sich heute und wir sind inzwischen bei der Version 73 angelangt.

Mit Unterstützung von TradeDoubler lancieren wir ein neues Partnerprogramm, welches dem Publisher eine Auszahlung von CHF 0,12 pro Klick garantiert.

Wenn sie Interesse haben uns als Werbepartner zur Seite zu stehen, melden sie sich unter http://www.tradedoubler.ch als Publisher an, um sich für das Partnerprogramm zu bewerben.

Über TradeDoubler
TradeDoubler wurde im November 1999 in Schweden gegründet und ist Europas Marktführer für Online-Marketing und Vertriebslösungen. Führende Industrien in ganz Europa arbeiten mit TradeDoubler zusammen, um mit erfolgsbasierten Marketing-Lösungen höhere Erträge zu erzielen und mit Kooperationen das Online-Geschäft zu koordinieren und zu optimieren. Neben dem Headquarter in Schweden ist TradeDoubler in weiteren 14 europäischen Ländermärkten mit Kunden wie American Express, Apple, Bose, Dell, eBay, Expedia, Germanwings, Kelkoo, Mobile.de, Obi, Sony, T-Online und Viking Direct vertreten. Für weitere Informationen besuchen sie die Website unter www.tradedoubler.ch.

Aufgrund eines Kernel Update wird der Server in den nächsten Minuten rebootet.

Zitat

RHSA-2004:065 - Security Advisory ------------------------------------------------------------------------------ Paul Starzetz discovered a flaw in return value checking in mremap() in the Linux kernel versions 2.4.24 and previous that may allow a local attacker to gain root privileges. No exploit is currently available; however this issue is exploitable. The Common Vulnerabilities and Exposures project (cve.mitre.org) has assigned the name CAN-2004-0077 to this issue. The Vicam USB driver in kernel versions prior to 2.4.25 does not use the copy_from_user function to access userspace, which crosses security boundaries. The Common Vulnerabilities and Exposures project (cve.mitre.org) has assigned the name CAN-2004-0075 to this issue. Arjan van de Ven discovered a flaw in ncp_lookup() in ncpfs that could allow local privilege escalation. ncpfs is only used to allow a system to mount volumes of NetWare servers or print to NetWare printers. The Common Vulnerabilities and Exposures project (cve.mitre.org) has assigned the name CAN-2004-0010 to this issue. Alan Cox found issues in the R128 Direct Render Infrastructure that could allow local privilege escalation. The Common Vulnerabilities and Exposures project (cve.mitre.org) has assigned the name CAN-2004-0003 to this issue. ------------------------------------------------------------------------------

Status: Erledigt

Unser externes Monitoring alamierte uns in der Nacht über eine Downtime.
Der Server war zwischen 03:16:41 und 03:36:15 (19min 34sec) nicht mehr von ausserhalb erreichbar.

Es handelte sich hierbei um ein Netzwerkproblem im Rechenzentrum.

Update:
Ein gecrashter Router, der nach dem Crash auch nicht sauber bootete führte zum obigen Ausfall des Netzwerkes im Bereich des cpanel01 Servers.
Der ganze Vorfall wird noch von den Netzwerktechnikern analysiert und sollte eine weitere Downtime nötig sein um ein zukünftiges Crashen des Routers zu verhindern, werden wir sie natürlich frühzeitig informieren.

Es wurde eine neuere Version des Cpanel in den "stable Tree" aufgenommen und wir werden natürlich die Server entsprechend updaten.

Die Erfahrung zeigt jedoch, dass auch ein "stable" Release mit Vorsicht zu geniessen ist und vorallem ein Update auf die entsprechende Versionen immer wieder zu Komplikationen führen kann.

Aus diesem Grund erfolgt ein Update erst zu einem vernüftigten Zeitpunkt (vorraussichtlich anfangs nächster Woche) um bis dahin Erfahrungsberichte über Probleme und deren Lösungen zusammentragen zu können.

Status: Erledigt

Update: 10.02.2004
Unser Update verlief problemlos.

Diese Woche wurde der Backbone um 3Gbps erweitert.
Neu besitzen die Allegiance Telecom und Abovenet Uplinks eine Bandbreite von je 2Gbps anstelle 1Gbps und desweiteren wurde eine GigE Connection (1Gbps) von Sprint hinzugefügt.

Backbone Providers

2000Mbps - Allegiance Telecom
2000Mbps - Abovenet
1000Mbps - Sprint

1000Mbps - UUNet
1000Mbps - Level 3
1000Mbps - Verio
1000Mbps - Time Warner
1000Mbps - Global Crossing

Aufgrund eines Kernel Update wird der Server in den nächsten Minuten rebootet.

