Stellen Sie sich vor: Nach einem ausgedehnten Spaziergang mit dem Hund kommen Sie nach Hause und merken, dass Sie nicht in die Wohnung kommen, da der Vermieter das Schloss ausgetauscht hat. Im Briefkasten landet ca. nach einer Stunde ein Brief, in dem heißt es: "Aufgrund der Überbeanspruchung haben wir Ihre Wohnung vorübergehend gesperrt."
Worin die Überbeanspruchung genau besteht, verrät man Ihnen nicht. Vielmehr hat sich an der "Wohnsituation" schon seit Wochen oder Monaten nichts geändert. Die Vertraglich zugesicherten Limits sind bei weitem noch nicht ausgeschöpft.
Schwer ist es auch im ausgesperrten Zustand nach Lösungen für Probleme zu suchen, die angeblich im Inneren zu finden wären. In einem Nebensatz erwähnt der Vermieter, dass er auch eine etwas teuerere Mietswohnung im Angebot hätte, die u.U. die Lösung für dieses Problem wäre.
Die Geschichte ist nicht frei erfunden. Sie spielt aber auch nicht in der Realität, sondern in der virtuellen Welt des Internets. Bei dem Vermieter handelt es sich um die Firma Hosteurope, die u.a. so genannte Webhostingpakete
vermietet. Die zu meinem Paket gehörenden 7 Domains, z.B.
www.beautifulda.de und www.fuldaecho.de wurden vor Kurzem gesperrt, da
eine Überlastung vorläge.
Es folgt ein Rückblick der letzten 12 Tage. Wer es genau wissen möchte, kann auch den anonymisierten Mailwechsel mit Hosteurope hier nachlesen.
1. Tag: Donnerstag, 16. November
Am Donnerstag, 16. November ca.
gegen 13.00 Uhr bemerke ich, dass keine meiner Domains in meinem
Webpack bei Hosteurope funktionieren. Auf telefonisches Nachfragen,
ca. gegen 14.00 Uhr erhalte ich die Auskunft, dass auf dem Server
wohl „nur der Apache einmal neu gestartet werden müsse“.
Um 15.23 Uhr erhalte ich eine
Mail, die mich darauf hinweist, dass eine „Überlastung“
vorliegt und das Webpack deshalb gesperrt wurde. Der enthaltene
Hinweis „vielleicht wechseln Sie auch auf einen VPS“
klingt wie Erpressung, wenn gerade alle sieben Domains, die ich in
diesem Paket habe, ohne Vorwarnung abgeschaltet wurden.
In meiner sehr freundlichen Antwort
(kurz vor 16.00 Uhr) zeige ich mich verwundert, dass keine
Ankündigung erfolgte. Ich verweise auch auf das Problem, dass
ich keinerlei Ansatzpunkt besitze, wie ich die Last reduzieren
könnte.
Das freundliche Nachfragen meinerseits
wird gegen 17.00 Uhr mit einem harschen Hinweis auf §5
der von mir akzeptierten AGBs beantwortet. Der Sachbearbeiter zitiert
sogar den passenden Gummiparagraphen, nachdem der Webhoster eine
Sperrung immer vornehmen darf, sofern „eine übermäßige
Inanspruchnahme der Einrichtungen des Providers“ vorliegt. Mit
dem Hinweis „folgende Einträge in unseren Logs haben zur
Sperrung Ihres Webpack geführt“ erhalte ich einen
unkommentierten Logfile-Auszug, ohne jeden zeitlichen Bezug und ohne
irgendeinen Hinweis auf die Bedeutung der Spalten.
Immerhin sind IP-Adressen in der
Logdatei enthalten. Das Webfrontend zum Abrufen der Logfiles
funktioniert trotz der Sperrung. So kann ich sehen, dass am gleichen
Tag tatsächlich ein Angriff auf eine Komponente des CMS Joomla
erfolgte.
Ich ging daher davon aus, dass der
Hosteurope-Support recht hätte, schrieb in meiner Antwort um
18.00 Uhr sogar, dass es in diesem Fall meine Schuld sei und
bedankte mich. Ich bat um eine schnelle Freischaltung und gab an,
dass ich die betreffenden Domains deaktivieren würde.
