Des Rätsels Lösung: „Denial of Service Attacke“

 •  • 33 Comments

Mir fallen Gebirgszüge vom Herzen, das Blog funktioniert wieder. Bin gerade in einem Starbucks irgendwo zwischen Seattle und Vancouver. Schnell mal alles geprüft – und aufgeatmet. Manch einer, der erst am Montag wieder vorbei schaute, hat sich über diese merkwürdigen Kommentare gewundert. In Kurzfassung:

  • Das Blog war am Sonntag nicht mehr erreichbar, weder Frontend noch Backend. Tote Hose. Ich habe dann in meiner Not flink ein Ersatzblog eingerichtet und dort versucht zu erklären, was ich nicht erklären konnte. Vielen Dank für die spontanen Beileidsbekundungen.
  • Den Blogeintrag von nebenan „Shit happens: Server-Crash“ habe ich nun nachträglich in dieses Blog integriert mitsamt aller Kommentare.

Am Montagmittag, ich war gerade im Flieger, schrieb mir die Presseabteilung von 1blu:

Sehr geehrter Herr Weinreich,

wir bedauern sehr, dass es vorübergehend zu Einschränkungen bei der Erreichbarkeit Ihrer Websites gekommen ist.

Ursache hierfür war eine Sperrung, die ein für die Server-Überwachung zuständiger Mitarbeiter in der Nacht von Samstag auf Sonntag für Ihre Webseiten vorgenommen hat. Der Mitarbeiter hatte festgestellt, dass an einige Ihrer Domains überproportional viele Anfragen gestellt wurden (vermutlich Denial of Service Attacke) und daher der gesamte Webserver extrem unter Last gesetzt wurde. Die Sperrung einer Kundenpräsenz ist in diesem Fall ein üblicher Vorgang, um zu vermeiden, dass sämtliche auf diesem Server befindliche Kundenpräsenzen von Einschränkungen betroffen sind.

Leider hat es der zuständige Mitarbeiter versehentlich versäumt, einen Eintrag in unsere Kundendatenbank vorzunehmen. Wir bedauern sehr, dass dadurch weder Sie noch unser Kundensupport über die Sperrung informiert wurden.

Ihre Webseiten wurden umgehend wieder freigeschaltet. Sämtliche Domains sind aktuell wieder ohne Einschränkungen erreichbar.

Für die Unannehmlichkeiten möchten wir uns ausdrücklich bei Ihnen entschuldigen! Wir hoffen sehr, Ihnen mit der Gutschrift einer Monatsgebühr in Höhe von 14,90 € auf Ihr Kundenkonto entgegenzukommen.

Sollten Sie noch Rückfragen haben, können Sie sich selbstverständlich sehr gerne an mich wenden.

Freundliche Grüße aus Berlin …

Sehr freundlich. Damit ist mir doch sehr geholfen. Wunderbar.

Jetzt muss mit nur noch jemand erklären, was eine „Denial of Service Attacke“ ist.

Linksaussen #1

Massenweiser Zugriff anderer Computer (meist von harmlosen Privatpersonen, durch backdoor-Programme u.ä. gesteuert) auf den Host bzw. Deine Website. Schlichtes Ziel: Absturz durch Überlastung.

Soweit mein Halbwissen reicht, die häufigste, weil einfachste (und billigste) Form von Cyberangriffen. Kriegt vermutlich selbst der Enkel von Zwanziger noch hin. Ähem.

Der Neue #2

Sorry, der Kommentar ist keineswegs böse gemeint.
Aber auch für einen IT-unerfahrenen Journalisten wie JW, der im Netz doch schon einiges bewegt hat (man denke nur an die beispiellose Spendenaktion „Einen 20er gegen 20er“), sollte es doch eigentlich kein großes Problem sein, entsprechende Backupfuunktionen des Blogs einzusetzen, und sei es nur ein simpler Dump des Blogs.
Es muss ja nicht gleich ein eigener Webserver mit RAID 10 sein, aber ein wenig Sicherheit im Hintergrund kann nie schaden.

