DDos Attacke auf einen unserer Server

Veröffentlicht am 31. März 201626. Mai 2018

Wir kämpfen seit heute (31.3.) 10 Uhr mit einer massiven DDoS Attacke!

wir haben heute leider einen massiven DDos Angriff durch Hacker auf einen unserer Server.
Dadurch ist auch der Zugang zum zimbra & web05 stark beeinträchtigt gewesen! Inzwischen konnten wir aber in Abstimmung mit dem Rechenzentrum die Lage in den Griff bekommen, wir sind aber immer noch beschäftigt den Normalbetrieb wieder herzustellen.

[UPDATE] @ 31.März ~ 17:30 Uhr

zimbra & web05 sind inzwischen wieder erreichbar.
Bitte entschuldigen Sie den Ausfall! 🙁

[UPDATE] @ 31.März ~ 18:20 Uhr

Es sind für die Abend & Nachstunden noch weitere Wartungsarbeiten geplant. Ausfälle sollten aber kurz sein.

[UPDATE] @ 31.März ~ 20:45 Uhr

Zwischenbilanz:
Innerhalb von 6 Stunden wurden rund 260 GByte sinnloser Traffic an eine normalerweise nicht verwendete IP auf unserem Server gesendet. Durch den gut verteilen DDoS Angriff wurden Filter überlastet. Dadurch haben auch andere VMs / IPs Connectivity Probleme bekommen und waren nur sehr schwer oder gar nicht mehr erreichbar.

Erst nach einiger Ansträngung ist es gelungen die Attacke in den Griff zu bekommen.

Hier ein Traffic-Report zu der einen IP die angegriffen wurde. Normalerweise sind pro Tag sonst auf diesem Netz-Segment nur ein paar Hundert MByte.

Der Traffic Flow ist inzwischen wieder weitestgehend normal.

[UPDATE] @ Freitag, 1. April ~ 10:30 Uhr

Die Angriffe wiederholen sich heute seit ca 9 Uhr! Nur sind sie heute etwas anders. Es erreichen uns heute nur „leere“ TCP Packages. Der Schwellwert von 150.000 Packages pro Sekunde ist weit überschritten, die Netzwert-Infrastruktur regelt das nun automatisch ab. Wir haben das ganze Netz deaktiviert.

DDoS Mitigation wird leider aktuell noch nicht vom RZ unterstützt.

Wir versuchen den Server so anzupassen, dass dieser den Traffic eventuell selbst ausfiltern kann.

[UPDATE] @ Freitag, 1. April ~ 12:30 Uhr

Switch und Server sind permanent überlastet – wir versuchen aktuell ein Hardware Upgrade verbunden mit OS Upgrade zu machen.

[UPDATE] @ Freitag, 1. April ~ 18:00 Uhr

zimbra Server ist wieder online!

[UPDATE] @ Freitag, 1. April ~ 18:20 Uhr

web05 Server ist wieder online!

Der Angriff dauert zwar noch an, ist aber nun diverse Maßnahmen für die Infrastruktur nicht mehr so kritisch. Die VMs sollten online bleiben!

[UPDATE] @ Dienstag, 5.April. ~ 15:00 Uhr

Die Angriffe haben stark nachgelassen und fast aufgehört.

[UPDATE] @ Mittwoch, 6.April. ~ 12 Uhr

heute, bis jetzt, keine Angriffe mehr.

Neues SSL Zertifikat

Veröffentlicht am 31. Dezember 201517. Juni 2017

Wir haben gerade auf allen unseren Servern ein neues SSL-Zertifikat installiert, Gültigkeit bis 31.Dez 2018 bzw 1.1.2019 (abhängig von der Zeitzone des Gerätes)

Manche Geräte (speziell Apple) haben mit dem Wechsel des Zertifikates „Probleme“ und zeigen danach eine Warnung an.
Das soll den Benutzer auf den „Wechsel“ aufmerksam machen.

Es muss daher einmalig das neue Zertifikat bestätigt werden.
Dazu die Meldung einfach mit „OK“ / „Speichern“ / „Merken“ / „Akzeptieren“ oder was auch immer sinngemäss passt bestätigen.

Bei einem iPhone sieht diese Meldung ca so aus:

Diese Meldung einfach mit „Akzeptieren“ (rechts oben) bestätigen.