Was ich zu diesem Zeitpunkt noch nicht
wusste. Es hatte zwar einige hundert Zugriffe auf das Verzeichnis der
Joomla-Komponente gegeben, doch liefen fast alle Zugriffe ins Leere
(404-Fehler). Die restlichen Zugriffe waren überschaubar.
Zusammen mit dem Autor der Komponente überprüfte ich die
vermutete Sicherheitslücke. Ergebnis nach 4-5 Stunden
intensiven Suchens: es gab keine Sicherheitslücke!
Immerhin wurde das Paket gegen 18.30
Uhr freigeschaltet.
3. Tag: Samstag, 18. November
Frühmorgens
wurde mir per Mail mitgeteilt, dass das Paket nun wieder
freigeschaltet wäre. Außerdem wurde mir mitgeteilt, dass
mir eine Textdatei bereitgestellt wurde, die potenziell „unsichere
Dateien“ enthielte. Leider konnte ich die Datei aufgrund falsch
gesetzter Zugriffsrechte (Eigentümer „root“) nicht lesen.
Um 9.00 Uhr
teilte ich dies dem Support mit.
5. Tag: Montag, 20. November
Nun war ich mir
sicher, dass keine Joomla-Sicherheitslücke bestand. Dies teilte
ich dem Support gegen 20.00 Uhr per Mail mit und fragte nach
dem Grund des gesperrten Webpacks (z.B. zuviel Hauptspeicher und/oder
CPU-Verbrauch).
7. Tag: Mittwoch, 22. November
Der Support teilte
mir nun mit, dass die Zugriffsrechte der Datei angepasst wurden, so
dass ich nun endlich einen Blick darauf werfen konnte. Der Inhalt war
eine Liste der Dateien, die nicht per FTP hochgeladen wurden, sondern
direkt auf der Webpräsenz, z.B. via PHP oder CGI Skripte erzeugt
wurden. Da ich via PHP-Shell auf dem Webpräsenz arbeite,
besitzen fast alle Dateien (22000 an der Zahl) den Eigentümer
nobody.
Wie Hohn klang der
folgende Satz in der gleichen Mail in meinen Ohren:
„Zum
Zeitpunkt der Überlasstung war Speicher und CPU überlasstet
genaueres lässt sich aber nicht sagen denn dies wird nicht
geloggt.“
Mehr als eine
pauschale Aussage war also nicht drin. Vor allem der Zeitpunkt wurde
immer noch nicht genannt.
Dies monierte ich
in meiner Mail um 13.30 Uhr am gleichen Tag: Der Support
antwortete:
„die Angabe der CPU-Auslastung ist
für Sie wahrscheinlich wenig hilfreich, da Ihnen die
Gesamtauslastung der Server-CPU nicht bekannt ist.
Zum Zeitpunkt der Überlastung
haben unsere Techniker die Logs erstellt, welche wir Ihnen zur
Verfügung gestellt haben.
Eine exakte Zeitangabe ist demnach
nicht mehr notwendig, da die betreffenden Aufrufe Ihres Webpack Ihnen
bereits mitgeteilt wurden.“
Die genaue
zeitliche Zuordnung, nämlich in Form einer Uhrzeit, wird mir
erneut verweigert. Eine Handlungsaufforderung oder ein Hinweis auf
eine neuerliche starke Beanspruchung des Webpacks gab es nicht.
9. Tag: Freitag, 24. November
Ich erhalte eine
Erinnerung der Mail vom Mittwoch.
12. Tag: Montag, 27. November
Ich werde erneut
auf die nichtssagende Mail vom Mittwoch hingewiesen. Gleichzeitig
werde ich darauf aufmerksam gemacht, dass mein Paket erneut gesperrt
werden würde, wenn ich bis zum 04.12.2006 nicht auf diese Mail
reagieren würde.