Der Neue #3
Kaffchris #4
Arnonym #5

@Der Neue: Was helfen gespiegelte Festplatten mit Raid1 im eigenen Server, wenn der Provider die IP bzw. das Netzwerksegment wegen Überlastung abklemmt?
Und ein eigener Server ist a) teuerer unb erfordert b) mehr Administration. Entweder wird jw nebenbei noch Vollzeitadmin oder c) kauft teuren Support. Dann lieber einen Anbieter, der das alles in nem schönen Monatspaket verkauft.

@jw: Nächster Punkt auf der Tagesordnung: Backups, die automatisch angefertigt werden (selber machen ist zu unsicher!) und die sich auch wiederherstellen lassen. :-)

Ansonsten weiter so!

Robert Klemme #6

Jens, da sie ja schon dazu einladen – ich hätte da noch Rückfragen an 1blu:

Von welchen IP-Adressen und in welchem Zeitraum wurden die DOS-Attacken ausgelöst? Wie gedenken Sie in Zukunft mit solchen Vorfällen umzugehen oder sie sogar zu verhindern? (Stichwort z.B. „Traffic Shaping“)

Siehe z.B.
http://www.securityfocus.com/infocus/1285

Da gibt es scheinbar auch interessante Forschung:
http://www.dfki.de/web/forschung/iui/publikationen?pubid=4034
http://conferences.sigcomm.org/co-next/2008/CoNext08_proceedings/StudentWorkshopPapers/12.pdf

Aber ich schweife ab…

dominik s. #7

Und die Seite lädt jetzt auch wieder schneller als früher, bild ich mir ein …

Howie Munson #8

Nun aber mehrere Backups machen und physisch voneinander getrennt aufbewahren… am besten auch das zurückspielen auf der/n anderen Webadresse/-server ausprobieren. (ist einfacher gesagt als getan, könnte ich jetzt auch nicht, hoffe es findet sich hier einer unter den Kommentatoren…)

@jemand der mehr ahnung hat als ich: kann man eigenetlich den crawler von archive.org irgendwie gezielt irgendwo hinlocken??

Marc B. #9

Ich vermute ja, dass der Mitarbeiter im Netzzentrum (NOC) deines Providers die Notbremse gezogen hat, als auf dieses kleine, aber feine Fachblog plötzlich Zugriffe aus aller Welt kamen. Das liegt aber nicht unbedingt an einem Angriff, sondern ist die Folge deiner englischsprachigen Beiträge zu einem aktuelllen, global relevanten Thema.

Thomas #10

Wenn Marc da richtig vermutet, ist es ein …öhm… dummer Zufall gewesen. Und mehr als einen Monatsbeitrag Entschädigung wert.

Kannst ja auch noch fragen, was „überproportional“ in Zahlen heißt. Wir können ja füreinen höheren Normalzustand sorgen, dann heben wir die Überproportion aus.

Mein „Backup“-Hinweis drüben hatte übrigens einen ähnlichen Hintergedanken: gerade bei deinen Gegnern sollte man doch fast schon in Betracht ziehen, daß da mal eben einer 500 Euro verliert um Deine Seite vom Netz zu hämmern. Oder eine womöglich mal wieder existierende WordPress-Backdoor aushebelt und jahrelange Arbeit mit einem Klick vernichtet.

Die Kommentare sind da datenschutzrechtlich wohl bedenklicher, zumindest Mailadresse und IP sollten im öffentlichen Dump nicht verzeichnet sein.

Andreas #11

Bin ich froh, dass du nicht die komplette Seite verloren hast, Jens. Hoffentlich ist die schnelle Rückkehr des Blogs ein gutes Omen für dieses Jahr – es wird aufregend aber erfolgreich :)

@Robert Klemme: Wenn das Ganze aber verteilt vonstatten ging, bringt eine IP auch nicht viel. Wäre allerdings in der Tat interessant, von wo das Ganze kam, auch wenn ich mir wenig Hoffnung mache, dass aus solchen Daten wirklich der wahre Täter herauskommt.

