DDoS Attacke, März 2016

DDos Attacke auf einen unserer Server

Wir kämpfen seit heute (31.3.) 10 Uhr mit einer massiven DDoS Attacke!

wir haben heute leider einen massiven DDos Angriff durch Hacker auf einen unserer Server.
Dadurch ist auch der Zugang zum zimbra & web05 stark beeinträchtigt gewesen! Inzwischen konnten wir aber in Abstimmung mit dem Rechenzentrum die Lage in den Griff bekommen, wir sind aber immer noch beschäftigt den Normalbetrieb wieder herzustellen.


[UPDATE] @ 31.März ~ 17:30 Uhr

zimbra & web05 sind inzwischen wieder erreichbar.
Bitte entschuldigen Sie den Ausfall! 🙁


[UPDATE] @ 31.März ~ 18:20 Uhr

Es sind für die Abend & Nachstunden noch weitere Wartungsarbeiten geplant. Ausfälle sollten aber kurz sein.


[UPDATE] @ 31.März ~ 20:45 Uhr

Zwischenbilanz:
Innerhalb von 6 Stunden wurden rund 260 GByte sinnloser Traffic an eine normalerweise nicht verwendete IP auf unserem Server gesendet. Durch den gut verteilen DDoS Angriff wurden Filter überlastet. Dadurch haben auch andere VMs / IPs Connectivity Probleme bekommen und waren nur sehr schwer oder gar nicht mehr erreichbar.

Erst nach einiger Ansträngung ist es gelungen die Attacke in den Griff zu bekommen.

Hier ein Traffic-Report zu der einen IP die angegriffen wurde. Normalerweise sind pro Tag sonst auf diesem Netz-Segment nur ein paar Hundert MByte.

DDoS Attacke, März 2016

 Der Traffic Flow ist inzwischen wieder weitestgehend normal.


[UPDATE] @ Freitag, 1. April ~ 10:30 Uhr

Die Angriffe wiederholen sich heute seit ca 9 Uhr! Nur sind sie heute etwas anders. Es erreichen uns heute nur „leere“ TCP Packages. Der Schwellwert von 150.000 Packages pro Sekunde ist weit überschritten, die Netzwert-Infrastruktur regelt das nun automatisch ab. Wir haben das ganze Netz deaktiviert.

DDoS Mitigation wird leider aktuell noch nicht vom RZ unterstützt. 

Wir versuchen den Server so anzupassen, dass dieser den Traffic eventuell selbst ausfiltern kann.

[UPDATE] @ Freitag, 1. April ~ 12:30 Uhr

Switch und Server sind permanent überlastet – wir versuchen aktuell ein Hardware Upgrade verbunden mit OS Upgrade zu machen.

[UPDATE] @ Freitag, 1. April ~ 18:00 Uhr

zimbra Server ist wieder online!

[UPDATE] @ Freitag, 1. April ~ 18:20 Uhr

web05 Server ist wieder online!

Der Angriff dauert zwar noch an, ist aber nun diverse Maßnahmen für die Infrastruktur nicht mehr so kritisch. Die VMs sollten online bleiben!


[UPDATE] @ Dienstag, 5.April. ~ 15:00 Uhr

Die Angriffe haben stark nachgelassen und fast aufgehört.


[UPDATE] @ Mittwoch, 6.April. ~ 12 Uhr

heute, bis jetzt, keine Angriffe mehr.

 

20140211 defacing Iliya Norton

Defacing von mehreren Kundenseiten

 

In der Nacht von 10. auf 11. Februar wurden mehrere Kundenseiten auf einem unserer Server von einer Defacing-Attake des Hackers Iliya Norton heimgesucht.

Nahezu zeitgleich zeigten mehr als zehn Kundenseiten statt der gewohnten Startseite nur noch folgendes Bild:

20140211 defacing Iliya Norton

Nach Warnungen von clean-mx.de und cert.at hat das graz4u-Team hat die betroffenen Seiten identifiziert und die Daten von der Sicherung restauriert. Die betroffenen Kunden wurden informiert.

Der Hacker gehört übrigens zur Kategorie „Friendly Hacker“ der mit seinem Defacement zwar für einige Aufregung gesorgt, jedoch im Grunde bewußt so wenig wie möglich zerstört hatte.
Diesmal konnte auch recht schnell geklärt werden über welche Schwachstellen der Hacker eindringen konnte. (Ein nicht auf den neuesten Stand gebrachtes Plugin des JCE-Editors in verschiedenen Joomla-Versionen)

Sucht man im Netz nach „Hacked by Iliya Norton“ findet man mittlerweile hunderte gehackte Seiten. Dabei beweißt der Hacker sehr viel Kreativität, denn das Bild das wir hier als Screenshot verewigt haben, variiert dabei sehr stark. Meist gibt es auch Musik (teilweise Technoklänge, teilweise Arabische Musik) – Iliya Norton, scheint jeder Seite seinen persönlichen Stempel auf zu drücken. Übrigens findet man auch recht schnell ein Google+ Konto mit diesem Namen, welches anscheinend wirklich von diesem Hacke betrieben wird…

