5-Finger-Blog

Diesen Beitrag veröffentliche ich eigentlich 4 Jahre zu spät. Allerdings möchte ich das gerne erzählen, denn immerhin bin ich ja ein ‘Bug-Finder’. Nicht nur bei Password Safe. Es geht um Keyweb und ihre Keymachine-Server bzw. Keyhelp die Keyweb-Server-Verwaltungssoftware. Als ich damals die Zugangsdaten zu meinem ersten eigenen Server bekam, ahnte ich noch nicht, was mich erwartet in Bezug auf die Administration eines GNU/Linux-Rootserver. Keyweb versprach mir jedoch, notfalls auf Windows umsteigen zu können, sofern ich mit Linux Redhat nicht zurecht kommen würde. Ich begab mich also in eine völlig neue Welt…

Bis 2003 war ich Webhosting-Kunde u.a. bei Puretec bzw. 1und1 (1und1 heisst erst seit etwa 2002 so – davor Puretec). Jedenfalls hatte ich die Nase voll von dem Profil-Paket mit 1.000 MB. Fürs gleiche Geld bekam ich bei Keyweb nen kompletten Server mit ner ganzen Festplatte (damals 40 GB). Nun, jedenfalls war der Providerwechsel mit etlichen Domains auch kein grösseres Problem.

Irgendwann habe ich mir dann mal die Festplatten-Inhalte genauer angeschaut. Dabei fiel mir auf, das Keyhelp, die Keyweb-Serververwaltungssoftware (zu finden unter /home/admin/account/), einen Ordner enthält der den Namen ‘backup’ trägt. Irgendwie dachte ich sofort. Hey, moment mal. Der ist ja gar nicht geschützt. Im Ordner lagen Backups der Keyhelp-MySQL-Datenbank (Dateiname z.B. backup-Fri Aug 22 04:02:16 CEST 2008.gz), in der sämtliche Domains, Zugangsdaten und E-mail Adressen abgespeichert waren, die auf dem entsprechenden Server “zu Hause waren”. Ich hab dann gleich mal versucht, von anderen mir bekannten Keyweb-Servern diese Backups runterzuladen, was auch funktioniert hat. Ja sogar über die diversen Suchmaschinen waren etliche Server zu finden. Ich habe natürlich gleich Keyweb informiert. Hier das orginale Ticket vom 23.09.2004 dazu:

upserle. das finde ich heftig…….. wenn ich so drüber nachdenke. gerade rausgefunden.

und zwar:

jede keymachine die über keyhelp verfügt, hat auch einen Backup-Ordner! und da kann jeder brav die Backups runterladen und sehen, welche domains so gehostet sind, und was dazu eingestellt ist.. es sei denn das verzeichnis ist geschützt..

/home/admin/account/backup/

da muss ne lösung her!

und das geht bei jeder Keymachine.

150 finde ich über google.

Es kam auch prompt eine Antwort. Hier die Auszüge aus den Antwort-Tickets von damals.

dies ist in der Tat etwas derb. Wird morgen früh behoben sein (aber darauf muß man erst mal kommen).
Fehler findet man nur durch Zufall oder durch systematisches Suchen. Ich hätte das mit dem Backup wahrscheinlich aus Betriebsblindheit nicht gesehen Vielen Dank also.
ab dem nächsten Update haben die Verzeichnisse das Recht 0750 und zusatzlich noch eine weitere .htaccess. Doppelt hält besser Können Sie ja morgen gucken…

Genau. So hätte das direkt aussehen müssen. Denn es kann ja nicht sein, das man die Backup-Dateien runterladen kann. Was da alles an Daten drin stand. Unfassbar. Ich bin noch heute geschockt, wenn ich da drüber nachdenke. Damals hatte ich noch keinen eigenen Blog, deswegen hole ich das heute nach. Warum gerade heute?

… 4 Jahre sind seitdem vergangen …

Nun wurde mein Server vor ein paar Wochen neuinstalliert. Was musste ich feststellen? Das Backup-Verzeichnis von Keyhelp war bei mir schon wieder nicht geschützt. Zwar waren am ersten Tag noch keine Keyhelp-MySQL-Backups vorhanden, trotzdem habe ich Keyweb nochmal informiert. Denn wenn sie den Ordner schon schützen, dann bitte auch von Anfang an.

Habe natürlich auch gleiche eine Antwort von Keyweb bekommen. Der Ordner wird beim ersten ausführen eines Backups direkt mit gesichert. Und zwar gleich doppelt. Somit sind die Keyhelp-MySQL-Datenbank-Backups also geschützt. Und zwar von Anfang an. Auch wenn nach einer Neuinstallation der Ordnerschutz noch nicht direkt gesetzt wurde. Beim ersten Durchlauf wird das ja nachgeholt. Der entsprechende Cronjob läuft auf meinem Server um kurz nach Mitternacht.

