Tweet
Stellungsnahme von One-2-One
Sehr geehrte Kundin, sehr geehrter Kunde,
sicherlich ist es Ihrer Aufmerksamkeit nicht entgangen, dass die gewohnt zuverlässige Performance und Verfügbarkeit der gehosteten Server bei ONE-2-ONE in den letzten Wochen temporär nicht gewährleistet werden konnte.
Vereinzelt haben Sie sich vielleicht schon mit unserem Kundenservice auseinandergesetzt. Wir möchten Ihnen nun kurz erläutern, wie es zu diesen Zwischenfällen kam und welche Ursachen diese haben.
Gingen wir anfänglich von kleineren Routingproblemen aus, so stellte sich recht rasch heraus, dass einige Server unserer Kunden gezielt Opfer/Medium sogenannter DDoS (Distributed-Denial-of-Service)- Attacken wurden.
Als Medium dienten vereinzelte Kundenserver, vorrangig Cobalt RaQ-Server, welche - sofern nicht immer alle Patches eingespielt wurden - "leichte Beute" für die Übeltäter waren und sind.
Zu keinem Zeitpunkt wurden die hauseigenen Systeme der ONE-2-ONE GmbH "gehackt".
Wieso wurden während der Attacken auch unbeteiligte Server und Ihre Systeme in der Erreichbarkeit beeinträchtigt?
Bedingt durch die Tatsache, dass einige Kundenserver Medium
und Ziel der DDoS-Attacken waren, kam es zu temporären Überlastungen der internen Router, da viele Server dazu benutzt wurden, mit teilweise mehreren Gigabit Datentransfer pro Sekunde das ONE-2-ONE eigene Backbonenetz
zu "überfluten".
Die DDoS-Attacken der vergangenen Wochen sind Internet-Sicherheit************perten seit längerem bekannt. Die Schutzmechanismen, die unsere Server vor Angriffen schützen, konnten jedoch in diesem Falle nicht greifen, da unser Netz "nur" zur Übertragung der Pakete "gehackter" Kundenserver eingesetzt wurde, nicht jedoch Ziel der Angriffe war.
Obwohl vergleichsweise simpel angelegt, sind DDoS-Angriffe nicht leicht zu parieren. Die Hacker dringen in zu wenig gesicherte Servern ein und hinterlassen auf diesen ein kleines Programm, das auf Befehl gegen ein anvisiertes Ziel aktiv wird. Das Programm überflutet bspw. den Server einer Website mit automatischen Massenanfragen. Die Website ist blockiert und für normale Anfragen nicht mehr zugänglich.
Die einzige wirksame Massnahme gegen diese Attacken ist die restlose Entfernung der Angreiferkomponenten gefolgt von einer Aktualisierung des Systems der betroffenen Recher.
Zur Minderung der Effekte wurden zahlreiche Gegenmassnahmen getroffen. Die betroffenen Rechner sind weitestgehend isoliert worden. Der Normalzustand kann aber erst nach "Säuberung" der gehackten Server eintreten.
Betroffene Kunden erhalten dazu noch eine weitere eMail, in der die genaue Vorgehensweise erläutert wird.
Es kann daher in den nächsten Tagen noch vereinzelt zu weiteren kurzzeitigen Verfügbarkeitsschwierigkeiten kommen.
Dafür bitten wir um Ihr Verständnis.
Ihre ONE-2-ONE GmbH
Ein Hinweis unserer Systemadministration:
Im Zuge der Gegenmassnahmen wurde unter anderem ICMP-Traffic in der Bandbreite massiv beschränkt, da ICMP-Floods auch zur Attacke gebraucht wurden. Deswegen kann es öfters vorkommen, dass "ping" oder "traceroute" Nichterreichbarkeit melden, obwohl nicht-ICMP-Dienste wie http, ftp, mail, ssh und telnet erreichbar sind. Sofern Sie also externe Überwachungsprogramme nutzen, kann es vorkommen, dass diese einen Ausfall melden, obwohl Ihre Seiten problemlos erreichbar sind.
