Ausfall am 29.05.06

C.Hoffmann · Mo, 29.05.06, 19:48

Leider gab es durch eine Sicherheitslücke im Open-Source Forum einen kompletten Serverausfall der seit gestern Nacht (ca 0:30Uhr) andauerte. Er verursachte u.a. islamistische Prpagande und UDP-Floods. Dadurch scheinen wir auch auf eine e-Mail Blacklist eines Providers geraten zu sein. Mal ganz abgesehen vom finanziellen Schaden, denn der Shop war eben auch den ganzen Tag lang offline.

Da wir sehr auf Sicherheit achten und eigentlich immer die aktuellsten Updates geladen hatten, wurden wir sehr durch diesen Umstand überrascht.

Um solchen Dingen weitgehend zukünftig vorzubeugen, haben wir uns dazu entschlossen einige Mods vorerst nicht wieder zu installieren. Vor allem der Credits-Mod und der Datei-Upload-Mod. Ich äußere mich später noch einmal genauer dazu.. Weiter haben wir den Shop vom Forum getrennt. Das Forum läuft künftig nichtmehr auf dem Server, sondern nur noch auf einem Standard-Webspace, welcher erheblich geringere Angriffsfläche bietet (da kein root-Zugriff möglich).

Ich entschuldige mich für die lange Wartezeit und auch für die Unanehmlichkeiten durch die vorerst fehlenden Forum-Erweiterungen (Mods). Ich bitte auch um Nachsicht, wenn aktuell noch ein paar geringfügige Bugs auftreten. Sollten euch Fehler auffallen, dann bitte euch diese im Bugreport-Forum zu posten, dass wir einen nach dem anderen beheben können.

PS: Keine Sorge: Die bisher erhaltenen Credits sind "eingefroren". Wenn dieses Mod wieder zum Einsatz kommt, bleiben die alten Kontostände bestehen.

lithi · Mo, 29.05.06, 20:03

hab mich grad ma umgesehen und so manches entdeckt was früher nicht war.
wann können wir denn wieder mit den alten standarts rechnen und sind alle bilder noch vorhanden?

DnM · Mo, 29.05.06, 20:09

also den credit mod werde ich vermissen jetzt hab ich grad angefangen zu sammeln und schon is der trau m wieder aus naja hoffentlich gibs den bald wieder

Neo · Mo, 29.05.06, 20:24

tjah das ist leider ganz schön ...... gelaufen
und ich kann auch noch nicht sagen ob das alles wieder rekonstruiert werden kann

@DnM
wie viele credits hattest du den ?

C.Hoffmann · Mo, 29.05.06, 20:43

Also der Credit-Mod ist nicht gestorben.. lasst uns ein wenig Zeit die Fehler zu behben.

Ich gehe davon aus, dass morgen oder übermorgen die Bugs beseitigt sind. Danach mache ich mich an die Mods. Das Problem an den Mods ist halt einfach, dass Sie ein einfaches Update unmöglich machen, da die Quelldateien modifiziert werden müssen und folglich nicht mit neuen Files überschrieben werden können.

lithi · Mo, 29.05.06, 20:47

sind denn noch sämtliche bilder vorhanden oder wurden diese gelöscht?

Andy · Mo, 29.05.06, 20:57

Ich Hoffe es doch sehr...ansonnsten müßte man alles neu Uploaden, wenn es die Option wieder geben sollte...
Wobei dieses dann ja noch zu verschmerzen wäre...schlimmer noch ist es, das der Shop den ganzen Tag nicht erreichbar war... Ich möchte nicht wissen, wie hoch der wirtschaftliche Schaden ist, den der Ausfall verursacht hat, zumal der Shop ja kein normales Ladengeschäft ist, sondern eher ne Online Plattform.
Ich hoffe nur, das es nicht allzuteuer für euch geworden ist und ihr das alles wieder vernünftig auf die Reihe bekommt, sodas alles wieder einwandfrei Funzt.