Damals habe ich glaube ich 1GB Ram Extra bekommen, wenn ich recht entsinne. Danke dafür. Und danke auch für die vergangenen Jahre. Bin nun schon fast auf den Tag genau 5 Jahre in Erfurt zu Hause.

www.keyweb.de

So, die Installation ist abgeschlossen. Allerdings sind noch nicht alle Dateien am Platz. Hier und da können also noch Fehler auftauchen. Bitte hier melden wenn was komisch aussieht. Danke!

Vorher: PHP 4 – MySQL 4 – Apache 1.3
Jetzt: PHP 5 – MySQL 5 – Apache 2

Heute, am 12.08.2008 wird mein Server neu aufgesetzt. Aller Voraussicht nach! Und zwar mache ich das wegen des Wechsels auf PHP 5, MySQL 5 und Apache 2. Ich gehe mal davon aus, das WordPress damit zurecht kommt, bisher konnte ich jedenfalls nichts negatives finden. Gibts Anpassungen die ich vielleicht zwingend vornehmen muss an WordPress? Momentan wird noch PHP 4, MySQL 4 und Apache 1.3 verwendet.

Zeitlich sieht das wie folgt aus. Gegen 13:00 Uhr werde ich das Wartungsplugin von Frank aktivieren und den Blog für 2 Stunden etwa dicht machen. Ich mache dann mehrere Backups der Datenbank und sichere das Verzeichnis inkl. aller Unterordner, die momentan rund 600 MB belegen. Auch die anderen Domains werden inkl aller dazugehörenden Einstellungen gesichert. Dazu gehören auch E-mail Adressen Benutzerkonto-Einstellungen etc.

Gleichzeitig gebe ich das Ticket an die Technik weiter, so das die Neunistallation in die Wege geleitet wird. Die nehmen dann den Server vom Netz, schieben die CD oder DVD rein und starten die Neuinstallation. Wenn alles gut geht sollte nach spätestens 1 Stunde die vorübergehende Startseite auftauchen. Dort werden dann erstmal alle Domains auflaufen. Sobald ich wieder via SSH Zugriff habe gehts los mit dem einrichten der Domains, Benutzerkonten, E-mail Adressen, MySQL-Datenbanken etc.

Wer möchte kann das live mitverfolgen. Aus diesem Grund habe ich mich auf dafür entschieden, das nachmittags zu machen. Alles in allem sollte das nicht länger als 3 Stunden dauern. Hoffe ich jedenfalls.

Alles weitere folgt dann morgen auf der Wartungsseite bzw. der vorübergehenden Startseite. Ich werde natürlich die einzelnen Schritte zeitlich dokumentieren und anschliessend hier veröffentlichen.

Ich benutze wie einige vielleicht schon wissen ja den MySQLDumper. Für Datenbank-Backups, für einen flüchtigen Blick in einer meiner Datenbanken (nur kucken – nix anfassen) und natürlich auch für die Wiederherstellung einer Datenbank, sofern man mal ein Problem mit einer Datenbank hat z.B. bei einem Update von WordPress…

Nun sichere ich meist täglich sämtliche MySQL-Datenbanken um einen möglichen Datenverlust vorzubeugen. Denn wöchentliche Backups sind mir zu wenig. Denn wenn man wie ich schon mal in der Situation war, auf ein Backup zurückgreifen zu müssen, dann werden die Abstände zwischen den Backups automatisch immer kürzer.

Jetzt zum Problem. Da ich ja einen eigenen Server habe, sprich ich habe den voll root-Zugriff auf die Maschine. Wenn ich den MySQL Dumper (die Startseite) aufrufe, werden im Ordner /tmp/ direkt schon mal 2 Dateien angelegt.

sess_a959487630122196cb909c6076d81e3e
config_file|s:11:”mysqldumper”;

sess_94d69827ed2ff09002bd4380b719cea5
config_file|s:11:”mysqldumper”;

Das klingt nicht weiter spannend, oder? Noch nicht! Es sind ja erst 2. Wenn ich jetzt ein Multidump von 4 Datenbanken fahre, sieht es nach dem Backup so im /tmp/-Ordner aus.

