cd /var/amavis/quarantine
rm spam-*
/bin/rm: Argument list too long.
Huch?
Ui.
time nice -n 19 find /var/amavis/quarantine/ -name "spam-*.gz" | xargs zcat >> /var/spam-mbox-2006-2007
real 23m50.562s
user 0m17.353s
sys 0m15.173s
ls -lah /var/spam-mbox
-rw-r--r-- 1 root root 627M Feb 15 20:18 /var/spam-mbox-2006-2007
ls /var/amavis/quarantine/spam-* | xargs rm -rf
Tschö.
Also wenn mal jemand was Futter für sa-learn braucht…
Fr, 15. Feb 2008 um 22:01 Uhr
Christian
Teil 1:
Sehr geehrte Kunden,
Im Zeitraum vom 16.10.2007 bis zum 19.10.2007 wird das gesamte
Rechenzentrum auf neue USV Anlagen vom Hersteller Masterguard
umgestellt.
…
Die Umstellung auf die neuen USV Anlagen erfolgt, bis auf eine
Ausnahme, unterbrechungsfrei. Kunden deren Server von dieser
Ausnahme betroffen sind und eine Unterbrechung der Stromver-
sorgung erwartet wird, werden wir nochmals gesondert in per
E-Mail informieren. Alle anderen Kunden die innerhalb der
nächsten 24h keine Benachrichtigung erhalten, werden
unterbrechungsfrei auf die neuen USV Anlagen umgestellt.
…
Mit freundlichen Grüßen,
Ihr IPX-Server Team
Teil 2:
Sehr geehrte Kunden,
beim angekündigten Umbau der USV-Anlagen heute Nacht gab es einen
unerwarteten Fehler. Die Stromzuführung der USV-Anlage
synchronisierte nach aktuellem Kenntnisstand fehlerhaft, was zu
einem Ausfall der Stromkreise an diesem Segment der USV-Anlage
führte. Dabei wurde ein Großteil der IPX-Colocation sowie die
internen Systeme betroffen.
Der Strom ist zwischenzeitlich wieder hergestellt, unsere
Techniker prüfen nun alle betroffenen Server, ob der Strom wieder
voll zur Verfügung steht und alle Systeme wieder hochfahren.
Wir würden Sie parallel dazu bitten, Ihre Systeme kurz zu prüfen,
ob alle Dienste wieder ordnungsgemäß laufen. Falls Ihr Server in
spätestens 30 Minuten nicht online ist schreiben sie uns bitte
eine Email an support@ipx-server.de, unser Support-Team steht
Ihnen gerne zur Verfügung.
Mit freundlichen Grüßen,
Ihr IPX-Server Team
Die Stromzuführung syncronisierte fehlerhaft? wtf?! Also ich habe schon bessere Ausreden für “hab Mist gebaut” gehört.
Teil 3:
Sehr geehrte Damen und Herren,
nach Prüfung der Angelegenheit und Stellungnahme der beteiligten
Elektrofirma möchten wir Sie über die Ursache des Ausfalls vom
vergangenen Dienstag informieren.
Die USV-Anlage mußte während dem Umbau in den Bypass-Betrieb
geschaltet werden. In diesem Modus wird die USV-Anlage umgangen
und der Strom direkt aus dem öffentlichen Stromnetz in die
Colocation eingespeist.
Beim Rückschalten vom Bypass in den USV-Betrieb passierte einem
beteiligten Elektriker gegen 6:40 Uhr ein Schaltfehler, durch den
die Stromzuführung zur Colocation kurzzeitig unterbrochen wurde.
Betroffen waren dadurch etwa 90% der IPX-Server Colocation sowie
das Gameserverprojekt XG1, welches ebenfalls in der IPX-Server
Colo untergebracht ist.
Der Strom war nach wenigen Minuten wieder hergestellt.
Unsere Technik-Crew war dann damit beschäftigt, alle Systeme
wieder lauffähig ans Netz zu bekommen, wobei der Tausch der
defekten Hardware oberste Priorität hatte.
Wenige Stunden nach dem Ausfall waren die meisten Systeme wieder
in Betrieb, leider gab es jedoch auch einige Ausnahmen, die etwas
länger dauerten. Dies war zumeist aufgrund der länger dauernden
Rettung von Daten defekter Festplatten, da dies bei großen
Datenmengen längere Zeit dauert.