Leider können wir nicht sicher sein, dass es bei allen Domains wirklich diese Schwachstelle war, über die der Hacker in das System eindringen konnte. Eine kurze Internetrecherche ergab jedoch wie schon bei unserem letzten Defacing-Fall im Jahr 2011, dass auch zahreiche andere Seiten mit verschiedensten CMS betroffen waren.
Wir raten einmal mehr allen Kunden auf die neuesten Versionen up zu daten – bzw, sich mit uns in Verbindung zu setzen, sofern Sie dabei Hilfe benötigen!

 

FileZilla-Version mit untergeschobenem Trojaner

Einem Bericht vom deutschen Heise Verlag zufolge wurden manipulierte Binaries des FTP-Clients FileZilla, die um Spionagefunktionen ergänzt wurden über ebenfalls gefälschte Downloadseiten zum Download angeboten. Die Entwickler der trojanisierten Fassungen haben sich dabei anscheinend große Mühe gegeben, nicht aufzufallen uns spionieren Zugangsdaten zu Domains aus.

Falls Sie als graz4u-Kunde ebenfalls mit diesem beliebten Programm arbeiten, überpüfen Sie bitte Ihre Version. (Siehe Screenshot)


Original und Fälschungen: Die Änderungen liegen im Detail.
Bild: Avast

 

Auszug aus dem Heise-Bericht:

Der Virenschutz-Hersteller Avast hat manipulierte Versionen des FTP-Clients FileZilla entdeckt, welche die genutzten Zugangsdaten heimlich an einen deutschen Server übertragen. Die Fälschungen sind kaum vom Original zu unterscheiden und voll funktionsfähig.

Laut Avast werden die trojanisierten Ausgaben der FileZilla-Versionen 3.7.3 und 3.5.3 über Download-Seiten verbreitet, die optisch an die Herstellerseite angelehnt sind und auf gehackten Servern platziert wurden. Die Entwickler der trojanisierten Fassungen haben sich große Mühe gegeben, nicht aufzufallen: Genau wie das Original installieren sich die Malware-Zwillinge mit dem Nullsoft-Installer, ferner bietet sie alle von FileZilla bekannten Funktionen. Die Spionagefunktionen wurden direkt in das Binary eingebaut.

Die Malware-Versionen unterscheiden sich nur in kleinen Details vom Original: Sie wurden offenbar mit einer älteren Version von GnuTLS kompiliert, nämlich 2.8.6 statt 3.1.11. Dies zeigt FileZilla auch wahrheitsgemäß unter „Hilfe“, „Über…“ an. Dort findet sich bei einer Fälschung eine ältere SQLite-Version, bei einer anderen Variante fehlt diese Angabe ganz.

Nutzt man die Schadsoftware, überträgt Sie gesichtete Zugangsdaten per HTTP an einen Server, der laut Avast bei dem deutschen Hoster Hetzner steht. Er ist über drei russische Domains (.ru) erreichbar. Bei einem Test am Dienstagnachmittag hielten nur sieben der 50 bei VirusTotal vertretenen Virenscanner das Installationsprogramm der verseuchten Version 3.7.3 für schädlich.

Ausfall einiger Domains wegen Einbruchs

Leider haben wir uns heute Nacht zu früh gefreut – der Hacker hat unseren Server web01 nochmals übernehmen können und der Server musst daher vom Rechenzentrum ein zweites Mal vom Netz genommen werden.

Wir arbeiten weiterhin an der Behebung und hoffen den Server wieder so bald wie möglich frei zu bekommen!

Mit freundlichen Grüßen, Ihr Graz4u-Team

[Update] 14:30h: Alle Domains auf Web01 sind wieder erreichbar. Es sind zwar nun nochmals weitere Einbruchstellen gefunden worden, es gab aber bisher keine Schäden.

Nachdem wir nun feststellen konnten, dass alle erkannten Einbrüche über ein nicht upgedatetes Joomla-Modul (JCE-Editor) über einen ungesicherten Admin-Link passiert sind, haben wir generell für alle Domains auf allen Servern nun vorsorglich das /administrator-Verzeichnis von Joomla aber auch spezielle Verzeichnisse von WordPress und Co. mit einem zusätzlichen User und Passwort abgesichert – somit kommen Hacker über diesen Weg vorerst nicht mehr ins System.

Wir informieren alle Kunden entsprechend über diesen Schutz bzw. das neue Passwort. (Sollten Sie es bisher noch nicht bekommen haben, bitte um kurze Info an support@graz4u.at)
Wir bitte dennoch dringend ALLE Kunden, ihre Domains regelmäßig am letzten technischen Stand zu bringen.

