..:: Dippelschisser ::..

Da staune ich gerade nicht schlecht. Gerade im aktuellen Angebot eines Mitbewerbers gelesen:

Betriebssystem: Debian Sarge

(wohbemerkt im Shared-Hosting-Bereich. Also nicht als mögliche Betriebssystemauswahl für einen (v)Server.)

Ich hoffe doch, dass dieses ein Tippfehler ist. *daumen drück*

Vergangenen Freitag hatten wir einen VorOrt Termin am Zweitstandort eines Kunden. Dieser beschwerte sich in den letzten Woche mehr und mehr über die überaus schlechte Verbindungsqualität des Standortes über das VPN zu seinem Hauptstandort.

Kurz abgerissen besteht folgende Konfiguration:

1) Hauptstandort hat Internetverbindung über Vermieter (größeres Facharztzentrum mit Internet über angebundene Klinik)

2) Hauptstandort wählt sich per VPN auf unserem zentralen VPN Server ein

3) Zweitstandort (ca. 40 km entfern) wählt sich ebenfalls auf unserem zentralen VPN Server ein

4) VPN Server routet traffic zwischen den Standorten

5) Mitarbeiter im Zweistandort wählt sich per RDP auf dem zentralen Terminalserver ein und arbeitet dort logisch am Hauptstandort. Vorteil: Die Daten müssen über’s Internet übertragen werden.

Bisher lief auf den Computern des Kunden das von der Klinik kostenfrei zur Verfügung gestellte McAffee. Dieses ist ja nicht gerade für eine optimale Performance berühmt. Dass es aber für eine schlechte VPN Verbindungsqualität sorgt war mir neu. Also dachte ich hier zuerst nicht an ihn als Ursache.

Die Symptome

Sporadisch kam es vor, dass die RDP Sitzung derat hing, dass man einen Text in der Länge dieses Eintrages schrieb und nach dem letzten getippten Wort in Ruhe in die Pause gehen konnte. Nach etlichen Minuten war Word dann auch fertig mit dem schreiben.

Die Ursachenforschung

Beim Untersuchen des Systems fiel mir in diesen Momenten eine sehr hohe CPU last auf. Beim genaueren betrachten fiel mir der Virenscannerprozess auf. Also geschwind mal den McAffee deaktiviert und hey, es ging plötzlich.

Also diese PC Bremse diesen Virenscanner deinstalliert und durch AVG ersetzt. Und hey, das Symptom lies sich nicht mehr reproduzieren.

Also, haben wir wieder einmal gelernt, wie schlecht doch manche Virenscanner sind.

Da staunt man schon nicht schlecht. Wie gerade auf heise.de zu lesen ist, hat Microsoft einen Security Patch mehrere Wochen zurückgehalten, da dieser bei vielen Windows Computern für einen Bluescreen sorgte.

Ursache für den Bluescreen ist das Alureon-Rootkit, welches sich nach Aussagen von Microsoft tief ins System einnistet, durch vielen Virenscanner nicht erkannt wird und feste API Adressen für den Zugriff auf Systemkomponenten verwenden.

Das Alureon-Rootkit infizierte wichtige Systemtreiber. Durch das neue Update von Microsoft ändern sich die von diesem Rootkit verwendenten (bereitgestellen) API-Adressen. Da es sich bei den infizierten Treibern nicht mehr um die Originalen handelt, kann das Windows-Update diese nicht mehr austauschen.

Folge war ein Bluescreen und das System musste aufwendig wieder hergestellt werden. Nun hat Microsoft das Update derart angepasst, dass es abbricht und einen Fehler anzeigt, sofern das Rootkit erkannt wird.

Die Fehlermeldungen:

Error Code 0×8007F0F4 (For Windows XP, Windows Server 2000 and Windows Server 2003)

Error Code 0XFFFFFFFF (For Windows Vista, Windows Server 2008 and Windows 7)

Solltet Ihr bei der Instatallation des Updates MS010-015 obige Fehlermeldungen erhalten, dann bitte umgehend das System mit einer Live-CD prüfen und das Rootkit entfernen (lassen). Meist hilft hier aber nur noch eine Neuinstallation. Letztere ist bei einmal infizierten Systemen eh zu empfehlen.

Wer sein Tool im Voraus testen möchte, der kann das vom Redmonder Unternehmen bereitgestellte Tool verwenden.

Aber schon lustig, wie eine Malware ein Unternehmen wie Microsoft dazu brachte ein Security Update für Windows von der Verteilung zurückziehen und mehrere Woche für eine Änderung des Patches zu benötigen.

Wie einige wissen, bin ich ehrenamtlich im Katastropenschutzzug des ASB Wiesbaden tätig.

