Spam, spam, spam…

Denna veckan har våra mailservers haft stora problem med regelbundna ”spamstormar”, där över 90% av e-posten som sänds till oss är spam. Det har gjort att våra mailservers har haft en otroligt hög belastning, och medfört långa svarstider för våra kunder.

Tittar man i vårt övervakningssystem (som för övrigt är SysOrb), så kan man tydligt se att det förmodligen rör sig om något sorts angrepp:

SysOrb

Grafen visar en 24-timmars period för en av våra servers. ”Spiken” ni ser sker mer eller mindre exakt 23:05, och då inte endast på denna mailserver, utan på flera av våra mailservers. Man kan alltså konstantera att våra mailservers rullade på fint och utan problem fram tills att attacken påbörjades.

Och senast förra veckan blev vi utsatta för ett säkerhetsintrång i form av ett deface-angrepp på ett par av våra webservers… 🙁

Även om det inte framgick något självklart budskap på de drabbade webservers och i spam-mailen, misstänker vi att angreppen kan knytas samman med nypubliceringen och hela debatten kring Muhammed-teckningarna i Danmark (vi är ju baserade i Danmark). Det har även visat sig att ”hackarna” har varit ute efter flera andra danska leverantörer. Ni kan läsa mer om det här (på danska): https://comon.dk/index.php/news/show/id=34890

Det är för tillfället inte möjligt att exakt säga hur många kunder som upplever problem med mailen. Men vi gör vad vi kan, och ser väldigt allvarligt på detta angrepp, och försöker reducera mängden spam genom att implementera Spamcop (läs mer här). Våra övervakningsystem rapporterar fortfarande om oregelbundna höga belastningar, och man bör därför räkna med längre svarstider än normalt när man kontaktar Surftown support. Det nya spamfiltret hjälper dock till väldigt mycket, så vi förväntar oss att våra kunder snart ska kunna få sin e-post igen.

Det är minst sagt händelserikt här på Surftown, kan man väl säga…

WS4 och WS22 utsatt för defacing-angrepp

Säkerheten var temporärt kompromissad för två av våra webservers, ws4 och ws22, då de i fredags blev utsatta för ett mindre defaing-angrepp. Personen som utförde angreppet valde att endast skriva över indexfilerna, och skaffade sig inte någon tillgång till allt innehåll i alla kataloger på varenda webbhotell. Alla resterande webservers var inte berörda.

För att ungdå panik, valde vi att omedelbart gå ut med att det endast var tal om ett DdoS-angrepp, tills att våra tekniker en timme senare hade funnit och stängt säkerhetshålet.

Lyckligtvis visade det sig att vår beredsskapsplan fungerade fint – ws22 hade i loppet av lördag fått backups installerade från i torsdags, och alla hemsidor på den var igång inom 24 timmar. Den andra webservern, ws4, kommer få backups åtställda under dagen, och ska vara fullt återställd i eftermiddag.

Om ni har en egen backup som är nyare än den vi återställer ifrån, kan ni ladda upp den via FTP, så mister ni inga ändringar.

Kom även ihåg att ni kan kontrollera vår driftsinfo-sida, där vi löpande uppdaterar statusen på våra servers: Klicka här

IP-numret för personen som utförde angreppet har spårats, och vi kommer vidta rättsliga åtgärder.

Jag beklagar situationen och ber om ursäkt för olägenheten.

Problem med e-post/Förbättrat spamfilter

De senaste veckorna har en av våra mailservers (Mail1) varit ostabil. Orsaken till detta är att denna mailserver mottagit massiva mängder spam, vilket har medfört att en del kunder har upplevt problem med att kunna tillgå deras e-post konto.

Under förra veckan valde vi att uppgradera hårdvaran men nivån av spam var så omfattande att vi bara upplevde en begränsad förbättring.

Dessutom låg det efter uppgraderingen en ännu större kö av riktig e-post och spam, som har tagit tid att komma igenom.

Igår valde vi att implementera en ny antispam-lösning på Mail1, som vi kommer att använda de närmaste veckorna. Lösningen är mycket effektiv, och bygger på RBL-listan från Spamcop.net. Lösningen blev implementerad vid middagstid, och vi kan redan nu konstatera att mailservern har långt fler resurser tillgängligt, vilket bör betyda att du kan tillgå ditt e-post konto. Dessutom bör du motta väsentligt färre spammails framöver.

Ett fåtal kunder kan dock uppleva problem med att tillgå deras e-post via Outlook eller annat mailprogram (POP3) pga. många spammails – en lösning kan vara att logga in på webbmail (eller att använda ett mailprogram med IMAP inställningar) och radera alla spammails. Därefter bör du kunna hämta din e-post med ditt e-postprogram.

Vi beklagar ännu en gång problemen med e-post. Dessutom beklagar vi de utökade svarstiderna på supporten, vilka beror på en kombination av många hänvändelser samt att vår support har inväntat status från vår driftavdelning på det löpande arbetet.