Wir möchten uns bei unseren Kunden für den Ausfall und den damit
verbundenen Umständen entschuldigen. Wir haben alles unternommen,
um jeglichen Ausfall von technischer Seite zu vermeiden, doch
konnten wir den Schaltfehler der Fachleute nicht vorhersehen.
Selbstverständlich sind wir allen Kunden, welche einen Ausfall
durch eine defekte Hardware hatte, sofort entgegengekommen und
haben ohne weitere Prüfung der Garantie alle nötigen Teile
getauscht.
Auch wurden alle Aufträge, die aus dem Ausfall resultierten,
kostenfrei durchgeführt, auch dann, wenn das System durch
fehlerhafte Konfiguration nicht sauber wieder startete. Kunden
müssen also aufgrund des Ausfalls keine Kosten auf der nächsten
Rechnung befürchten.
Als Konsequenz daraus haben wir die Zeiten für den Umbau neu
angesetzt und mit zusätzlichen Sicherheitsmaßnahmen versehen.
Künftig werden wir jede Schaltung vor der Durchführung 3-fach
prüfen lassen. Eine Prüfung erfolgt jeweils durch die
Elektrofirma, durch den Hersteller der USV-Anlage sowie durch
unsere hauseigenen Mitarbeiter. So wollen wir sicherstellen, dass
es zu keiner falschen Schaltung mehr kommen kann.
Wir denken, dadurch alles nur mögliche unternommen zu haben, um
sowohl technische wie auch menschliche Fehlerfaktoren
auszuschließen und den restlichen Umbau ohne weitere Ausfälle
abschließen zu können.
…
Mit freundlichen Grüßen,
Ihr IPX-Server Team
vgl.: http://www.heise.de/newsticker/meldung/97474
Auch die Kommentare sind durch das Passwort geschützt. Mi, 17. Okt 2007 um 13:19 Uhr
Christian
So. Nach ein paar Tagen wollte ich dann auch mal den Erfolg von P0F überprüfen. Dazu habe ich logwatch benutzt. Mit folgendem Befehl bekommt man z.B. eine schöne Übersicht über amavisd-new:
emerge -u logwatch
logwatch.pl --detail High --service amavis --range '-3 days'
Interessant ist in diesem Fall die Auflistung der Regeln, hier mal die P0F Regeln ausgeschnitten:
Rank Hits % Msgs % Spam % Ham Rule
---- ---- ------ ------ ----- ----
7 508 88.81% 123.90% 8.64% L_P0F_OS_WINDOWS_OTHER
16 196 34.27% 47.80% 35.80% L_P0F_OS_UNKOWN
22 104 18.18% 25.37% 0.00% L_P0F_OS_WINDOWSXP
27 84 14.69% 20.49% 11.11% L_P0F_D_7_9
96 12 2.10% 2.93% 19.75% L_P0F_OS_LINUX
138 4 0.70% 0.98% 12.35% L_P0F_D_5_6
Nach diesen Zahlen habe ich die Regeln wie folgt angepasst:
header L_P0F_OS_WINDOWSXP X-Amavis-OS-Fingerprint =~ /^Windows XP/
score L_P0F_OS_WINDOWSXP 3.5
header L_P0F_OS_WINDOWS_OTHER X-Amavis-OS-Fingerprint =~ /^Windows(?! XP)/
score L_P0F_OS_WINDOWS_OTHER 2.5
header L_P0F_OS_UNKOWN X-Amavis-OS-Fingerprint =~ /^UNKNOWN/
score L_P0F_OS_UNKOWN 0.2
header L_P0F_OS_LINUX X-Amavis-OS-Fingerprint =~ /^Linux/
score L_P0F_OS_LINUX -0.5
header L_P0F_OS_UNIX X-Amavis-OS-Fingerprint =~ /^((Free|Open|Net)BSD)|Solaris|HP-UX|Tru64/
score L_P0F_OS_UNIX -1.0
header L_P0F_D_1_4 X-Amavis-OS-Fingerprint =~ /\bdistance [1-4](?![0-9])/
header L_P0F_D_5_7 X-Amavis-OS-Fingerprint =~ /\bdistance [5-7](?![0-9])/
header L_P0F_D_8_10 X-Amavis-OS-Fingerprint =~ /\bdistance (8|9|10)(?![0-9])/
header L_P0F_D_10_20 X-Amavis-OS-Fingerprint =~ /\bdistance (10|11|12|13|14|15|16|17|18|19|20)/
score L_P0F_D_1_4 -0.7
score L_P0F_D_5_7 -0.5
score L_P0F_D_8_10 0.3
score L_P0F_D_10_20 0.5
Ich habe die Scores angepasst und auch die Distance Intervalle. [5-6] und [7-9] war wohl nicht optimal gewählt. Eigentlich müsste man die Windowsversionen genauer unterscheiden. Leider ist das anhand des P0F outputs kaum möglich.
