DNS DDoS?
by admin on Mai.14, 2010, under Technik
Mir ist gerade durch Zufall aufgefallen, dass auf meinem privaten DNS Server die Queries stark angestiegen sind:
Die Anfragen kommen so gut wie alle von dieser IP: 91.202.63.129 und mit folgendem Query: query: . IN NS +
Ich konnte mir da erstmal keinen Reim drauf machen, also hab ich die IP erstmal mit iptables geblockt (iptables -D INPUT -s 91.202.63.129 -j DROP), und mich dann mal an die Google gemacht. Daraufhin habe ich folgendes gefunden:
It’s a forged request asking you to participate in a DDoS thats been going on since last Wedensday, it’s best if you firewall off your replies to those IP’s so you don’t participate in harming the innocent victims.
Quelle: http://groups.google.com/group/comp.protocols.dns.bind/browse_thread/thread/5cd9084a0a43abcd/b81aec0be38a886f
Nunja, so ganz schlau werde ich daraus nicht, mal sehen was die Googlesuche noch so hergibt. Dank IP-Tables ist jetzt aber erstmal Ruhe.
Nachtrag:
“The problem seems to kick in for DNS servers that arent rejecting the queries. Someone is channeling ye ‘ole smurfing methods.
They’re requesting a list of all DNS root servers. If the server don’t reject the query, a 17 byte query becomes a 50k response (or something like that) to the spoofed address.”
Das würde natürlich den Sinn erklären, wenn man mit einer gefälschten Adresse einen Nameserver anfragt, einen selbst die Anfrage nur einen 17byte Request kostet, aber der “Empfänger” der Abfrage mit einer 50k Müllantwort belastet wird.
DENIC und DNS Server Problem
by admin on Mai.12, 2010, under Technik
Hier zum lesen erstmal eine Nachricht der DENIC auf golem.de:
Liebe Kolleginnen und Kollegen,
derzeit kommt es zu einem Fehlverhalten bei einigen .de-Nameservern. Wir sind aktuell dabei das Problem zu qualifizieren und werden Euch mit Statusmeldungen weiter informieren.
Business Services
DENIC eG
Kaiserstraße 75-77
60329 Frankfurt am Main
GERMANYLiebe Grüße,
Cemil Degirmenci
Wavecon GmbH
und folgendes gabs bei Domainfactory zu lesen:
Derzeit lassen sich viele Domains die auf .de enden nicht auflösen. Unsere eigenen Nameserver funktionieren jedoch. Wir gehen derzeit von einem Problem auf Seiten des Betreibers der Top-Level-Domain “.de” aus und halten Sie an dieser Stelle auf dem Laufenden.
[Update 12.05.2010 14:13]
Der Verdacht hat sich erhärtet. Das Problem liegt also nicht in unserem Einflussbereich, wir hoffen auf eine schnelle Problemlösung seitens der DENIC und halten Sie an dieser Stelle auf dem Laufenden.Aktuell liefern 4 der 6 DENIC-Nameserver-IPs auf Anfragen eine Antwort die signalisiert, dass es die Domain nicht gibt. (NXDOMAIN).
[Update 12.05.2010 14:21]
Aktuell sind alle 6 DENIC-Nameserver-IPs nicht mehr erreichbar. Das DENIC ist über das Problem informiert und arbeitet an der Lösung.[Update 12.05.2010 14:49]
Wir haben gegen 14:35 unsere Mailserver angehalten um die Anzahl der Bounces (Nicht-Zustellbarkeits-Benachrichtigungen) zu minimieren. Derzeit nehmen wir auf unseren Postausgangsservern keine E-Mails an. Wir werden E-Mails erneut ausliefern sobald die .de-TLD wieder ordnungsgemäß funktioniert.Derzeit sind wieder 2 von 6 DENIC-Nameservern aktiv. Die restlichen 4 Nameserver liefern aber immernoch fälschlicherweise “Domain nicht gefunden” aus.
Mehr muss man wohl nicht dazu sagen 
Ich habe auch erstmal alle empfangenden Mailgates (Spamschutz etc) angehalten, um die Bouces so gering wie möglich zu halten. Es wird zwar eh mit 450 (temporärer Fehler) abgewiesen wenn die Domain nicht gefunden wird, aber man weiss ja nie…
EDIT: zumindest laut der Statusseite von domainfactory funktionieren wieder alle deutschen DNS-Rootserver. Da bin ich ja mal gespannt. Durch das caching der negativen Antworten kann es aber noch einige Zeit dauern bis wieder alles rund läuft.
Kubuntu – Update auf 10.04 LTS und NVidia Problem
by admin on Mai.11, 2010, under Technik
Gestern hab ich´s dann doch gewagt, auf meinem Zweitrechner von Kubuntu 9.xx auf 10.04 LTS upzudaten. Vorher natürlich brav ein Backup gemacht (irgendwie steh´ ich auf Acronis, grins), und schon gings los mit den Problemen:
Nach dem Upgrade per GUI gabs natürlich auch einen neuen Kernel, nur, nach einem Neustart war´s dann erstmal vorbei mit KDE, weil ich gleich nach dem Start wieder auf der Konsole gelandet bin. Kein Problem soweit dachte ich mir, wie immer einfach mit dem NVidia Treiberinstaller drüberbügeln… Denkste: Er konnte den das Kernelmodul für den Treiber nicht kompilieren, und warf mir einen Haufen Fehlermeldungen um die Ohren. Nach etwas googeln bin ich dann aber doch noch auf die Lösung gekommen:
Nach dem Update auf 10.04 LTS wurden Module automatisch geladen, welche den NVidia Treiber daran gehindert haben das Modul nvidia.ko zu erstellen. Abhilfe schafft nur, wenn man in der /etc/modprobe.d/blacklist.conf folgende Module blacklisted:
- blacklist vga16fb
- blacklist nouveau
- blacklist rivafb
- blacklist nvidiafb
- blacklist rivatv
Dann noch ein gemütliches “sudo apt-get –purge remove nvidia-*”.