---
ONE-2-ONE Advertising + Telecommunications GmbH
Theodor-Heuss-Str. 92-100, 51149 Koeln, Germany
Telefon (01805) 6632-66 Telefax (01805) 6632-33
info@one-2-one.net http://www.one-2-one.net
Geschaeftsfuehrer:Mike Behrendt,HRB 28495 Koeln
sicherlich ist es Ihrer Aufmerksamkeit nicht entgangen, dass die gewohnt zuverlässige Performance und Verfügbarkeit der gehosteten Server bei ONE-2-ONE in den letzten Wochen temporär nicht gewährleistet werden konnte.
Vereinzelt haben Sie sich vielleicht schon mit unserem Kundenservice auseinandergesetzt. Wir möchten Ihnen nun kurz erläutern, wie es zu diesen Zwischenfällen kam und welche Ursachen diese haben.
Gingen wir anfänglich von kleineren Routingproblemen aus, so stellte sich recht rasch heraus, dass einige Server unserer Kunden gezielt Opfer/Medium sogenannter DDoS (Distributed-Denial-of-Service)- Attacken wurden.
Als Medium dienten vereinzelte Kundenserver, vorrangig Cobalt RaQ-Server, welche - sofern nicht immer alle Patches eingespielt wurden - "leichte Beute" für die Übeltäter waren und sind.
Zu keinem Zeitpunkt wurden die hauseigenen Systeme der ONE-2-ONE GmbH "gehackt".
Wieso wurden während der Attacken auch unbeteiligte Server und Ihre Systeme in der Erreichbarkeit beeinträchtigt?
Bedingt durch die Tatsache, dass einige Kundenserver Medium
und Ziel der DDoS-Attacken waren, kam es zu temporären Überlastungen der internen Router, da viele Server dazu benutzt wurden, mit teilweise mehreren Gigabit Datentransfer pro Sekunde das ONE-2-ONE eigene Backbonenetz
zu "überfluten".
Die DDoS-Attacken der vergangenen Wochen sind Internet-Sicherheit************perten seit längerem bekannt. Die Schutzmechanismen, die unsere Server vor Angriffen schützen, konnten jedoch in diesem Falle nicht greifen, da unser Netz "nur" zur Übertragung der Pakete "gehackter" Kundenserver eingesetzt wurde, nicht jedoch Ziel der Angriffe war.
Obwohl vergleichsweise simpel angelegt, sind DDoS-Angriffe nicht leicht zu parieren. Die Hacker dringen in zu wenig gesicherte Servern ein und hinterlassen auf diesen ein kleines Programm, das auf Befehl gegen ein anvisiertes Ziel aktiv wird. Das Programm überflutet bspw. den Server einer Website mit automatischen Massenanfragen. Die Website ist blockiert und für normale Anfragen nicht mehr zugänglich.
Die einzige wirksame Massnahme gegen diese Attacken ist die restlose Entfernung der Angreiferkomponenten gefolgt von einer Aktualisierung des Systems der betroffenen Recher.
Zur Minderung der Effekte wurden zahlreiche Gegenmassnahmen getroffen. Die betroffenen Rechner sind weitestgehend isoliert worden. Der Normalzustand kann aber erst nach "Säuberung" der gehackten Server eintreten.
Betroffene Kunden erhalten dazu noch eine weitere eMail, in der die genaue Vorgehensweise erläutert wird.
Es kann daher in den nächsten Tagen noch vereinzelt zu weiteren kurzzeitigen Verfügbarkeitsschwierigkeiten kommen.
Dafür bitten wir um Ihr Verständnis.
Ihre ONE-2-ONE GmbH
Ein Hinweis unserer Systemadministration:
Im Zuge der Gegenmassnahmen wurde unter anderem ICMP-Traffic in der Bandbreite massiv beschränkt, da ICMP-Floods auch zur Attacke gebraucht wurden. Deswegen kann es öfters vorkommen, dass "ping" oder "traceroute" Nichterreichbarkeit melden, obwohl nicht-ICMP-Dienste wie http, ftp, mail, ssh und telnet erreichbar sind. Sofern Sie also externe Überwachungsprogramme nutzen, kann es vorkommen, dass diese einen Ausfall melden, obwohl Ihre Seiten problemlos erreichbar sind.
---
ONE-2-ONE Advertising + Telecommunications GmbH
Theodor-Heuss-Str. 92-100, 51149 Koeln, Germany
Telefon (01805) 6632-66 Telefax (01805) 6632-33
info@one-2-one.net http://www.one-2-one.net
Geschaeftsfuehrer:Mike Behrendt,HRB 28495 Koeln