Diese 660 Dateien sind zwar nur 20 20.000 Bytes, aber das ist ja auch nur ein einmaliger Durchlauf. Aufgefallen ist mir war mir das vor etlichen Monaten schonmal. Nur wusste nicht wo es herkommt. Bis ich jetzt zufällig in den /tmp/-Ordner reingeschaut habe, während sich der MySQL Dumper durch die Datenbanken arbeitete… Ich sah 1.303.488 Dateien, die zusammen fast 40 MB belegt haben. An Hand des Zeitstempels konnte ich über Monate hinweg zurück verfolgen, wann ich zu welcher Zeit ein Backup gemacht habe und wie oft…

Liebes MySQL-Dumper Team, oder war das nur einer Egal. Ich hab zuerst überlegt, ob ich euch das per Mail schicken soll. Ich habe mich dann aber entschieden es zu bloggen. Weil is ja schon ein besonderes Erlebnis, wenn man mal eben 1,3 Millionen Dateien löscht. Jedenfalls solltet ihr den Bug fixen. Oder liegt das eher an meiner Konfiguration?

So sieht das übrigens aus, wenn ich mit dem MySQLDumper ein Backup vom 5-Finger-Blog erstelle. Wohlgemerkt in Kurzfassung.
- Backup erstellen
- Backup wird erstellt
- Backup ist fertig.

http://hollii.de/temp/mysqldumper_5fingerbloga.jpg
http://hollii.de/temp/mysqldumper_5fingerblogb.jpg
http://hollii.de/temp/mysqldumper_5fingerblogc.jpg

www.mysqldumper.de

Auf Grund eines fehlerhaften Eintrags in der Server-Firewall iptables wurden fast 4 Tage die ausgehenden Mails gebremst. Unter /var/spool/clientmqueue haben sich einige tausend Mails gestaut. Nun hab ich den Fehler behoben und klicke auf empfangen…

Es waren fast nur Error-Mails, auf Grund dessen das der Spamfilter nicht mehr mit sendmail in Verbindung stand, da ich 127.0.0.1 auf drop hatte. Versehentlich.

Das Anti-Spam-Programm, welches auf dem Screenshot zu sehen ist, ist Spamihilator

Ich möchte mal eine Übersicht zusammenstellen, die darstellt, wieviel Spam tagtäglich an IXLab.de weitergeleitet wird. Es ist unfassbar viel

05.06.2008 – 5.117 emails
04.06.2008 – 2.632 emails
03.06.2008 – 5.008 emails
02.06.2008 – 2.869 emails
01.06.2008 – 2.343 emails
31.05.2008 – 3.457 emails
30.05.2008 – 3.455 emails
29.05.2008 – 4.908 emails
28.05.2008 – 4.313 emails
27.05.2008 – 4.142 emails
26.05.2008 – 4.065 emails
25.05.2008 – 3.721 emails
24.05.2008 – 3.937 emails
23.05.2008 – 3.891 emails
22.05.2008 – 4.035 emails
21.05.2008 – 3.692 emails
20.05.2008 – 3.314 emails
19.05.2008 – 3.383 emails
18.05.2008 – 3.260 emails
17.05.2008 – 3.273 emails
16.05.2008 – 3.278 emails
15.05.2008 – 3.835 emails
14.05.2008 – 2.419 emails
13.05.2008 – 4.588 emails
12.05.2008 – 3.505 emails
11.05.2008 – 2.479 emails
10.05.2008 – 2.023 emails
09.05.2008 – 2.927 emails
08.05.2008 – 3.021 emails
07.05.2008 – 3.232 emails
06.05.2008 – 2.454 emails
05.05.2008 – 2.433 emails
04.05.2008 – 2.649 emails
03.05.2008 – 2.923 emails
02.05.2008 – 2.603 emails

Unglaublich. Abe gut, so erfüllt mein Spam wenigestens eine sinnvolle Aufgabe.

Vor gut 2 Monaten hatte es ja angefangen, das dieser Server hier von mir, immer mal wieder durchgedreht ist. Es hat wirklich lange gedauert, bis ich raus gefunden habe, warum. Aber echt. Was ich nicht alles in Verdacht hatte. Zuerst dachte, die Berge von Spam zwingen den in die Knie. Nachdem ich aber in der Richtung alles deaktiviert habe, passierte es trotzdem weiterhin. Dann hab ich die Schuld auf vbulletin geschoben. Nach etlichen Tests war dann aber klar, vBulletin hat damit nix zu tun. Nunja, ich habe mich dann in meinem Alltags-Tagebuch auf die Suche nach Änderungen an der Server-Konfiguration gemacht. Denn ich führe ja nicht nur ein Privat-Tagebuch, sondern auch ein Server-Tagebuch, in das ich alles reinschreibe, was das Thema Server betrtifft. Da hätte ich eigentlich schon viel früher drauf kommen können, aber ehrlich gesagt hab ich nie gedacht, das die kleine Änderung so grosse Auswirkungen hat… Nachdem ich das aber dann wieder rückgängig gemach hatte, hat sich der Apache nicht mehr aufgehängt. Und zwar MaxKeepAliveRequests hatte ich verdoppelt auf 100. Vorher stand das auf 50. Schon krass, oder?