Als Antwort
schicke ich diese Zusammenfassung (1.-12. Tag) und frage „Worauf
erwarten Sie eine Antwort von mir?“ Wenige Stunden später
die Antwort des Hosteurope-Support:
„Teilen Sie
uns bitte mit, wie Sie solche Überlastungen in Zukunft
verhindern werden. Unsere Empfehlung wäre ein regelmäßiges
Update Ihres CMS.“
Wie bitte? Der
Nachweis, dass eine Überlastung erfolgte konnte durch Hosteurope
nicht erbracht werden. Offenbar war das einzige Ziel der Aktion also,
den Kunden zum Update des CMS oder zum Wechsel auf das teuerere VPS zu bewegen.
Schulnotenprinzip:
Anhand
einer Signatur in der Datei „version.php“ des Joomla-CMS kann
Hosteurope scheinbar(!) feststellen, welche Joomla-Installation
angreifbar ist. Doch Joomla-Sicherheit kann auch oft auf
anderem Wege - in diesem Falle z.B. durch einen zusätzlichen
(htaccess-)Passwortschutz - erreicht werden. Dies hatte ich schon vor
Wochen erledigt, doch der Support hatte offensichtlich einen
Tunnelblick und konnte nur die Versionsnummer 1.0.9 (aktuell 1.0.11)
sehen. Über die tatsächliche Sicherheit verrät die
Updaterei nämlich sehr wenig, diese hängt vielmehr von
jeder einzelnen Komponente und deren Konfiguration ab.
Der Autor dieser
Zeilen ist freiberuflich tätig im Bereich Linuxschulungen und
Webconsulting und ist Autor des Buches „SuSE-Linux
Systemadministration“ (2. Auflage 2004, MITP-Verlag, ISBN
3-8266-1357-0). |
kleine Erfolge
Geschrieben von Ronald am 2006-11-30 13:06:45
Auch wenn es hier keine Kommentare zum Beitrag erscheinen, geht es im Hosteurope Forum, wo ich den Artikel ebenfalls eingestellt habe, hoch her.
Leider ist das Forum nur für Hosteurope Kunden. Aufgrund der AGBs darf und möchte ich die Diskussion nicht hierher kopieren.
Ich darf allerdings verraten, dass schon nach kurzer Zeit der Link auf die vollständige (anonymisierte) E-Mail Kommunikation mit Hosteurope entfernt wurde. Andererseits entschuldigte sich der Leiter von "Service und Vertrieb" öffentlich (im Forum) dafür, dass mir keine zeitgenauen Logs zur Verfügung gestellt wurden. Diese habe ich in der Zwischenzeit bekommen, weiteres in Kürze. | Logfiles erhalten
Geschrieben von Ronald am 2006-12-03 14:45:23
Zur zeitlichen Zuordnung bekam ich nach langem Hick-Hack doch noch die genauen Aufruf (Access-Log), die den Webserver so belastet hätten. Heute am 03.12.06 schrieb ich an Hosteurope zurück:
Guten Tag!
> Der nachfolgende Auszug zeigt nur die Aufrufe,
> die innerhalb von nur einer Minute an Ihre
> Domain gesendet wurden. Das vollständige
Zur Quantität:
Der übermittele Auszug aus der Access-Log enthält
216 Zugriffe in einer Minute, zieht man die 404
Fehlermeldungen ab, die sicherlich keine Hauptspeicher-
und CPU-Belastung darstellen, bleiben noch ca. 111 übrig.
Zur Qualität:
108 dieser Zeilen sprachen das gleiche Skript an, die
restlichen 3 Zugriffe von RSS-Readern sind daher sicherlich zu
vernachlässigen.
Die ungefähre (!) Ausführungszeit pro Skriptausführung
auf dem Hosteurope-Server beträgt im Durchschnitt weniger als
300ms (!). Nur für diese Zeit konnte CPU und/oder Hauptspeicher
gebunden sein.
Wie ich zu dieser Zahl gekommen bin, lege ich weiter unten
dar. Ich darf bei der Gelegenheit noch einmal daran erinnern, dass
ich von Ihnen (auch auf Nachfrage) keinerlei Speicher- und/oder
CPU-Auslastungsangaben erhalten habe.
