Wer kennt diesen Mann ?

Posted on 11. August 2017 by marius

Die Polizei und dieser ältere Herr brauchen Eure Hilfe :

(Bild vom Polizeiserver entfernt worden Stand: 16:00 )

Der Herr sucht seine Identität, da er diese vergessen hat. Das kann übrigens jedem von Euch jederzeit auch passieren, da es nur eine winzige abgestorbene Nervenzelle braucht, um ein ganzes Jahrhundert zuvergessen. Als wenn die Rootnode durch einen Bad Sektor in einem Filesystem gelöscht wird, dann ist zwar noch alles auf der Festplatte drauf, aber man findet es nicht mehr. Genauso geht es dem Herren auch grade.

Rückfragen bitte an:

Polizei Dortmund
Gunnar Wortmann
Telefon: 0231/132-1028
https://dortmund.polizei.nrw

Quelle: http://www.presseportal.de/blaulicht/pm/4971/3705978

Das Anastasia Botnetz

Posted on 2. August 2017 by marius

Spams gibt ja immer und meisten steckt heute ein Botnetz dahinter. Das Netzwerk, das unsere Mailserver derzeit am meisten nervt, ist das von mir so genannte Anastasia Botnetz.

Es ist allerdings leicht am Absender zu identifizieren, der immer das Wort Anastasia am Anfang hat:

2017-08-02 01:44:59 H=(ip-38-239.tricom.net) [186.150.38.239] rejected MAIL <Anastasiabj@tricom.net>: identified as Anatasia Botnet
2017-08-02 01:45:43 H=(ocit-41.189.55.239.aviso.ci) [41.207.201.171] rejected MAIL <Anastasiafab@aviso.ci>: identified as Anatasia Botnet
2017-08-02 01:45:46 H=([115.164.85.255]) [115.164.85.255] rejected MAIL <Anastasiabcbr@puretechnutrition.com>: identified as Anatasia Botnet
2017-08-02 01:47:05 H=([51.36.222.115]) [51.36.222.115] rejected MAIL <Anastasiacoe@incco.com.gt>: identified as Anatasia Botnet
2017-08-02 01:47:27 H=(131-108-125-254.infortek.net.br) [131.108.125.254] rejected MAIL <Anastasiarcae@infortek.net.br>: identified as Anatasia Botnet
2017-08-02 01:47:32 H=160.red-81-39-134.dynamicip.rima-tde.net [81.39.134.160] rejected MAIL <Anastasiaxte@woburnapartments.co.nz>: identified as Anatasia Botnet
2017-08-02 01:47:54 H=([161.132.100.51]) [161.132.100.51] rejected MAIL <Anastasiamm@rhinohandyman.com>: identified as Anatasia Botnet
2017-08-02 01:48:56 H=([186.235.188.234]) [186.235.188.234] rejected MAIL <Anastasiacljgf@pedicur.ru>: identified as Anatasia Botnet
2017-08-02 01:49:06 H=([202.90.136.58]) [202.90.136.58] rejected MAIL <Anastasiaxw@directiva.com.br>: identified as Anatasia Botnet
2017-08-02 01:49:44 H=([175.101.251.27]) [175.101.251.27] rejected MAIL <Anastasiadihu@it-is-it.com>: identified as Anatasia Botnet
2017-08-02 01:50:25 H=(host-177-232-80-119.static.metrored.net.mx) [177.232.80.119] rejected MAIL <Anastasiaazy@metrored.net.mx>: identified as Anatasia Botnet
2017-08-02 01:50:31 H=([27.123.171.127]) [27.123.171.127] rejected MAIL <Anastasiabviyu@hrcbmdfw.org>: identified as Anatasia Botnet
2017-08-02 01:50:32 H=85.233.11.37.dynamic.jazztel.es [37.11.233.85] rejected MAIL <Anastasiayurg@jazztel.es>: identified as Anatasia Botnet
2017-08-02 01:51:18 H=(static.vnpt.vn) [113.161.8.21] rejected MAIL <Anastasiafir@static.vnpt.vn>: identified as Anatasia Botnet
2017-08-02 01:52:20 H=fixed-187-189-92-55.totalplay.net [187.189.92.55] rejected MAIL <Anastasiahw@fixed-187-189-92-55.totalplay.net>: identified as Anatasia Botnet
2017-08-02 01:52:26 H=(static.vnpt.vn) [14.183.242.229] rejected MAIL <Anastasiaud@static.vnpt.vn>: identified as Anatasia Botnet
2017-08-02 01:52:34 H=(static-ip-cr18152012787.cable.net.co) [181.52.127.87] rejected MAIL <Anastasiaxcs@cable.net.co>: identified as Anatasia Botnet
2017-08-02 01:53:09 H=(host-177-232-87-110.static.metrored.net.mx) [177.232.87.110] rejected MAIL <Anastasiarclg@metrored.net.mx>: identified as Anatasia Botnet
2017-08-02 01:53:20 H=red.connectbd.com [202.79.16.10] rejected MAIL <Anastasiavpuup@red.connectbd.com>: identified as Anatasia Botnet
2017-08-02 01:53:42 H=([161.132.100.51]) [161.132.100.51] rejected MAIL <Anastasiaualik@grouptower.com>: identified as Anatasia Botnet
2017-08-02 01:54:30 H=([123.23.241.122]) [123.23.241.122] rejected MAIL <Anastasianwz@ubsystems.com>: identified as Anatasia Botnet
2017-08-02 01:55:05 H=(187.253.122.253.cable.dyn.cableonline.com.mx) [187.253.122.253] rejected MAIL <Anastasiadabgp@cableonline.com.mx>: identified as Anatasia Botnet
2017-08-02 01:57:59 H=(static.vdc.com.vn) [113.190.40.226] rejected MAIL <Anastasiailk@vdc.com.vn>: identified as Anatasia Botnet
2017-08-02 01:58:21 H=([191.99.126.26]) [191.99.126.26] rejected MAIL <Anastasiafsg@zarlock.com>: identified as Anatasia Botnet
2017-08-02 01:59:32 H=([41.216.32.42]) [41.216.32.42] rejected MAIL <Anastasiaecous@vertexconsultancy.co.in>: identified as Anatasia Botnet
2017-08-02 01:59:42 H=(181-174-59-224.telebucaramanga.net.co) [181.174.59.224] rejected MAIL <Anastasiajinv@simtecno.com.br>: identified as Anatasia Botnet
2017-08-02 02:00:19 H=([31.145.75.194]) [31.145.75.194] rejected MAIL <Anastasiaonl@juste.com.tw>: identified as Anatasia Botnet