Zwar hatte ich die Weiterleitung zu ixlab.de ein paar Wochen ausgesetzt, aber nun läuft wieder fast alles so wie es sein soll. Sprich alle Spam verseuchten E-mail Adressen werden an ixlab.de weitergeleitet. Zur Auswertung. Sprich die Ip-Adressen wandern auf die DNS-Blacklist. Und zwar umgehend, glaube ich jedenfalls. Ich leite die Mails an eine extra dafür eingerichtete Adresse weiter, so das mein Server selbst nicht auf der Blacklist landet, da er ja keinen Spam verbreitet sondern der Spam bei mir einschlägt und weitergeleitet wird. Momentan werden innerhalb 24 Stunden rund 3.000 Mails weitergeleitet. Ich bin ja noch dabei die Weiterleitungen alle zu setzen. Sin bereits jetzt schon 133 E-mail Adressen, die umgeleitet/weitergeleitet werden. Und die habe ich zu 99% noch nie selbst benutzt.. Das sind entweder zusammengesetzte Worte aus dem Duden oder Namenslisten die vor das @ gesetzt werden. Bisher wurde immer “No such user” zurück geworfen, nun aber werden die allesamt ausgewertet.

Danke auch nochmal an Bert Ungerer, der mein Angebot angenommen hat, welches ich beim Hostblogger im Blog gemacht hatte (hier zu finden). Ich muss zugeben, das das leicht untertrieben war was ich da geschrieben hatte. Nun wird mein Spam wenigstens einer sinnvollen “Verwertung” zugeführt. Ich denke mal, das ich das noch auf locker über 5.000 Mails pro Tag steigern kann. Denn: Es werden zur Zeit 3.000 Mails pro Tag umgeleitet an ixlab.de. Ich bekomme dennoch knapp 2.000 ins Postfach. Das sind weit über 5.000 Mails pro Tag. Wenn nicht sogar 6.000.

Das müsste die richtige Seite sein oder?
http://www.dnsbl.manitu.net/

Bzw die hier:
http://www.heise.de/ix/nixspam/

Ich hatte mich gewundert, das immer eine Datei mit dem Namen bcache22.bmc erstellt wurde. Und zwar im Ordner vom Terminal Server Client. Denn das braucht kein Mensch. Bei den heutigen Geschwindigkeiten jedenfalls.

C:\Users\Hollii\AppData\Local\Microsoft\Terminal Server Client\Cache\bcache22.bmc

Irgendwie hat mich das b im Dateinamen (bcache22.bmc) gleich zu den Einstellungen gebracht. Denn ich ich wusste das ich da die Bitmapzwischenspeicherung aktiviert hatte. Also habe ich das Remotedesktopfenster geschlossen und die Datei gelöscht. Nun hab ich die Eigenschaften meiner gespeicherten Remotedesktopverbindung geöffnet (Rechte Maustaste auf date.rpd und Bearbeiten auswählen). Dort habe ich dann im Tab (Registerkarte) Erweitert das Häkchen bei Bitmapzwischenspeicherung entfernt und bin wieder zum Tab Allgemein gewechselt. Ein Klick auf Speichern und dann auf verbinden und schon wird die Datei nicht mehr erstellt. Nun kann man auch noch die Ordner Cache und Terminal Server Client löschen, die bei Bedarf neu erstellt werden.

Ich bin gerade dabei, etwa 50 Leute zu informieren, deren MySQL-Datenbankbackups ich über die Google Suche gefunden habe… Jetzt weiss ich auch, warum die Angabe einer Handynummer sinnvoll ist. Nur nützt das nichts, wenn man sein Handy samt Handynummer verkauft oder man Just4Fun ne falsche Nummer angibt. So wie ich das jetzt gerade mehrfach feststellen musste.

Mehr Details dann etwas später, wenn die Backups alle gelöscht wurden. Denn es sind sogar TopBlogs aus Deutschland darunter! Und ich kann schön alle Daten einsehen. E-mail Adressen, IP-Adressen, unveröffentlichte Beiträge, Benutzernamen, Passwörter, usw… Einfach alles was man in einer MySQL-Datenbank speichern kann.

Es sind zum grössten Teil WordPress-Datenbankbackups….

//Nachtrag: So, die meisten konnte ich informieren. Allerdings verstehen einige nicht auf Anhieb, was ich genau meine…

und wenn mich bis jetzt niemand gehackt-gecrackt – oder wie auch immer man das nennt – hat … dann bestimmt (hoffentlich) auch nicht bis morgen früh.

Aber ich erkläre das gerne auch ausführlich.

Und solche Aussagen mag ich auch nicht wirklich:

ich habe deine Nachricht gerade in meinem Spamordner gefunden.