Ausfall einiger Domains wegen Einbruchsversuch

Leider mussten wir heute unseren Webserver web01.graz4u.at seit ca. 9h nach der Meldung eines Hacks vom Netz nehmen.

Wir sind derzeit noch bemüht die Einbruchstelle und die genauen Umstände zu untersuchen, bevor wir in kürze wieder Online gehen können.

Sollte Ihre Domain unter den betroffenen sein, bitten wir Sie um Entschuldigung und versichern, das Problem so schnell wie möglich zu lösen.

Mit freundlichen Grüßen, Ihr Graz4u-Team

[Update] 14h: Alle Domains auf Web01 sind wieder erreichbar, soweit wir das feststellen konnten, gab es keine Schäden.

[Update] 23h: Die Einbruchstelle wurde nun erkannt, der Kunde informiert, Kunden mit äühnlichen Systemen werden gesondert informiert, damit Sie Ihre Systeme sofort updaten können.

20110902_defacing_h4tsa

Defacing von mehreren Kundenseiten

 

In der Nacht von 02. auf 03. September wurden mehrere Joomla-Kundenseiten auf einem unserer Server von einer Defacing-Attake des Hackes h4TsA heimgesucht.

Nahezu zeitgleich zeigten mehr als zehn Kundenseiten statt der gewohnten Startseite nur noch folgendes Bild:

20110902_defacing_h4tsa

Um ca. 07:30 haben dann die verschiedenen Benachrichtigungsmechanismen angeschlagen und das graz4u-Team hat die betroffenen Seiten identifiziert und die Daten von der Sicherung restauriert. Die betroffenen Kunden wurden informiert.

Der Hacker gehört übrigens zur Kategorie „Friendly Hacker“ der mit seinem Defacement zwar für einige Aufregung gesorgt, jedoch im Grunde bewußt so wenig wie möglich zerstört hatte.
Leider konnte bisher nicht geklärt werden, über welche Schwachstelle der Hacker in das System eindringen konnte – allerdings waren nur dezitiert Joomla-Seiten betroffen. Seiten mit anderen CMS am selben Server blieben auf unseren Servern unangetastet, eine kurze Internetrecherche ergab jedoch, dass auch zahreiche andere Seiten mit verschiedensten CMS betroffen waren.
Wir gehen trotzdem aktuell von einer neueren Joomla-Schwachstelle oder auch von einer Schwachstelle in einer zusätzlichen Komponente wie etwa JoomFish die von fast allen Seiten genutzt wird aus und raten allen Joomla-Kunden auf die neuesten Versionen up zu daten – bzw, sich mit uns in Verbindung zu setzen, sofern Sie dabei Hilfe benötigen!

kritische Sicherheitslücke im Internet Explorer

Nach Meldungen verschiedener Online-Dienste breitet sich der sogenannte Zero-Day-Exploit für den Internet Explorer weiter aus.

Obwohl die ersten Meldungen schon letzte Woche eintrudelten gibt es anscheinend bis dato noch keinen Schutz  dagegen – betroffen sind alle Versionen des Internet-Explorers inkl. des neuen IE 8 Beta 2

Während Trend Micro am Sonntag noch von 6.000 infizierten Servern sprach, meldet der Kurier soeben, dass inzwischen ca. 10.000 Webserver durch Hacker so präpariert wurden, dass sie den Gefährlichen Code an arglose User verteilen.

 

Microsoft gibt eine ausführliche Liste von Workarounds, wie der Internet Explorer zu konfigurieren ist, um den Exploit ins Leere laufen zu lassen. Dazu gehört unter anderem der wenig praxistaugliche Tipp, Scripting zu deaktivieren, ohne das es auf eine Reihe von Webseiten zu Problemen bei der Darstellung und Bedienung kommen kann.

Solange Microsoft noch keinen Patch bereitstellt, sollte man zu einem alternativen Browser greifen, der die verwundbaren Microsoft-Bibliotheken nicht benutzt. Populäre Beispiele sind Firefox, Opera oder Safari.

 Wir können nicht ausschließen, dass nicht auch auf einigen unserer Webhosts solcher Schadcode eingeschleust wurde oder noch wird – gerade vor den bevorstehenden Weihnachtsfeiertagen sicher ein lohnendes Unternhmen für Hacker, da in den nächsten beiden Wochen sicherlich auch viele  Administratoren die Feiertage nutzen und vielleicht gar nicht mitbekommen was alles auf ihrem System passiert…

Ganz egal, ob Sie nun mit dem IntenetExplorer oder einem anderen derzeit  sicheren Browser im Netzunterwegs sind, bitten wir alle Graz4U-Kunden wieder einmal dringend alle ausständigen Sicherheitsupdates auf Ihren Webhosts durch zu führen!