Fr, 05. Okt 2007 um 11:33 Uhr
Christian
p0f ist ein Programm das passiv bei einer TCP-Verbindung das Betriebsystem des anderen Rechners erkennt. Es besteht offensichtlich ein Zusammenhang zwischen Betriebsystem des Rechners der eMails einliefert und der Spamwahrscheinlichkeit. amavisd-new kann sich dies mit Hilfe von p0f zu nutze machen.
Hier eine Anleitung zur Einrichtung unter Gentoo. Ich geh davon aus, dass amavisd-new bereits komplett eingerichtet ist.
Erstmal braucht man die aktuelleste amavisd-new Version und p0f (stable reicht):
echo "mail-filter/amavisd-new ~x86" >> /etc/portage/package.keywords
emerge -u net-analyzer/p0f mail-filter/amavisd-new
Sobald beides installiert ist, startet man p0f-analyzer:
p0f -l 'tcp dst port 25' 2>&1 | p0f-analyzer.pl 2345 &
Jetzt muss p0f in der /etc/amavisd.conf aktiviert werden, dazu folgende Zeile auskommentieren (Zeile ~115):
$os_fingerprint_method = 'p0f:127.0.0.1:2345'; # query p0f-analyzer.pl
Jetzt fehlt nur noch ein Regelsatz für SpamAssassin. Einfach eine Datei /etc/spamasassin/p0f.cf mit folgendem Inhalt erstellen und bei Bedarf anpassen:
header L_P0F_OS_WINDOWSXP X-Amavis-OS-Fingerprint =~ /^Windows XP/
score L_P0F_OS_WINDOWSXP 3.5
header L_P0F_OS_WINDOWS_OTHER X-Amavis-OS-Fingerprint =~ /^Windows(?! XP)/
score L_P0F_OS_WINDOWS_OTHER 1.7
header L_P0F_OS_UNKOWN X-Amavis-OS-Fingerprint =~ /^UNKNOWN/
score L_P0F_OS_UNKOWN 0.8
header L_P0F_OS_LINUX X-Amavis-OS-Fingerprint =~ /^Linux/
score L_P0F_OS_LINUX -0.3
header L_P0F_OS_UNIX X-Amavis-OS-Fingerprint =~ /^((Free|Open|Net)BSD)|Solaris|HP-UX|Tru64/
score L_P0F_OS_UNIX -1.0
header L_P0F_D_1_4 X-Amavis-OS-Fingerprint =~ /\bdistance [1-4](?![0-9])/
header L_P0F_D_5_6 X-Amavis-OS-Fingerprint =~ /\bdistance [5-6](?![0-9])/
header L_P0F_D_7_9 X-Amavis-OS-Fingerprint =~ /\bdistance [7-9](?![0-9])/
header L_P0F_D_15_25 X-Amavis-OS-Fingerprint =~ /\bdistance [15-25](?![0-9])/
score L_P0F_D_1_4 -0.7
score L_P0F_D_5_6 -0.5
score L_P0F_D_7_9 -0.3
score L_P0F_D_15_25 0.3
Der erste Block vergibt Punkte anhand des Betriebsystems, der zweite Block anhand der “Entfernung” sprich der Hops zum einliefernden Host.