Peering Problem mit A1 Mobil

Veröffentlicht am 25. September 20151. April 2022

Es gibt seit Donnerstag, 24.9., ein Peering-Problem zwischen A1 Mobil Zugängen und dem IP-Range unserer Rechenzentren. Das Problem tritt allerdings immer nur sporadisch auf und ist daher schwer zu finden.
Alle anderen Zugangsarten (zBsp A1 Festnetz) und Internet Provider (UPC, T-Mobile, Drei, CityCom) sind davon nicht betroffen.

Wir stehen bereits mit dem A1 Support in Kontakt um das Problem eingrenzen und lösen zu können!

[UPDATE] @ Mittwoch, 30.9. 15:00
Das Problem ist inzwischen bis zum 2nd Level Support der A1 eskaliert. Bisher noch keine Lösung gefunden.

[UPDATE] @ Mittwoch, 7.10.
Das A1 Team konnte die A1 Kunden DNS anpassen, es sollte bei allen A1 Mobil Kunden zu keinen Problemen mehr kommen.

Betrügerische Rechnung von austriadomainhosting

Veröffentlicht am 25. August 20153. April 2022

ACHTUNG — WARNUNG:

Es gehen gerade gefälschte Rechungen um von „Austria Domain Hostng“ (Hosting ist offenbar falsch geschrieben worden!) mit angeblicher Domain/eMail: info@austriadomainhosting.at und info@austriadomainhosting.com

Die PDF Rechnungen haben keinen Empfänger im Briefkopf und es werden sonst auch keine Domains genannt die man angeblich bezahlen soll!
Der Rechnungsbetrag ist meistens 149€

Das ist eine ganz klare Phishing eMail bzw Rechnung. Bitte NICHT bezahlen! Als Kunde von graz4u bekommen Sie NUR von uns Rechnungen – von sonst keiner anderen Firma!

Sollten Sie unsicher sein ob die Rechnung korrekt ist, kontaktieren Sie uns bitte einfach unter support@graz4u.at

IPv4 Routing Problem zu otrs01

Veröffentlicht am 13. Januar 201526. Mai 2018

Seit ca 11:30 gibt es IPv4 Routing Probleme zu unserem OTRS Host otrs01.graz4u.at.
Wir arbeiten bereits an einer Lösung!

Der Server ist unter IPv6 normal erreichbar.

[UPDATE] @ 14:00
Wir übersiedeln aktuell die VM, das Routing Problem gestalltet sich leider komplexer als gedacht.

[UPDATE] @ 14:40
Migration ist abgeschlossen, wir versuchen die VM am neuen Server zu aktivieren.

[UPDATE] @ 15:58
otrs01 ist wieder voll verfügbar. Wir haben eine neue VM hochgezogen und die Daten importiert.
Kunden können bereits wieder normal mit OTRS arbeiten.
Sollten Sie bei Ihrer Instanz noch Probleme haben oder Fehler angezeigt bekommen, so schreiben Sie bitte an support@graz4u.at

DNS Ausfall

Veröffentlicht am 4. Dezember 201426. Mai 2018

Die Cluster-DB für unsere DNS hatte beim Backup einen Fehler und dadurch den DB-Cluster destabilisiert. Dadurch konnten nicht alle Domains innerhalb unseres DNS Server Verbunds serviciert werden.

[UPDATE] @ 8:43
Der Fehler ist inzwischen wieder behoben, alle Domains sind wieder im Netz sichtbar.

Wir bitten für den Ausfall um Entschuldigung!

Peering Problem mit aon.at

Veröffentlicht am 1. Oktober 201426. Mai 2018

Seit einigen Stunden gibt es Probleme mit der Erreichbarkeit der Domain aon.at bzw aller A1/Telekom Austria Domains von unserem Rechenzentrum aus.
Die DNS der Telekom Austria verweigern den Zugriff von unserem Netz aus.

An der Lösung des Problems wird gearbeitet.
Wir bitten um etwas Geduld und entschuldigen uns für die verzögerte Mailzustellung zu aon.at

[ UPDATE ] @ 2. Okt, 14:20

Das A1 Netz ist wieder erreichbar, die Telekom Austria DNS sind wieder erreichbar. Mails werden bereits wieder zugestellt.

aktuelles Phishing Mail versucht Mail-Passwörter abzufragen

Veröffentlicht am 29. April 201417. Juni 2017

Wieder mal müssen wir vor einem Phishing Mail warnen – in diesem Fall betrifft es nicht Banken, Kreditkarten oder Paypal-Konten, sondern Ihr Mailkonto.