Nach einem Neustart konnte ich dann den Treiberinstaller erneut anwerfen, welcher sich nur noch beschwerte dass er den alten Treiber nicht sauber deinstallieren kann, lief aber problemlos durch. Ein weiterer Neustart brachte wieder das gewohnte KDE zum Vorschein.
Bis auf eine neue Farbe der Taskleiste, und einen Haufen Pakete die er entfernt hat konnte ich aber noch keine grossen Vorteile von 10.04 feststellen
PS: Wer immer noch Probleme hat, das könnte daran liegen dass nouveau irgendwie noch geladen wird. Einfach rebooten, in Grub den Recovery Modus auswählen und “root shell”, hier ein “init 3″, und schon sollte es gehen den Treiber zu installieren. Hier geklapt: click me
Postfix – ausgehende IP-Adresse
by admin on Apr.25, 2010, under Technik
Habe gerade für jemanden eine neue ISPCP Installation gemacht, mit mehreren IP-Adressen auf dem Rechner. Da Postfix sich aber mit einer anderen IP-Adresse melden sollte als der Rest (wichtig für den RDNS und AntiSpam), habe ich nach einem Parameter gesucht der das macht:
Damit hört Postfix zwar immer noch auf alle IPs, aber nutzt zum Versenden die gewollte. Einfach z.B. in der main.cf, oder wenn Ihr sie an einen bestimmten Dienst/Transport binden wollt, mit -o in die master.cf.
Bandbreitenlimit bei SCP
by admin on Apr.21, 2010, under Technik
Oha, das ist eigentlich mehr eine Erinnerung für mich, vielleicht brauchts aber noch jemand:
-l limit
Limit bandwidth used to limit, specified in kilobits/second.
Goodbye good old DS5000
by admin on Apr.21, 2010, under Technik
Nur schade um die schöne Uptime…
CMS Made Simple und Google Analytics
by admin on Apr.21, 2010, under Technik
Ich hab mir hier ne halbe Stunde nen Wolf gewundert, warum mein CMS Made Simpl den Google-Analytics Code nicht schluckt, hier die Lösung:
Einfach in dem Template der Wahl vor und nach dem Google-Code einen {literal} Tag nutzen, und mit {/literal} abschliessen
Hetzner EQ6 und zusätzliches Subnetz mit OpenVZ
by admin on Apr.20, 2010, under Technik
Das ging ja einfacher als gedacht: Einfach die Adresse(n) aus dem Subnetz (Wichtig: erste und letzte Adresse sind nicht benutzbar!) in die Config unter /etc/vz/conf eintragen, um den Rest scheinen sich OpenVZ und ip_forwarding zu kümmern, also wirklich Stressfrei. Jetzt kann der Umzug beginnen! Aber vorher erstmal vorsorglich die Lifetime aller DNS einträge nach unten schrauben, damit die Downtimes so kurz wie möglich werden.
Das ClamAV Disaster…
by admin on Apr.18, 2010, under Technik
Wie sicher einige mitbekommen haben, hat ClamAV am 15.04.2010 Update-Signaturen verteilt, die alle Versionen vor 0.95 lahmgelegt haben. Bevor ich hier jetzt nochmal alles abtippe, schaut Euch doch diesen super geschriebenen Blogpost an, der wirklich alles erklärt, und auch zu 98% meine Meinung wiederspiegelt: click me!
Uns hat es natürlich auch erwischt, da wir auf unseren Mailgates amavisd-new in Verbindung mit ClamAV und einem kommerziellen Virenscanner einsetzen. Zum Glück bin ich bei so vielen hirnlosen Mailinglisten angemeldet, dass es mich nicht sonderlich hart erwischt hat. Einfach beim guten alten Debian die Volatile Sourcen eingebunden, und per dist-upgrade ClamAV auf 0.95 gehoben. Dann nur noch Amavis neustarten, und es war wieder alles beim Alten. Viel Spass wenn ein Admin in dieser Zeit im Urlaub ist, und bis zum Ende des Urlaubs keine Mails mehr durchrattern… Und, dann erklärt Euren Chefs doch nochmal, warum Opensource so toll ist
Hetzner EQ6 und der erste Lasttest
by admin on Apr.17, 2010, under Technik
So sieht es aus, wenn man den guten Core i7 für den ersten Lasttest 27000 Bilder über Apache/PHP mit GD in einer PHP-Gallery bearbeiten lässt Bis jetzt macht sich der Server wirklich gut, und scheint auch hier noch einiges an Reserven zu haben. Ich bin gespannt wenn der Server in den produktiven Betrieb übergeht.