Quelle:http://mail-archives.apache.org/m….Mark.Martinec+sa@ijs.si%3E
Weitere Infos: http://lcamtuf.coredump.cx/p0f.shtml, http://www.ijs.si/software/amavisd/
Mo, 01. Okt 2007 um 00:05 Uhr
Christian
Der Horde Framework bzw. Horde/IMP ist ein sehr mächtiger Webmailer. Standardmäßig können Benutzer in den persönlichen Einstellungen eine beliebige Absenderadressen für ihre eMails einstellen. Das ist in einer Shared-Hosting Umgebung natürlich nicht sinnvoll. Jedoch kann man bei Horde für fast alle Einstellungen und Optionen sogenannte Hooks einstellen die die entsprechenden Felder ausfüllen. In diesem Fall soll die Absenderadresse aus der Confixxdatenbank anhand des POP3/IMAP Kontos gehohlt werden.
Eine funktionsfähige Horde/IMP Installation setzte ich mal Vorraus. Die Anleitung bezieht sich auf Horde 3.1.4 und IMP 4.1.4.
Zuerst wird folgende Funktion in die Datei horde/hooks.php eingefügt:
if (!function_exists('_prefs_hook_from_addr')) {
function _prefs_hook_from_addr($user = null) {
// Confixx Datenbank Passwort ändern
$dbserver = 'localhost'; $dbuser = 'confixx'; $passw = 'ABCDE';
$link = mysql_connect($dbserver,$dbuser,$passw);
mysql_select_db('confixx');
$query_from = "SELECT prefix,domain FROM email_forward INNER JOIN email on email_forward.email_ident = email.ident WHERE `pop3` = '".$user."'";
$row = mysql_fetch_array(mysql_query($query_from));
if ($row[0] == "*") {$from_email = "catchall@".$row[1];}
else {$from_email = $row[0]."@".$row[1];}
if ($row[0] == "") $from_email = "mail-admin@".$row[1];
mysql_free_result($result);
mysql_close();
return (empty($from_email) ? $user : $from_email);
}
}Jetzt muss der Hook noch aktiviert werden. Dazu muss in der Datei horde/prefs.php der Block für from_addr so aussehen:
$_prefs['from_addr'] = array(
'value' => '',
'locked' => true,
'shared' => true,
'type' => 'text',
'hook' => true,
'desc' => _("Your From: address:")
);Damit wird der Hook aktiviert (‘hook’ => true) und die Veränderung der Variable verhindert (‘locked’ => true).
Viel Spaß
So, 23. Sep 2007 um 16:15 Uhr
Christian
zu lesen unter: http://xpkzxc.com/exploits/confixx.txt.
Die Lücke lässt sich aber leicht schließen. z.B. mit folgender /var/www/confixx/html/admin/business_inc/.htaccess (Pfad muss möglicherweise angepasst werden):
Außerdem verwendet Confixx folgende PHP Einstellungen für seinen VHost:
php_admin_value allow_url_fopen off
php_admin_value open_basedir /var/www/confixx
damit ist die Gefahr nicht sonderlich groß.
Apropos Confixx: Falls ihr Probleme bei hinzufügen von SSL Zertifikaten habt: http://forum.swsoft.com/showthread.php?s=&threadid=45385.
UPDATE: Jetzt auch auf heise.de
Di, 24. Jul 2007 um 18:04 Uhr
Christian
Als das es nicht genug gewesen wäre, dass mein Notebook kaputt gegangen ist, nein. Alturo, der Betreiber meines RootServers, macht dicht. Jetzt habe ich eine Server bei IPX, dieser ist war leider deutlich teuer, jedoch habe ich hier den Traffic frei. Mal sehen, was ich damit so anstelle…. Der Umzug war kein Problem. Ich habe den neuen Server übers Rescue System neu partitioniert und dann einfach per rsync den alten Server auf den neuen geklont. Nach ein paar kleinen Änderungen am kernel (andere Netzwerk und IDE Treiber) und der Netzwerkkonfiguration lief der Server dann auch schon. Allerdings musste ich Confixx neuinstallieren, weil sich die Lizenz nicht hat aktivieren lasssen. Alles in allem aber nur wenige Stunden Arbeit.
Sa, 28. Okt 2006 um 16:33 Uhr
Christian
Notiz an mich selbst: Ausführung von poweroff, halt, shutdown auf entfernten Rechnern verhindern…. Jul 10, '06