Das Mail sieht wie folgt aus:

Betreff: Sehr geehrter Nutzer
Datum: Wed, 30 Apr 2014 00:02:12 +0100
Von: ADMIN<admin@webmail.net>
Antwort an: 647812717@qq.com
An: Recipients <admin@webmail.net>

Sehr geehrter Nutzer Ihre E-Mail wurde von 2 GB, der durch den Webmaster erstellt wird überschritten, die derzeit auf 2.30GB läuft, können Sie nicht, bis Sie Ihr Konto zu überprüfen senden oder zu empfangen neue Nachrichten. Füllen Sie das untenstehende Formular aus, um Ihr Konto zu überprüfen. Bitte füllen Sie das Formular aus, um Ihr Konto zu bestätigen

(1) E-mail:
(2) Name:
(3) Passwort:
(4) Passwort bestätigen:

danke Administrator von sistem

Wie bei allen Phishing-Mails ist auf eine solche Anfrage nicht zu antworten und in gar keinem Fall einfach ein Passwort an irgend einen dubiosen Administrator zu schicken…

Auch wenn der Absender in diesem Fall nicht auf „Graz4u“ gefälscht war und es dadurch eher leicht zu erkennen ist, dass es sich hier um eine Fälschung handelt, müssen wir hier nochmals ausdrücklich schreiben, dass wir Sie niemals auffordern und Ihre Zugangsdaten zu schicken!

Passwörter werden von uns ggf. maximal zurückgesetzt und Sie davon informiert. Bei der Überschreitung von Postfachgrößen werden Sie zwar informiert, Sie brauchen und aber weder E-Mail noch Name zurückschicken.

Weiters empfehlen wir Ihnen, sich immer zu vergewissern, dass wirklich „support@graz4u.at“ in der Empfängerzeile steht und nicht wie oben etwa „647812717@qq.com“

Erreichbarkeit des Supports zu Ostern

Veröffentlicht am 14. April 201417. Juni 2017

Das Osterwochenende steht vor der Tür und erholsame Tage erwarten uns. Auch das Team von graz4u gönnt sich eine kleine Pause.

Daher wird vom Freitag, den 18.04.2014 bis zum Montag, den 21.04.2014 nur ein eingeschränkter Support erfolgen.

Ab Dienstag, den 22.04.2014 sind wir natürlich wieder vollständig für Sie da.

Wir bedanken uns für Ihr Verständnis und wünschen Ihnen Frohe Ostern!

Defacing von mehreren Kundenseiten, Feber 2014

Veröffentlicht am 11. Februar 20142. April 2022

In der Nacht von 10. auf 11. Februar wurden mehrere Kundenseiten auf einem unserer Server von einer Defacing-Attake des Hackers Iliya Norton heimgesucht.

Nahezu zeitgleich zeigten mehr als zehn Kundenseiten statt der gewohnten Startseite nur noch folgendes Bild:

Nach Warnungen von clean-mx.de und cert.at hat das graz4u-Team hat die betroffenen Seiten identifiziert und die Daten von der Sicherung restauriert. Die betroffenen Kunden wurden informiert.

Der Hacker gehört übrigens zur Kategorie „Friendly Hacker“ der mit seinem Defacement zwar für einige Aufregung gesorgt, jedoch im Grunde bewußt so wenig wie möglich zerstört hatte.
Diesmal konnte auch recht schnell geklärt werden über welche Schwachstellen der Hacker eindringen konnte. (Ein nicht auf den neuesten Stand gebrachtes Plugin des JCE-Editors in verschiedenen Joomla-Versionen)

Sucht man im Netz nach „Hacked by Iliya Norton“ findet man mittlerweile hunderte gehackte Seiten. Dabei beweißt der Hacker sehr viel Kreativität, denn das Bild das wir hier als Screenshot verewigt haben, variiert dabei sehr stark. Meist gibt es auch Musik (teilweise Technoklänge, teilweise Arabische Musik) – Iliya Norton, scheint jeder Seite seinen persönlichen Stempel auf zu drücken. Übrigens findet man auch recht schnell ein Google+ Konto mit diesem Namen, welches anscheinend wirklich von diesem Hacke betrieben wird…

Leider können wir nicht sicher sein, dass es bei allen Domains wirklich diese Schwachstelle war, über die der Hacker in das System eindringen konnte. Eine kurze Internetrecherche ergab jedoch wie schon bei unserem letzten Defacing-Fall im Jahr 2011, dass auch zahreiche andere Seiten mit verschiedensten CMS betroffen waren.
Wir raten einmal mehr allen Kunden auf die neuesten Versionen up zu daten – bzw, sich mit uns in Verbindung zu setzen, sofern Sie dabei Hilfe benötigen!