Fightclub · Mo, 29.05.06, 21:02

hi, das is aber schaaaade

aber ich habe mich schon länger gewundert wieso forum und sshop anscheinend auf einem server lagen. Sowas ist zwar immer schön und praktisch, aber leider gibts halt auch die Kehrseiten der Medaille

@Chris: Lass dir damit ruhig Zeit, ich weiss was das fürne *** arbeit is -.-
kurze frage am rande: weiß man schon wie groß in etwa der wirtschaftliche schaden is? Rein interesse halber. Habe mich nämlich schon immer mal gefragt wieviel sowas kostet wenn einen tag n shop nich erreichbar is.

Neo · Mo, 29.05.06, 21:12

wie ich sehe geht es voran

lithi · Mo, 29.05.06, 21:14

wird sich eig dadurch die eröffnung des neuen shops verzögern???
hoffe ihr habt heut nicht einen zugroßen schaden erlitten, das ihr euch nicht mehr aufraffen könnt.
denn dann wär dieser schöne shop weg

und wär sehr schade, denn zur konkurenz will ich nicht

C.Hoffmann · Mo, 29.05.06, 21:19

Der Schaden beläuft sich auf Schätzungsweise ca. 6000€.

Daten gingen keine verloren. Die Datenbanken und auch die Files sind in mehrfach redundanter Weise abgesichert und werden täglich mehrmals gebackupt. Wie gesagt.. eigentlich ist uns "Sicherheit" ziemlich wichtig.

Bilder (Avatars usw.) und Useruploads sollten eigentlich soweit alle wieder eingespielt sein.

lithi · Mo, 29.05.06, 21:48

6000€????
junge junge! mit soviel hätte ich nit gerechnet! endlich wieder etwas vertrauter das forum

DnM · Mo, 29.05.06, 22:03

@DnM
wie viele credits hattest du den ?

noch net so viel ich hab die 100er marke angestrebt aber ob ich die schon hatte weiß ich net

Schnuffi · Mo, 29.05.06, 22:53

Hallo Herr Hoffmann !

Schön das das Forum wieder funktioniert. War ja eine ziehmliche Überraschung.

Als ich Heute morgen um 0:01 Uhr auf Ihre Seite sah, musste ich mich nochmal vergewissern, ob ich mich vielleicht vertippt habe, denn auf der Seite war auf einmal ein anderes Bild als gewöhnlich. Nach genauerem hinsehen erkannte ich, dass die Seite anscheinend von Islamisten gehackt wurde. Weil ich keine Telefonnummer zur Hand hatte, schrieb ich Ihnen deshalb die e-mail, welche schon fast als spam aussortiert wurde. Dann sind Sie wohl noch Nachts in die Firma gefahren, um den Server wieder klar zu bekommen. So wie ich das mitbekommen habe, sind Sie die ganze Nacht beschäftigt gewesen. Ich hoffe, das Sie deshalb eine Anzeige gegen Unbekannt bei der Polizei machen, damit dieser Vorfall wenigstens in die Statistik kommt. Und unsere Politiker dagegen in Zukunft etwas unternehmen.

Alles Gute

Schnuffi

Ps:
http://www.leds.de
Tue May 30 00:08:10 2006
Apache/2.0.53 (Linux/SUSE)

Apache 2.0.58 ist der aktuellere Webserver.

CVE-2005-3357 (cve.mitre.org)
mod_ssl: When configured with an SSL vhost with access control and a custom error 400 error page, mod_ssl allows remote attackers to cause a denial of service (application crash) via a non-SSL request to an SSL port, which triggers a NULL pointer dereference.
CVE-2005-3352 (cve.mitre.org)
mod_imap: Cross-site scripting (XSS) vulnerability which allows remote attackers to inject arbitrary web script or HTML via the Referer when using image maps.

http://www.apache.org/dist/httpd/Announcement2.0.html

http://www.apache.org/dist/httpd/CHANGES_2.0

C.Hoffmann · Di, 30.05.06, 00:07

Nach all dem Schaden werde ich nicht noch des statistischen Bundesamtes zur Liebe Zeit bei der Polizei investieren. Das führt zu nichts.

Danke für die eMail.

Künftige Nummer für Notfälle: 0700 1600 1300 (Weiterleitung auf mein Handy nach 45 Sekunden). Aber in der Regel bin ich immer bis 03:00Uhr im Büro... das ist also per eMail normal auch kein Problem.

