Information

WS4 och WS22 utsatt för defacing-angrepp

Säkerheten var temporärt kompromissad för två av våra webservers, ws4 och ws22, då de i fredags blev utsatta för ett mindre defaing-angrepp. Personen som utförde angreppet valde att endast skriva över indexfilerna, och skaffade sig inte någon tillgång till allt innehåll i alla kataloger på varenda webbhotell. Alla resterande webservers var inte berörda.

För att ungdå panik, valde vi att omedelbart gå ut med att det endast var tal om ett DdoS-angrepp, tills att våra tekniker en timme senare hade funnit och stängt säkerhetshålet.

Lyckligtvis visade det sig att vår beredsskapsplan fungerade fint – ws22 hade i loppet av lördag fått backups installerade från i torsdags, och alla hemsidor på den var igång inom 24 timmar. Den andra webservern, ws4, kommer få backups åtställda under dagen, och ska vara fullt återställd i eftermiddag.

Om ni har en egen backup som är nyare än den vi återställer ifrån, kan ni ladda upp den via FTP, så mister ni inga ändringar.

Kom även ihåg att ni kan kontrollera vår driftsinfo-sida, där vi löpande uppdaterar statusen på våra servers: Klicka här

IP-numret för personen som utförde angreppet har spårats, och vi kommer vidta rättsliga åtgärder.

Jag beklagar situationen och ber om ursäkt för olägenheten.

Problem med e-post/Förbättrat spamfilter

De senaste veckorna har en av våra mailservers (Mail1) varit ostabil. Orsaken till detta är att denna mailserver mottagit massiva mängder spam, vilket har medfört att en del kunder har upplevt problem med att kunna tillgå deras e-post konto.

Under förra veckan valde vi att uppgradera hårdvaran men nivån av spam var så omfattande att vi bara upplevde en begränsad förbättring.

Dessutom låg det efter uppgraderingen en ännu större kö av riktig e-post och spam, som har tagit tid att komma igenom.

Igår valde vi att implementera en ny antispam-lösning på Mail1, som vi kommer att använda de närmaste veckorna. Lösningen är mycket effektiv, och bygger på RBL-listan från Spamcop.net. Lösningen blev implementerad vid middagstid, och vi kan redan nu konstatera att mailservern har långt fler resurser tillgängligt, vilket bör betyda att du kan tillgå ditt e-post konto. Dessutom bör du motta väsentligt färre spammails framöver.

Ett fåtal kunder kan dock uppleva problem med att tillgå deras e-post via Outlook eller annat mailprogram (POP3) pga. många spammails – en lösning kan vara att logga in på webbmail (eller att använda ett mailprogram med IMAP inställningar) och radera alla spammails. Därefter bör du kunna hämta din e-post med ditt e-postprogram.

Vi beklagar ännu en gång problemen med e-post. Dessutom beklagar vi de utökade svarstiderna på supporten, vilka beror på en kombination av många hänvändelser samt att vår support har inväntat status från vår driftavdelning på det löpande arbetet.

Info gällande Spamcop lösningen
Vi är som utgångspunkt inte anhängare av Spamcop lösningen, men har valt att testa den på Mail 1 på grund av massiva mängder spam. Rent tekniskt avvisas all e-post som sänds via leverantörer som är svartlistade hos Spamcop. Det betyder också att ett ”äkta” email, som skickats till dig kan bli avvisat, om avsändarens leverantör finns med på Spamcops svarta lista. Med grund i de stigande mängderna spam har allt fler leverantörer valt att använda Spamcop eller liknande lösningar, och det betyder också att de olika leverantörerna bör reagera snabbare om de blir svartlistade – det är i vart fall vi uppmärksamma på här hos Surftown, så att din e-post kommer fram rätt till mottagaren.

Vanligaste orsakerna för avstängning

Nu har vi de senaste dagarna dessvärre varit tvungna att suspendera och i vissa fall, helt stänga av specifika kunder för att deras webbhotell har skapat en sådan press på serverns resurser, att det har riskerat driften av andra kunders webbhotell. Därför passar det bra med ett litet inlägg om de typiska fallgroparna och orsakerna till avstängning, så vi kan minimera liknande situationer i framtiden.

Här är listan på vinnarna:

•    Kontot innehöll olagliga och/eller upphovsrättsskyddade filer
•    Osäkra webbapplikationer
•    Dåligt kodade webbapplikationer (t.ex. otrevliga SQL-luckor)
•    Vuxit sig för stor för ”shared hosting”

Den första punkten talar för sig själv (hoppas jag). Webbhotell ska inte ses som en extern lagringsplats, och bör därför inte innehålla filer av denna natur. Finner vi en kund med sådant innehåll, så stängs dem ner direkt utan förvarning.

Osäkra webbapplikationer står dock för majoriteten av de avstängningar, som vi har träffat på. Det vanligaste i denna kategori har varit gästböcker från PHP-Fusion, öppna phpBB-forum och till sist PHP-Nuke. Här kan man med fördel använda sig av till exempel CAPTCHA till att skydda sig mot spam eller i varje fall kräva registrering (och rätten till att skriva inlägg) i sin gästbok och sitt forum. Ofta innebär bristen på spamskydd att man lämnar dörren vidöppen till sitt forum för så kallad spamdexing, det vill säga spam-robotar, som ivrigt söker igenom nätet efter nya platser att lämna sin olagliga reklam på.

Här är det även viktigt att poängtera hur viktigt det är att kontrollera att ens applikationer är säkrade mot till exempel SQL injects, cross-site scripting och andra vanliga säkerhetsluckor.

En annan aspekt av detta, är att dessa applikationer tynger ner servern märkbart, när tusentals spam-robotar löper amok. Detta påverkar i sin tur prestandan för alla andra kunder som delar samma server, och vi tvingas då vidta drastiska åtgärder (läs: stänga av kunden) för att kunna säkerställa driften av servern.

Den positivaste avstängsningsorsaken, om man får uttrycka sig så, är att kundens sajt har blivit så pass populär och välbesökt, att den helt enkelt inte passar för så kallad ”shared hosting”, det vill säga den sorts hosting som Surftown bedriver. När en sajt har vuxit så pass mycket, är det dags att börja fundera över andra alternativ, såsom dedikerad hosting eller kanske en virtuell privat server (VPS). Då får man betydligt mer prestanda, samt större kontroll över vad som sker under huven på servern, och man kan lättare anpassa sin hosting så att den passar ens verksamhet.

Som jag tidigare nämnt, har vi arbetat om rutinerna för hur vi hanterar dessa avstängningar. Upptäcker vi att en kund utnyttjar allt för mycket resurser på en server, sänder vi dem ett mail med råd och rekommendationer på möjliga åtgärder, så de kan åtgärda det på egen hand. Endast vid väldigt speciella fall suspenderar vi en kunds konto direkt, och då på grund av att de utgör en grav risk för serverns driftsäkerhet och andra kunders webbhotell.

Då kan man alltid kontakta supporten för att få hjälp med att åtgärda problemet, och även berätta att man har åtgärdat problemet så att supporten kan återaktivera ens webbhotell. Det ska alltså mycket till för att det ska vara tal om någon permanent avstängning.

«< 11 12 13 14 15