Das dies nur ein kleiner Ausschnitt von nur einer einzigen Maschine ist, deutet das Ausmaß des Botnetzes an.

Für alle die einen EXIM Mailserver betreiben, hier die Regel um die Spams gezielt auszufiltern:

acl_check_mail:

# Hosts are required to say HELO (or EHLO) before sending mail.
...
drop message = identified as Anastasia Botnet
     condition = ${if match{$sender_address}{\N^Anastasia.*\N}{1}{0}}

Natürlich ist die Regel sehr grob, auch eine echte Anastasia.Kulikovwa@mail.ru würde ausgefiltert werden, aber im Gegensatz zu zum Botnetz, könnte die Dame zum Telefon greifen und einfach anrufen, daß die Mails nicht ankommen. Davon abgesehen sind 0.01% falsche Treffer eine echt gute Quote, mit der ich persönlich leben kann 🙂

Selbstverständlich könnte man die Regeln entsprechend verfeinern:

 condition = ${if match{$sender_address}{\N^Anastasia.{2,5}@.*\N}{1}{0}}

Diese Anpassung entspricht dem Muster, daß nach Anastasia noch bis zu 5 zufällige Zeichen kommen vor dem @.

Da es ähnliche Regelsätze für andere Mailserver gibt, könnt Ihr da natürlich jetzt Eure eigenen Anpassungen machen.