Inceida · Di, 30.05.06, 13:15

Hey
Gott sei dank funzt es wieder...

das muss man sich erstmal vorstellen,..... ich war gestern einen Tag ohne das Forum hier!!!!

Das mit dem Schaden is ja echt bitter... Hoffentlich bleiben wir davon demnächst verschont!!

Also Viel Glück!

MfG

root · Di, 30.05.06, 13:46

Hatte mich gestern auch schon gewurdert, denn Serverupdates macht man für gewöhnlich nicht Tagsüber, eben wegen den Ausfallverlusten.

Dass man das Forum "ausgliedert" ist schon fast normal würde ich mal meinen. Gut dass hier ist noch ein recht kleines Forum, aber oftmals lagert man es allein schon wegen der Serverbelastung aus.

Hoffe ihr bekommt dass alles wieder in den Griff. Hab mich selbst lang genug mit Webprogrammierung beschäftigt und weiß wie viel Arbeit das ganze für euch werden wird.

C.Hoffmann · Di, 30.05.06, 14:14

Unser Server ist kaum ausgelastet. Der dümpelt bei 1-2% vor sich hin.

root · Di, 30.05.06, 14:28

C.Hoffmann hat geschrieben:Unser Server ist kaum ausgelastet. Der dümpelt bei 1-2% vor sich hin.

Ja sicher, glaub auch nicht, dass ne hohe Auslastung zu erwarten gewesen sei.
Aber ich kenn es von einigen großen Foren, da werden dann z.B. diverse Features abgeschaltet (Suchfunktion) da der Server ansonsten zu starkt belastet wird.

Aber klar hier kann man noch lange nicht von einem großem Forum sprechen.
Aber ist schon richtig so das Forum auszulagern.

Um nochmal auf den "bug" zu kommen. Die Angreifer haben doch keinen root Zurgiff auf eurern Server über das phpBB bekommen, oder?
Ich mein, dann müssen das wohl auch ein Fehler in der Engine von php sein, dass es dadurch möglich wird fremden Code auf dem System auszuführen.

Würd mich wirklich mal interessieren, da wenn es wirklich am phpBB liegt dieses doch sehr verbreitet ist.

C.Hoffmann · Di, 30.05.06, 14:38

Also mal ganz ehrlich... die Foren, die die Suchfunktion deaktivieren oder z.B. auch auf 20 Sekunden reduzieren übertreiben völlig. Selbst wenn ich pro Sekunde 5 Suchanfragen bekommen würde, wäre die Datenbank und auch die CPU nicht ausgelastet. Und für 5 Suchanfragen pro Sekunde, müssen sicherlich 3000 User gleichzeitig online sein.

Schnuffi · Di, 30.05.06, 18:02

Hier ist eine Beschreibung auf Heise online.

Diese Seite war nicht die einzige, welche Probleme hatte.

http://www.heise.de/newsticker/meldung/73656

Grüße
Schnuffi

DnM · Di, 30.05.06, 18:43

Schnuffi hat geschrieben:Hier ist eine Beschreibung auf Heise online.

danke für den link. ich hab nochmal n zitat genommen um zu testen ob das weiter oben n tippfehler ist oder n bug. in der vorschau funtzt es jedensfalls net mit dem namen

*edit*
ja hatte recht auch in der normalen ansicht funtzt das net

C.Hoffmann · Di, 30.05.06, 18:45

Danke für den Hinweis.

Dort steht u.a. dass das Activity Mod (die Spiele) dafür verantwortlich ist. Das hilft mir sehr weiter. Dann weiß ich welche Mods ich definitiv nichtmehr drauf machen sollte... und wenn dann nur unter extremen Sicherheitsvorkehrungen.

DnM · Di, 30.05.06, 18:46

da steht aber unten auch das man die patchen kann und sollte

Fightclub · Di, 30.05.06, 19:08

kurze Frage, war der Activity Mod auch das Creditsystem? Weil die Games ja irgendwie damit zusammenhingen? Wegen Jackpot und so.