Zitat

Bug Fix Advisory - RHSA-2003:417-08 ------------------------------------------------------------------------------ Paul Starzetz discovered a flaw in bounds checking in mremap() in the Linuxkernel versions 2.4.23 and previous which may allow a local attacker togain root privileges. No exploit is currently available; however, it isbelieved that this issue is exploitable (although not trivially.) TheCommon Vulnerabilities and Exposures project (cve.mitre.org) has assignedthe name CAN-2003-0985 to this issue. These packages also contain a fix for a minor information leak in the realtime clock (rtc) routines. The Common Vulnerabilities and Exposures project(cve.mitre.org) has assigned the name CAN-2003-0984 to this issue. http://www.securityfocus.com/bid/9154/discussion/ ------------------------------------------------------------------------------

Status: Erledigt

Aufgrund eines Kernel Update wird der Server in den nächsten Minuten rebootet.

Zitat

Bug Fix Advisory - RHBA-2003:394-08 ------------------------------------------------------------------------------ These updated kernel packages contain numerous bug fixes, including the following: - An icmp6 socket contention problem was fixed. - Conntrack drops reference after removing confirmed expectation. - A d_move() corner case was fixed. - The Red Hat Linux 7.x / 8.0 kernels now use the same memory management code as Red Hat Linux 9. In particular, implementing the per-zone kscand should improve performance on these older systems. - A memory leak and an unsafe dereference in an i2c ioctl handler was fixed. - Leaking of data in the ioctl's of several RTC drivers was fixed. ------------------------------------------------------------------------------

Status: Erledigt

In Zusammenarbeit mit dem RZ können wir nun eine neue Lösung gegen (D)DoS und Syn Flood Attacken präsentieren.

Alle Server werden von jetzt an durch FloodGuard von NetZentry geschützt, dies erlaubt es uns schneller und vorallem präziser auf entsprechende Angriffe zu reagieren.

Obwohl wir bisher von solchen Angriffe verschont geblieben sind, darf diese Gefahr nicht ignoriert werden.

Weitere Details zu FloodGuard finden sie auf der NetZentry Website.

Um 2.50 in der Nacht hat sich der Server verabschiedet.
Erst ein Reboot hauchte ihm wieder Leben ein und wir versuchen nun die Fehlerursache zu evaluieren und zu beseitigen.

Eine Analyse der Logfiles ergab, dass unzählige fehlerhafte PHP Prozesse eines Kunden schlussendlich die gesammten Ressourcen des Servers aufbrauchten und für den Rest des Systems nichts mehr zur Verfügung stand, was dann auch zum Stillstand führte.

Status: Erledigt

Aufgrund eines Kernel Update wird der Server in den nächsten Minuten rebootet.

Zitat

Security Advisory - RHSA-2003:392-05 ------------------------------------------------------------------------------ The Linux kernel handles the basic functions of the operating system. A flaw in bounds checking in the do_brk() function in the Linux kernel versions 2.4.22 and previous can allow a local attacker to gain root privileges. This issue is known to be exploitable; an exploit has been seen in the wild that takes advantage of this vulnerability. The Common Vulnerabilities and Exposures project (cve.mitre.org) has assigned the name CAN-2003-0961 to this issue. All users are advised to upgrade to these errata packages, which contain a backported security patch that corrects this vulnerability. ------------------------------------------------------------------------------

Status: Erledigt

Aufgrund eines Bugs in einigen (darunter auch den aktuellsten) Versionen des Internet Explores kommt es zu Problemen bei dem Download von Zip und Exe Dateien bei aktivierten mod_gzip.
Der Download wird im IE nicht gestartet, da die Dateiinformationen nicht ausgelesen werden können.

Um diesen Problem entgegenzutreten wurde mod_gzip für folgende Dateiformate manuell deaktiviert.

• .zip
  
• .exe
  
• .bz2
  
• .rar
  
• .pdf
  

Falls dieses Problem bei weiteren Formaten auftreten sollten, bitte ich um eine Mail um diese ebenfalls ausschliessen zu können.
Man erkennt das Problem daran, dass sich das Fenster für die Eingabe eines Dateinamens bei einem Download im IE nie öffnet. Die Downloads aber mit anderen Browsers/Programmen einwandfrei funktionieren.

Status: Erledigt

Ein Bug in der aktuellen Version von ProFTPD führt zu Performanceproblemen, da sich unter Umständen ein oder mehrere Prozess erhängen und den gesammten CPU für sich beanspruchen.

Bis dieses Problem endgültig behoben ist, wechseln wir zu PureFTPD als FTP Server Daemon.

Status: Erledigt