Tip des Tages: Öfters mal Logfiles rotieren

Posted on 27. Juli 2017 by marius

Tomcat Logfiles können lang werden, daher sollte man diese desöftern rotieren.

Ganz unproblematisch ist das beim Tomcat aber nicht, denn im Gegensatz zu PHP Webanwendungen, stehen hier die Sessioninfos im RAM und nicht auf der Platte. Das hat beim Tomcat einen enormen Vorteil, weil der Server deutlich schneller an Infos kommt, als es z.B. PHP kann.

Der Nachteil liegt auf der Hand: ein Neustart zerstört auch immer die Sessioninformationen. Gerade bei Shops ist das ein Problem. Hier muß die Sessionverwaltung dann auf Datenbanken ausgelagert werden, was bei verteilten Webanwendungen ohnehin gemacht werden muß.

Wo würde man daher das Logrotate ansetzen ?

Wer Serverdienste einsetzt, der braucht auch immer ein Startscript. Tomcat kommt zwar mit seinem eigenen startup.sh daher, aber auf ein klassisches Startscript ala init.d kann man eigentlich nicht verzichten. Hier ein Ausschnitt:

export CATALINA_HOME=/java/tomcat

ulimit -v unlimited -d unlimited -s unlimited -n 20000

PATH=$PATH:/usr/local/bin/

# See how we were called.
case "$1" in
 start)
 echo -n "Starting tomcat : "
 daemon /java/tomcat/bin/startup.sh
 RETVAL=$?
 echo
 ;;
 stop)
 echo -n "Stopping tomcat : "
 killtomcat
 RETVAL=$?
 echo
 ;;
 status)
 status tomcat
 RETVAL=$?
 ;;
 restart)
 $0 stop
 $0 start
 RETVAL=$?
 ;;
 *)
 echo "Usage: tomcat {start|stop|status|restart}"
 exit 1
esac

exit $RETVAL

und genau hier setzen wir an :

# See how we were called.
case "$1" in
 start)
 echo -n "Rotating Logs : "
 cd /usr/java/apache-tomcat/logs/
 echo "Deleting old files : "
 find . -ctime +100 -name "catalina.out*" -exec rm -fv {} \;
 COUNTER=0
 while [ $COUNTER -lt 99 ]; do
       echo The counter is $COUNTER
       let COUNTER=COUNTER+1
       if [ ! -f "catalina.out.$COUNTER" ]; then
           FILENAME="catalina.out.$COUNTER";
           break;
       fi
 done
 echo "Benutze $FILENAME";
 mv catalina.out $FILENAME
 echo "Compressing Logfile : $FILENAME"
 bzip2 -9 $FILENAME
 echo -n "Starting tomcat : "
 daemon /java/tomcat/bin/startup.sh
 RETVAL=$?
 echo
 ;;

Dieses Script ist natürlich nur ein Beispiel. Ihr müßt es noch anpassen an Eure Pfade und Präferenzen. Es wird Logfiles löschen, die älter als 100 Tage sind und maximal bis .99 zählen. Das kann je nach Häufigkeit des Starts Eures Tomcats dann eventuell nicht passen. Da müßt Ihr jetzt Eure Erfahrungen für Eurer System berücksichtigen.

Bitte beachtet, daß BZIP2 ein echter Zeitfresser ist, besonders in der Kombination mit 8 GB Logfile und -9 Option. Das packt hier auf einem nicht langsamen Server bereits seit 50 MInuten 😉 Das Ergebnis ist allerdings genial:

catalina.out.5: 53.987:1, 0.148 bits/byte, 98.15% saved, 8.250.838.531 in, 152.828.685 out.

Unter 2 % sind vom Logfile übrig geblieben 🙂

Wer jetzt meint, daß dieser Beitrag den 50 Minuten geschuldet ist, hat recht 😀 War leider ein echter Blocker.

Marius Welt

Category Archives: Internet

Wer kennt diesen Mann ?

Das Anastasia Botnetz

Tip des Tages: Öfters mal Logfiles rotieren

Wo würde man daher das Logrotate ansetzen ?