Die vergangene Woche hatte unser Sanitätszug 1. Welle. Gegen 13 Uhr ging dann der Melder auf. Etwas perplex, dass wir mal raus müssen höre ich die Einsatzmeldung ab:

Einsatz SEG, Einsatzbereitschaft herstellen, Einsatz Berufsschule, ca. 30 Verletzte.

Wie sich später herausstellte, ging es im Wiesbadener Berufsschulzentrum zur Unterstützung des Regelrettungsdienstes. Die Rettungsleitstelle hatte bereits Unterstützung aus den Nachbarkreisen angefordert. Am Ende waren wir ca. 50 Einsatzfahrzeuge des Rettungsdienstes mit mehreren NEFs, zwei OLRD/LNA Teams und 5 Fahrzeugen der Feuerwehr. Mit dabei zwei Sanitätszüge des Katastrophenschutz als SEG (Schnelle Einsatzgruppe) sowie der Betreuungszug des ASB.

Das ganze sah dann auf dem Rettungsmittelhalteplatz sehr schick aus. Hier ein paar Impressionen:

Was war passiert:

Ein 20 jähriger Schüler hatte sich einen Streich erlauben wollen und Reizgas in einen Raum unter der Tür eingesprüht. Da das Ausmaß des ganzen nicht sofort erkennbar war und natürlich auch deutlich mehr als 17 mittel- bis schwerverletzte hätten “entstehen” können wurde das ganz große Programm gefahren. Lieber zu viel Aufgebot als zu wenig.

Aber es war schön zu merken, dass das Konzept für einen Massenanfall von verletzten klappte und aus den Nachbarkreisen binnen kürzester Zeit Unterstützung am Rettungsmittelhalteplatz eintraf.

Der Täter wurde zwischenzeitlich durch die Polizei gefasst. Ich denke, die Aktion dürfte für ihn etwas teuer werden.

Meine aktuelle Amazonlieferung wurde gestern  morgen an die Packstation zugestellt. Interessanterweise erhielt ich zwar erst heute die Benachrichtung per SMS / eMail aber das Track und Trace von DHL Express ist doch noch interessanter:

DHLTracking

Immer wieder gut, wenn die TrackingIDs doppelt vergeben werden. Aber auch gut, dass sogar noch Namen öffenltich darin lesbar sind. Ich könnte mir Vorstellen, dass Herr XXX aus Hamburg nicht erfreut ist, wenn ich ihn mal anrufe und frage, was er am 25.07.2008 per DHL Express geliefert bekommen hat…

Philips hat eine großangelegte Rückrufaktion für seine Senseo Kaffeemaschine gestartet. Auf seiner Webseite bietet der Hersteller ein Onlineformular zur Ermittlung ob die eigene Kaffeemaschine betroffen ist oder nicht. Und wenn ja, kann direkt die Rückholung beauftragt werden.

Laut mir vorliegenden Informationen wären zwischen 06/06 und 11/08 produzierte Geräte der Typreihen HD7805, HD7810, HD7811, HD7812, HD7814, HD7816, HD7820, HD7822, HD7823, HD7824, HD7830, HD7832, HD7841 und HD7842 betroffen.

Man erhält – natürlich kostenlos – eine Versandverpackung und kann die Maschine damit kostenlos durch Abgabe in einer Postfiliale zurücksenden.

Ca 2 Wochen später solle man die Maschine repariert wieder zurückerhalten.

Der Fehler trete nur bei stark verkalten Maschinen auf. Dann kann es zur Explosion des Gerätes kommen. Also lieber geschwind nachschauen und notfalls einsenden. Meine private ist leider betroffen, aber es ist schon alles in die Wege geleitet.

BTW: Es wird kein Kaufbeleg benötigt, nur zwei Angaben des Typenschildes von der Unterseite des Gerätes.

Vielen Dank an Bloginator für den Tipp

Gerade heute morgen habe ich noch einen Beitrag geschrieben zur Nicht-Fähigkeit einiger Support-Mitarbeiter zu lesen.

Aber wie ein Beitrag in der Webhostlist zeigte, ist das Lesen wirklich extrem schwer.

Traurig an dieser Sache ist leider, dass diese Person einen eigenen (V)-Server betreibt. Und wenn man nicht mal eine Fehlermeldung wie

/etc/init.d/mysql: ERROR: The partition with /var/lib/mysql is too full!

versteht, dann prost mahlzeit….

Fassen wir doch mal kurz zusammen, welche Fehlermeldungen man verstehen sollte:

/etc/init.d/mysql: ERROR: The partition with /var/lib/mysql is too full!

Warning: Unknown: write failed: No space left on device (28) in Unknown on line 0

Warning: session_write_close() [function.session-write-close]: write failed: No space left on device (28) in /var/www/confixx/html/phpMyAdmin/libraries/common.lib.php on line 698

Ist schon arg traurig, wer heutzutages alles einen eigenen Server betreiben kann. Kein Wunder, dass so viele Botnets im Internet mit Erfolg unterwegs sind…