Spam, spam, spam..

Denne uge har vores mailservere haft store problemer med regulære “spam storme”, hvor over 90% af de emails, der sendes mod vores servere er spam. Det har sørget for en ekstraordinær høj belastning på vores mailservere, og medført lange svartider for vore kunder. Kigger man i vort overvågningssystem (som i øvrigt er SysOrb), kan man tydeligt se at det formodentlig drejer sig om en form for angreb:

SysOrb_spamstorm

Grafen herover viser en 24-timers periode for en af vore servere. Stigningen man kan se sker mere eller mindre præcis kl. 23:05, og ikke udelukkende på kun denne mailserver, men på dem alle sammen. Det er derfor rimelig sikkert at konstatere, at vores servere havde det fint frem til angrebet startede.

I sidste uge blev vi endda også udsat for et angreb i form af et deface-angreb på enkelte webservere 🙁

Selv om der ikke fremgik noget entydigt budskab af de ramte servere, mistænker vi angrebene for at stå i forbindelse med genoptrykningen af og hele debatten om Muhammed-tegningerne. Åbenbart har hackerne også været ude efter flere danske udbydere – helt så slemt er det heldigvis ikke gået ud over vores kunder.

Du kan læse mere på http://comon.dk/index.php/news/show/id=34890.

Det er ikke muligt at sige præcist hvor mange kunder oplever problemer med spam, men vi har dog gjort hvad vi kunne for at sætte alvorligt ind overfor angrebet, og forsøger at reducere mængden af spam gennem implementering af Spamcop. Vores overvågningssystem rapporterer stadig om uregelmæssigt højt load, og man bør derfor påregne en længere svartid end normalt, hvis man i disse dage kontakter Surftown Support.

Det nye, forbedrede spamfilter hjælper dog meget til, så vi forventer at vores kunder snart kan få deres mails igen 😀

WS4 og WS22 udsat for defacing-angreb

Sikkerheden var midlertidigt kompromitteret på to af vores webservere, ws4 og ws22, da de i fredags blev udsat for et lettere defacing-angreb. Personen der udførte angrebet valgte kun at overskrive indeksfilerne, og skaffede sig ikke adgang til indholdet i mapperne på hver enkelt webhotel. Alle resterende servere var ikke berørt. For at undgå panik valgte vi umiddelbart at melde ud, at der kun var tale om et DDoS-angreb, indtil vores teknikere en times tid senere havde fundet og lukket sikkerhedshullet.

Heldigvis viste det sig at vores beredsskabsplan for disse hændelser virkede fint – ws22 havde i løbet af lørdag fået installeret seneste backup fra i torsdags, og alle hjemmesider på den var oppe at køre igen indenfor 24 timer. Den anden webserver, ws4, vil have gennemført installering af sin seneste backup i løbet af i dag, og vil være fuldt online i eftermiddag. Angriberens IP-adresse er blevet sporet og indehaveren vil blive retsforfulgt.

Hvis du har en nyere backup af din side end den vi har lagt ud, kan du uploade den via FTP, så ingen ændringer vil være gået tabt 🙂

I øvrigt kan jeg henvise til vores driftsinfo, der løbende opdateres med status på serverne:
http://www.surftown.dk/?docid=bd87a9f2-041f-473f-9606-ca18fc213c54

Jeg beklager episoden og undskylder for ulejligheden.

Problemer med email/forbedret spamfilter

Gennem de seneste par uger har en af vores mailservere (Mail1) været præget af stor ustabilitet. Årsagen hertil er at netop denne mailserver har modtaget massive mængder spam, hvilket har medført at en del kunder har oplevet problemer med at kunne tilgå deres mailkonto.

I sidste uge valgte vi at opgradere hardwaren, men niveauet af spam var så omfattende, at vi kun oplevede en begrænset forbedring. Desuden lå der efter opgraderingen en endnu større kø af rigtige mails og spam mails, som har taget sin tid at komme igennem. I dag har vi valgt at implementere en ny antispam-løsning på Mail1, som vi vil benytte de kommende uger. Løsningen er uhyre effektiv, og bygger på RBL-listen fra Spamcop.net.

Løsningen blev implementeret ved middagstid, og vi kan allerede nu konstatere at mailserveren har langt flere ressourcer til rådighed, hvilket gerne skulle betyde at du kan tilgå din email-konto. Desuden bør du modtage væsentligt færre spam mails fremover. Enkelte kunder kan dog opleve problemer med at tilgå deres emails via Outlook eller andet mailprogram (POP3) pga. mange spam mails – en løsning kan være at logge ind på webmailen (eller IMAP) og fjerne alle spam mails. Herefter bør du kunne hente dine mails ned i dit mailprogram.

Såfremt det ikke er muligt bedes du kontakte supporten på www.support.surftown.dk

Vi beklager endnu engang problemerne med mail. Desuden beklager vi forøgede svartider på supporten, hvilket skyldes en kombination af mange henvendelser samt afventende holdning fra vores Driftsafdeling med status på de løbende tiltag.