Info gällande Spamcop lösningen
Vi är som utgångspunkt inte anhängare av Spamcop lösningen, men har valt att testa den på Mail 1 på grund av massiva mängder spam. Rent tekniskt avvisas all e-post som sänds via leverantörer som är svartlistade hos Spamcop. Det betyder också att ett ”äkta” email, som skickats till dig kan bli avvisat, om avsändarens leverantör finns med på Spamcops svarta lista. Med grund i de stigande mängderna spam har allt fler leverantörer valt att använda Spamcop eller liknande lösningar, och det betyder också att de olika leverantörerna bör reagera snabbare om de blir svartlistade – det är i vart fall vi uppmärksamma på här hos Surftown, så att din e-post kommer fram rätt till mottagaren.

Nya rutiner för .SE domäner

Från och med 2009 så kommer vi ses som domänregistrar istället för domänombud för .SE domäner. Detta på grund av de nya rutiner som .SE har bestämt sig för att implementera från och med nästa år.

När ni nu loggar in på IIS’ domänhanterare, så kommer ni därför välkomnas av en sida rubricerad ”Välj din registrar”. Välj där ”Surftown A/S”, för att markera att ni vill ha Surftown som domänregistrar. En av skillnaderna jämfört med det nuvarande systemet, är bland annat att fakturor för domänen nu kommer att skickas ut av domänregistraren, istället för att skickas ut av IIS/Svea Ekonomi. Dessutom så ger det oss möjligheter att själva sätta priset, och vi kommer därför kunna göra det billigare för er att förnya era domäner i framtiden. Kom därför ihåg att logga in och välja registrar innan årets slut. Både enklare och billigare för er, med andra ord.

Skulle man dock ha missat att välja en registrar när 2009 påbörjas, så kommer fortfarande IIS/Svea Ekonomi sända ut era fakturor, men då till ett högre pris (175kr inkl. moms). För att läsa mer om det nya systemet, rekommenderar jag er att läsa deras hjälpavsnitt angående detta.

Bilder på hur processen går till finner ni här nedanför:

1.jpg2.jpg3.jpg

Vanligaste orsakerna för avstängning

Nu har vi de senaste dagarna dessvärre varit tvungna att suspendera och i vissa fall, helt stänga av specifika kunder för att deras webbhotell har skapat en sådan press på serverns resurser, att det har riskerat driften av andra kunders webbhotell. Därför passar det bra med ett litet inlägg om de typiska fallgroparna och orsakerna till avstängning, så vi kan minimera liknande situationer i framtiden.

Här är listan på vinnarna:

•    Kontot innehöll olagliga och/eller upphovsrättsskyddade filer
•    Osäkra webbapplikationer
•    Dåligt kodade webbapplikationer (t.ex. otrevliga SQL-luckor)
•    Vuxit sig för stor för ”shared hosting”

Den första punkten talar för sig själv (hoppas jag). Webbhotell ska inte ses som en extern lagringsplats, och bör därför inte innehålla filer av denna natur. Finner vi en kund med sådant innehåll, så stängs dem ner direkt utan förvarning.

Osäkra webbapplikationer står dock för majoriteten av de avstängningar, som vi har träffat på. Det vanligaste i denna kategori har varit gästböcker från PHP-Fusion, öppna phpBB-forum och till sist PHP-Nuke. Här kan man med fördel använda sig av till exempel CAPTCHA till att skydda sig mot spam eller i varje fall kräva registrering (och rätten till att skriva inlägg) i sin gästbok och sitt forum. Ofta innebär bristen på spamskydd att man lämnar dörren vidöppen till sitt forum för så kallad spamdexing, det vill säga spam-robotar, som ivrigt söker igenom nätet efter nya platser att lämna sin olagliga reklam på.

Här är det även viktigt att poängtera hur viktigt det är att kontrollera att ens applikationer är säkrade mot till exempel SQL injects, cross-site scripting och andra vanliga säkerhetsluckor.

En annan aspekt av detta, är att dessa applikationer tynger ner servern märkbart, när tusentals spam-robotar löper amok. Detta påverkar i sin tur prestandan för alla andra kunder som delar samma server, och vi tvingas då vidta drastiska åtgärder (läs: stänga av kunden) för att kunna säkerställa driften av servern.

Den positivaste avstängsningsorsaken, om man får uttrycka sig så, är att kundens sajt har blivit så pass populär och välbesökt, att den helt enkelt inte passar för så kallad ”shared hosting”, det vill säga den sorts hosting som Surftown bedriver. När en sajt har vuxit så pass mycket, är det dags att börja fundera över andra alternativ, såsom dedikerad hosting eller kanske en virtuell privat server (VPS). Då får man betydligt mer prestanda, samt större kontroll över vad som sker under huven på servern, och man kan lättare anpassa sin hosting så att den passar ens verksamhet.

Som jag tidigare nämnt, har vi arbetat om rutinerna för hur vi hanterar dessa avstängningar. Upptäcker vi att en kund utnyttjar allt för mycket resurser på en server, sänder vi dem ett mail med råd och rekommendationer på möjliga åtgärder, så de kan åtgärda det på egen hand. Endast vid väldigt speciella fall suspenderar vi en kunds konto direkt, och då på grund av att de utgör en grav risk för serverns driftsäkerhet och andra kunders webbhotell.

Då kan man alltid kontakta supporten för att få hjälp med att åtgärda problemet, och även berätta att man har åtgärdat problemet så att supporten kan återaktivera ens webbhotell. Det ska alltså mycket till för att det ska vara tal om någon permanent avstängning.

«< 44 45 46 47 48 >