Einige Benutzer haben S2S-Probleme (vorallem mit Google) gemeldet, daher der Neustart zu dieser frühen Stunde. Verzeiht bitte die kurze Downtime.
Nachtrag: Das scheint nicht nur jabber.ccc.de zu betreffen: http://www.google.com/support/forum/p/Talk/thread?tid=6af1d168e8d8f62a&hl=en
Einen Großteil des Betriebs unserer Jabberservers ist es, mit über Jahren gewachsenen Heuristiken automatisierten Missbrauch des Dienstes zu erkennen. Eine solche Heuristik schlug an, als hundertfach Anmeldungen mit Accountnamen geschahen, die nicht natürlichen Ursprungs zu sein scheinen – also computergeneriert waren.
Diese JIDs haben u. a. folgendes Schema:
1275746522321lmc@jabber.ccc.de1275769259821lop@jabber.ccc.deWer genau hinschaut, erkennt hier einen POSIX-Timestamp. Löscht man einen solchen Account, wird er nach einiger Zeit erneut automatisch registriert. Hier hilft also nur das setzen neuer Passworte, wahlweise eine Sperr-Regel bei Registrierungen und c2s-Verbindungen.
Aus welchen Netzen kommen diese Verbindungen?
Bislang waren nur grossen Wireless- und DSL-Provider in den Staaten gut vertreten, bspw. Verizon Wireless, Sprint Nextel, T-Mobile USA. Genaueres Nachforschen heute morgen führte dann zu der Erkenntnis, dass es dieser Bot (dieses Spiel, diese App, was auch immer) nach Europa geschafft haben muss. Denn jetzt sind auch Bouygtel, Orange France (deren GPRS-Netz) und die Swisscom vertreten. Ein “Ausreisser” ist hier sicherlich TPG Internet Pty Ltd., ein Provider aus Australien.
Was können wir dagegen tun?
Zuerst einmal: Sperren. In diesem Fall kann ich sowohl Registrierungen als auch Verbindungen mit bestimmten Regular Expressions aussperren.
Dennoch wird hier sicher weitergeforscht werden. Vielleicht ist so ein Botnet ja doch noch zu was nütze…
Zusatzinfo: jabber.ccc.de ist hier nicht alleine betroffen, ich weiss von mindestens 2 anderen Server, die auch Zahlen von 300-500 dieser Accounts abbekommen haben.
Seit Juni 2009 weisen wir beim Registrieren neuer Accounts darauf hin, daß diese nach einem Jahr Untätigkeit wieder entsorgt werden. Dies ist nun ein Jahr her, daher ist aus Gründen der Datensparsamkeit in nächsten Tagen mit einem erhöhtem Löschaufkommen zu rechnen.
Peter Saint-Andre wünscht sich Kommentare zum kommenden “Standard” ‘Extensible Messaging and Presence Protocol (XMPP): Core’, kurz draft-ietf-xmpp-3920bis-08.
Eigentlich ist die Einspruch- und Kommentarphase schon rum, aber vielleicht findet ja noch jemand Unstimmigkeiten.
Das Zertifikat für jabber.ccc.de ist abgelaufen. Mir liegt hier zwar ein neues Zertifikat vor, das will aber nicht auf den privaten Schlüssel passen. Wir arbeiten daran.
Das neue Zertifikat ist installiert, ihr könnt weitermachen.
Ich habe vor ein paar Minuten zu Verbindung zu tigase.org vorerst gesperrt. Dauerhaft 2Mbit/s Traffic sind dann doch zu viel des Guten. Bitte wundert Euch daher nicht, wenn Kontakte auf diesem Server nicht erreichbar sind.
Hier mal eine Nachricht aus gegebenem Anlass: Falls Ihr Accounts für Bots und dergleichen anlegt, so lest (und entsorgt damit) auch bitte die Willkommensnachricht. Alles andere führt dazu, daß dieser Account auf kurz oder lang gelöscht wird.
Desweiteren werde ich in den nächsten Tagen diejenigen Accounts entsorgen, bei denen das letzte Login länger als zwei (2) Jahre her ist. You have been warned.
Ein Nachtrag dazu: Die Tabelle, in der die vcards gespeichert sind, war laut MySQL defekt und wurde soeben repariert. Sorry for any inconvenience caused.
Entschuldigt bitte die kurze Downtime zur Unzeit, aber a) hat Erlang sich zu komisch verhalten und b) der ejabberd mal eben 11GB “virt” verbraten. Und das bei 8 Gigabyte Arbeitsspeicher.
Ankündigungsmeldung für Wartungsarbeit: Beeinträchtigung der
Internetanbindung im Leitungsbereich Neu-UlmTyp: geplante Wartung
Ticket: RT #26872Beginn des Wartungsfensters: Mittwoch, den 03.02.2010, 19:00 Uhr
Ende des Wartungsfensters: Mittwoch, den 03.02.2010, 21:00 UhrDauer der Beeinträchtigung: kurze Unterbrechungen
Heute morgen war jabber.ccc.de für ein paar Stunden nicht erreichbar. Der Grund war ein defekter Router beim Uplink:
12:33 < xxxx> beim scpl router ist nach dem powercycle der magische rauch raus. lichtbogen, funken, rauch und gestank. das volle programm ;)
Dazu kam leider noch ein hängender bgpd.
Twitter / jabbercccde