WS4 og WS22 udsat for defacing-angreb

Sikkerheden var midlertidigt kompromitteret på to af vores webservere, ws4 og ws22, da de i fredags blev udsat for et lettere defacing-angreb. Personen der udførte angrebet valgte kun at overskrive indeksfilerne, og skaffede sig ikke adgang til indholdet i mapperne på hver enkelt webhotel. Alle resterende servere var ikke berørt. For at undgå panik valgte vi umiddelbart at melde ud, at der kun var tale om et DDoS-angreb, indtil vores teknikere en times tid senere havde fundet og lukket sikkerhedshullet.

Heldigvis viste det sig at vores beredsskabsplan for disse hændelser virkede fint – ws22 havde i løbet af lørdag fået installeret seneste backup fra i torsdags, og alle hjemmesider på den var oppe at køre igen indenfor 24 timer. Den anden webserver, ws4, vil have gennemført installering af sin seneste backup i løbet af i dag, og vil være fuldt online i eftermiddag. Angriberens IP-adresse er blevet sporet og indehaveren vil blive retsforfulgt.

Hvis du har en nyere backup af din side end den vi har lagt ud, kan du uploade den via FTP, så ingen ændringer vil være gået tabt 🙂

I øvrigt kan jeg henvise til vores driftsinfo, der løbende opdateres med status på serverne:
https://www.surftown.dk/?docid=bd87a9f2-041f-473f-9606-ca18fc213c54

Jeg beklager episoden og undskylder for ulejligheden.

Problemer med email/forbedret spamfilter

Gennem de seneste par uger har en af vores mailservere (Mail1) været præget af stor ustabilitet. Årsagen hertil er at netop denne mailserver har modtaget massive mængder spam, hvilket har medført at en del kunder har oplevet problemer med at kunne tilgå deres mailkonto.

I sidste uge valgte vi at opgradere hardwaren, men niveauet af spam var så omfattende, at vi kun oplevede en begrænset forbedring. Desuden lå der efter opgraderingen en endnu større kø af rigtige mails og spam mails, som har taget sin tid at komme igennem. I dag har vi valgt at implementere en ny antispam-løsning på Mail1, som vi vil benytte de kommende uger. Løsningen er uhyre effektiv, og bygger på RBL-listen fra Spamcop.net.

Løsningen blev implementeret ved middagstid, og vi kan allerede nu konstatere at mailserveren har langt flere ressourcer til rådighed, hvilket gerne skulle betyde at du kan tilgå din email-konto. Desuden bør du modtage væsentligt færre spam mails fremover. Enkelte kunder kan dog opleve problemer med at tilgå deres emails via Outlook eller andet mailprogram (POP3) pga. mange spam mails – en løsning kan være at logge ind på webmailen (eller IMAP) og fjerne alle spam mails. Herefter bør du kunne hente dine mails ned i dit mailprogram.

Såfremt det ikke er muligt bedes du kontakte supporten på www.support.surftown.dk

Vi beklager endnu engang problemerne med mail. Desuden beklager vi forøgede svartider på supporten, hvilket skyldes en kombination af mange henvendelser samt afventende holdning fra vores Driftsafdeling med status på de løbende tiltag.

Info vedr. Spamcop løsningen
Vi er som udgangspunkt ikke tilhængere af Spamcop løsningen, men har valgt at teste den på Mail1 grundet de massive mængder spam. Rent teknisk afvises alle emails som sendes via udbydere, der er blacklistet hos Spamcop. Det betyder også at en “rigtig email”, som sendes til dig kan blive afvist, hvis afsenderens udbyder står opført på Spamcops sorte liste. Grundet den stigende mængde spam har flere og flere udbydere valgt at anvende Spamcop eller lignende løsninger, og det betyder også at de forskellige udbydere bør reagere hurtigt hvis de bliver blacklistet – det er vi i hvert fald meget opmærksomme på her hos Surftown, så dine mails kommer rettidigt frem til modtageren.

Typiske årsager til lukning af webhotel

Nu har jeg de seneste dage desværre måttet midlertidigt suspendere og i visse tilfælde helt lukke enkelte kunder, fordi deres webhoteller udøvede et så massivt pres på servernes ressourcer, at det betød en forringelse af servicen for de andre kunder. Derfor lige et mindre indlæg om de typiske faldgruber eller årsager til en lukning, så vi kan minimere den slags uheldige hændelser for fremtiden. Her er indtil videre mine topscorere:

  1. Fylde sit webhotel med mp3, warez eller film
  2. En ubeskyttet web applikation
  3. For stor til delte servere (shared hosting)
  4. Dårlig kodning (f.eks. uendelige SQL-løkker)

Umiddelbart siger første punkt vel (forhåbentlig) lidt sig selv? Et webhotel er ikke at sidestille med en online-harddisk og bør da overhovedet ikke benyttes til at dele ulovlige filer fra. Det er til gengæld også et fåtal af brugere, som har oplevet at blive lukket på grund af overtrædelse af ophavsrettigheder.