Info vedr. Spamcop løsningen
Vi er som udgangspunkt ikke tilhængere af Spamcop løsningen, men har valgt at teste den på Mail1 grundet de massive mængder spam. Rent teknisk afvises alle emails som sendes via udbydere, der er blacklistet hos Spamcop. Det betyder også at en “rigtig email”, som sendes til dig kan blive afvist, hvis afsenderens udbyder står opført på Spamcops sorte liste. Grundet den stigende mængde spam har flere og flere udbydere valgt at anvende Spamcop eller lignende løsninger, og det betyder også at de forskellige udbydere bør reagere hurtigt hvis de bliver blacklistet – det er vi i hvert fald meget opmærksomme på her hos Surftown, så dine mails kommer rettidigt frem til modtageren.

Typiske årsager til lukning af webhotel

Nu har jeg de seneste dage desværre måttet midlertidigt suspendere og i visse tilfælde helt lukke enkelte kunder, fordi deres webhoteller udøvede et så massivt pres på servernes ressourcer, at det betød en forringelse af servicen for de andre kunder. Derfor lige et mindre indlæg om de typiske faldgruber eller årsager til en lukning, så vi kan minimere den slags uheldige hændelser for fremtiden. Her er indtil videre mine topscorere:

  1. Fylde sit webhotel med mp3, warez eller film
  2. En ubeskyttet web applikation
  3. For stor til delte servere (shared hosting)
  4. Dårlig kodning (f.eks. uendelige SQL-løkker)

Umiddelbart siger første punkt vel (forhåbentlig) lidt sig selv? Et webhotel er ikke at sidestille med en online-harddisk og bør da overhovedet ikke benyttes til at dele ulovlige filer fra. Det er til gengæld også et fåtal af brugere, som har oplevet at blive lukket på grund af overtrædelse af ophavsrettigheder.

Web applikationer, som ikke er beskyttede nok, står derimod for langt størstedelen af de kunder, jeg har haft fat i. Typisk har det i denne kategori været gæstebøger fra PHP Fusion, åbne PhpBB-fora og endelig PHP Nuke. Man kan med fordel bruge CAPTCHA til at beskytte sig imod spam eller i det mindste gøre registrering (og retten til at skrive indlæg) tvunget på sin gæstebog og fora. Ofte vil manglen på spam beskyttelse lade døren til forummet stå vidt åben for spambots, som trevler nettet igennem efter nye steder at efterlade deres ulovlige reklamer på. Her er det også vigtigt at pointere hvor vigtigt det er at ens web applikationer er sikrede mod for eksempel SQL injects, cross-site scripting og andre sædvanlige sikkerhedshuller.

Et andet aspekt af dette, er at onlineapplikationer seriøst river serveren rundt, når tusindvis af spambots går amok. Det har igen en negativ effekt på ydelsen og forringer oplevelsen for andre kunder på samme server, hvorfor vi ofte er tvunget til at suspendere det pågældende webhotel, når det bliver opdaget.

Den mest positive lukningsårsag, hvis man da kan kalde det dét, er at kundens hjemmeside har vokset sig så populær og har så mange besøgende, at den ganske enkelt ikke længere passer på et webhotel i et delt servermiljø. Når man først er oppe i så højt et niveau, er man bedre tjent med at undersøge andre alternativer, som Virtuelle Private Servere (VPS) eller dedikeret hosting. Dermed er ydelsen betydeligt bedre samtidig med der er større kontrol med hvad serveren foretager sig, og man kan lettere tilpasse sin hosting til sin hjemmeside.

Som jeg tidligere har nævnt, har vi også ændret rutinerne for hvordan vi håndterer disse lukninger.

Såfremt vi opdager en hjemmeside, der bruger for mange ressourcer, sender vi kunden en email, som kort beskriver hvad der er sket, så de selv kan klare problemet. Kun i yderst sjældne tilfælde, hvor forbruget er ved at “vælte” resten af serveren, er der mulighed for vi direkte suspenderer webhotellet, så det ikke går ud over andre kunder.

I tilfælde heraf skal man kontakte Support, der genaktiverer hjemmesiden og hjælper med at rette op på problemet. Der skal virkelig gentagende tilfælde til, før der vil være tale om en permanent lukning.

Surftown Fotoblog nu på nettet

Jeg har netop været på jagt med digitalkamerat og fået taget nogle billeder af blandt andet serverpark og bygningen i sig selv. I stedet for at poste billederne direkte her på bloggen, har jeg nu også installeret en Fotoblog og lagt alt materialet derover i stedet – så er det lidt nemmere at holde styr på. Applikationen kan dog godt finde på at slynge en blank side ud i ny og næ – så skal du blot trykke F5 for at genindlæse siden.

I kan se dem ved at klikke her eller bruge menupunktet ovre i højre side 🙂

God weekend!

/Thomas

«< 50 51 52 53 54 >