> So wie es aussieht, wurde (oder sollte) über Ihre
> Seite externer Code ausgeführt (werden).
Das hatte ich ebenfalls gesehen, daher hatte ich Ihnen vor mehr als
einer Woche geschrieben:
> Ok, dann ist es tatsächlich meine Schuld. Anhand der access-Logs
> konnte ich die Schwachstelle in der Zoom-Komponente von Joomla
> leicht finden.
Bei näherer Betrachtung durch mich und auch durch den Entwickler
der Joomla-Komponente stellte sich heraus, dass _keine_ Schwachstelle
vorliegt, das ganze also blinder Alarm war.
Vor diesem Hintergrund und vor dem Hintergrund meiner Beispielrechnung
erbitte ich von Ihnen eine Stellungnahme, wie _Sie_ sich den angeblich
hohen Hauptspeicherverbrauch und die angeblich hohe CPU-Belastung
erklären.
Mfg
Ronald Wölfel
(Überschlags-)Berechnung der 300ms.
Die durchschnittliche Abrufzeit dieses angeblich problematischen
Skriptes beträgt 500ms. Festgestellt mit dem wiederholten Aufruf
des folgendes Einzeilers unter Linux:
time lynx -source http://www.beautifulda.de//..fs_unix.php >/dev/null
real 0m0.511s
user 0m0.040s
sys 0m0.030s
Gegenübergestellt wurde dies mit dem wiederholten Abruf einer HTML Datei
auf dem gleichen Server (ca. 200 ms):
time lynx -source http://www.fuldaecho.de/news/test.html >/dev/null
real 0m0.194s
user 0m0.030s
sys 0m0.050s
Die Differenz (ca. 300ms) stellt in etwa Ausführungszeit des Skriptes auf
Ihrem Rechner dar.
| Happy End
Geschrieben von Ronald am 2006-12-05 12:26:36
Hier die Antwort von Hosteurope:
Sehr geehrter Herr Wölfel,
> Vor diesem Hintergrund und vor dem Hintergrund meiner Beispielrechnung
> erbitte ich von Ihnen eine Stellungnahme, wie _Sie_ sich den angeblich
> hohen Hauptspeicherverbrauch und die angeblich hohe CPU-Belastung
> erklären.
es lässt sich leider nicht nachträglich feststellen, wodurch genau Ihr WebPack den Server
überlastet hat. Fakt ist aber, dass zum angegebenen Zeitpunkt die Überlastung begonnen hat
und die Load, nachdem Ihre Domain gesperrt wurde, wieder deutlich sank.
Möglicherweise waren die in das Error Logfile geschriebenen 58 Einträge pro Minute mit ein
Auslöser für das Problem. Dies lässt sich jedoch wie gesagt jetzt nicht mehr
nachvollziehen.
Auf jeden Fall wurde durch Ihr WebPack eine Überlastung verursacht, wodurch wir im
Interesse der anderen Kunden mit Sperrung des entsprechenen WebPacks reagieren mussten.
Die Situation auf dem WebPack hatte sich nachweislich nach der Sperrung wieder
normalisiert.
Sollte zukünftig erneut eine Überlastung von Ihrem WebPack ausgehen (auch wenn es Opfer
einer externen Attacke ist) werden wir erneut im Interesse anderer Kunden das WebPack
sperren.
Gleiches werden wir auch in Ihrem Interesse machen, wenn ein anderes WebPack auf dem
Server der Verursacher ist.
Wir gehen davon aus, dass nun alle offenen Fragen geklärt sind und werden den Vorgang
daher schliessen.
Vielen Dank für Ihr Verständnis.
Mit freundlichen Grüßen
XXXXX YYYYY
Teamleiter Kundenservice Webhosting
- Privat- und Geschäftskunden -
|
Nur registrierte Benutzer können Kommentare schreiben.
Bitte melden Sie sich an oder registrieren Sie sich. Powered by AkoComment 2.0!
|