Web applikationer, som ikke er beskyttede nok, står derimod for langt størstedelen af de kunder, jeg har haft fat i. Typisk har det i denne kategori været gæstebøger fra PHP Fusion, åbne PhpBB-fora og endelig PHP Nuke. Man kan med fordel bruge CAPTCHA til at beskytte sig imod spam eller i det mindste gøre registrering (og retten til at skrive indlæg) tvunget på sin gæstebog og fora. Ofte vil manglen på spam beskyttelse lade døren til forummet stå vidt åben for spambots, som trevler nettet igennem efter nye steder at efterlade deres ulovlige reklamer på. Her er det også vigtigt at pointere hvor vigtigt det er at ens web applikationer er sikrede mod for eksempel SQL injects, cross-site scripting og andre sædvanlige sikkerhedshuller.

Et andet aspekt af dette, er at onlineapplikationer seriøst river serveren rundt, når tusindvis af spambots går amok. Det har igen en negativ effekt på ydelsen og forringer oplevelsen for andre kunder på samme server, hvorfor vi ofte er tvunget til at suspendere det pågældende webhotel, når det bliver opdaget.

Den mest positive lukningsårsag, hvis man da kan kalde det dét, er at kundens hjemmeside har vokset sig så populær og har så mange besøgende, at den ganske enkelt ikke længere passer på et webhotel i et delt servermiljø. Når man først er oppe i så højt et niveau, er man bedre tjent med at undersøge andre alternativer, som Virtuelle Private Servere (VPS) eller dedikeret hosting. Dermed er ydelsen betydeligt bedre samtidig med der er større kontrol med hvad serveren foretager sig, og man kan lettere tilpasse sin hosting til sin hjemmeside.

Som jeg tidligere har nævnt, har vi også ændret rutinerne for hvordan vi håndterer disse lukninger.

Såfremt vi opdager en hjemmeside, der bruger for mange ressourcer, sender vi kunden en email, som kort beskriver hvad der er sket, så de selv kan klare problemet. Kun i yderst sjældne tilfælde, hvor forbruget er ved at “vælte” resten af serveren, er der mulighed for vi direkte suspenderer webhotellet, så det ikke går ud over andre kunder.

I tilfælde heraf skal man kontakte Support, der genaktiverer hjemmesiden og hjælper med at rette op på problemet. Der skal virkelig gentagende tilfælde til, før der vil være tale om en permanent lukning.

Surftown Fotoblog nu på nettet

Jeg har netop været på jagt med digitalkamerat og fået taget nogle billeder af blandt andet serverpark og bygningen i sig selv. I stedet for at poste billederne direkte her på bloggen, har jeg nu også installeret en Fotoblog og lagt alt materialet derover i stedet – så er det lidt nemmere at holde styr på. Applikationen kan dog godt finde på at slynge en blank side ud i ny og næ – så skal du blot trykke F5 for at genindlæse siden.

I kan se dem ved at klikke her eller bruge menupunktet ovre i højre side 🙂

God weekend!

/Thomas

DDoS-angreb skyld i nedbrud

En af Surftown’s PHP5-webservere (ws30) blev tidligt onsdag morgen kl. 05:22 ramt af et omfattende DDoS-angreb, som betød at serveren først blev meget langsom og derefter nærmest umulig at komme ind på.

Dette såkaldte DDoS-angreb (Distributed Denial of Service) kan effektivt tvinge en webserver af nettet ved at bombardere den med trafik. Vores teknikere var dog hurtige til at sætte ind overfor den angrebne server, idet tjenesterne med enkelte udfald kørte igen fra kl. 15:20 og samtlige tjenester fungerede igen i går aftes omkring kl. 23. At få blokeret sådan et angreb hurtigst muligt betyder virkelig meget for os.

De fleste oplevede at hjemmesiderne på den pågældende server ikke kunne nås i timevis, og det beklager vi selvfølgelig meget. Det har endnu ikke været muligt at spore angrebets oprindelsessted, fordi et DDoS-angreb netop kendetegnes ved, at mange computere sender forespørgsler mod serveren samtidig.

Vi holder dog fortsat et vågent øje med serveren, for at sikre angrebet ikke genoptages.

Ws23, en af vores andre PHP5-webservere oplever også pletvis ustabilitet, som dog skyldes kunder der har vokset sig så store, at deres hjemmesider bruger så mange allokerede ressourcer i et delt servermiljø, at det bidrager til at forringe oplevelsen for vores andre kunder.

For at stabilisere driften af Ws23, arbejder vi i øjeblikket på i stedet at henvise disse kunder til dedikerede løsninger, og samtidig flytter vi kunder over til andre servere.

Sidst men ikke mindst har der gennem flere dage været problemer med Mail1, den ældste af vores mailservere. Sent Fredag aften i sidste uge bevirkede en hardwareopgradering, at man oplevede en uventet og uforudset fejl, som efterfølgende har holdt vores teknikere i arbejde hele døgnet rundt.

Surftown beklager hermed den ulejlighed vores kunder har haft som følge heraf.

Dbh,
Thomas

«< 52 53 54 55 56 >