@Der Neue: Backupfunktionen sind Aufgabe des Hosters. Und dieser lässt sich das unter Umständen auch extra bezahlen. Kommt ganz auf den Service Level an. Und auf die Intelligenz des Hosters.

Normalerweise gehen die Daten bei einer DoS Attacke nicht verloren, der Server geht einfach nur mal in die Knie und reagiert nicht mehr auf normale Anfragen. Die Festplatte selbst bleibt davon aber ungerührt. Es sei denn, die Attacke war darauf aufgelegt, Passwörter zu knacken. Das hört sich aber nicht danach an.

Normalerweise gibt es auch Vorsichtsmaßnahmen gegen so etwas. Stellt eine IP zu viele Anfragen in einem bestimmten Zeitraum, wird sie mit weniger Bandbreite oder gar nicht mehr bedient. Der Server kann dann also die Anfragen mit niedriger Priorität beantworten oder verwirft die Anfragen gleich, wenn eine IP zu oft und zu schnell hintereinander Daten haben will. Aber auch das wäre Aufgabe des Hosters sich um seine eigene Serverfarm zu kümmern. Ist ja auch in seinem eigenem Interesse.

Letztendlich sind also zwei Sachen interessant:

Wer war’s und warum?

Und, warum ist dein Hoster nicht in der Lage sich proaktiv gegen so etwas zu schützen? Das Abschalten der Usersites kann eigentlich nicht die Erstlösung sein. Zumal er dann auch versagt, seinen Kunden bescheid zu geben.

Cheers!

Robert Klemme #12

Andreas, stimme Dir zu. Deshalb ja auch die Formulierung meiner Fragen an den Hoster. Noch ein paar Punkte:

Neben den Ermittlungsgründen gibt ja auch noch andere Gründe, den Hoster nach den IPs zu fragen.

Beim Backup ist das so eine Sache: das hängt sicherlich von den Konditionen ab. Ich kann mir jedenfalls vorstellen, dass der Hoster kein Backup anbietet, wenn man z.B. einen Root-Server gemietet hat, weil man die Kiste dann ja auch hauptsächlich selbst administriert. Zumindest sollte er dann in dem Fall aber Mechanismen vorhalten, mit denen man selber sein Backup machen kann (z.B. ein Netzwerk-Share mit genügend Platz).

Robert Klemme #13

Na, Jens hat wohl die Homepage Unlimited XXL. Da sieht die Backup-Lösung ja ganz ordentlich aus. Von traffic shaping o.ä. sehe ich allerdings nichts.

Andreas #15

Robert Klemme, es wäre eventuell interessant, ob das Backup auf einder anderen Maschine liegt, oder nur auf einem anderen virtuellen Server auf der selbigen. Und, ob ich mit dem root-passwort auf deinem Server auch auf das Backup-Verzeichnis zugreifen kann. Außerdem, wie lange es dauert, bis die Adresse bei einem Totalausfall vom Backup aus laufen würde.

Man könnte aber auch – wenn man sehr um die Absicherung besorgt ist – über einen Cronjob die Datenbank und einstellungsdateien (Stylesheets, Patches, etc.) regelmäßig lokal speichern. In einem Ausfall könnte man dann alles wieder zurückspielen und hätte zumindest Teile (seit der letzten Sicherung) relativ spontan wieder aktiv.

Alles in allem bleibt es dennoch ärgerlich, zeit- und meistens auch kostenaufwendig.

DonSanchez #16

Heftig! Schön, dass bei dir alles wieder funktioniert!
Mein Blog wurde gestern auch unfreiwillig runtergefahren, weil der Anbieter es nicht gebacken gekriegt hat den ganzen Tag den Server zu warten…

Stephan #17

Also:

im Prinzip ist eine DOS (Denail of Service) ja schon erklärt worden: Ein oder mehrere (böswillige) Absender senden dem Server eine Anfrage, dass sie gerne Daten senden/anfragen würden. Der Server sagt okay und wartet, wartet, wartet,… Denn mehr kommt dann vom Absender nicht. Und das zwingt den Server in die Knie, sprich er kann nicht mehr kommunizieren und ist damit nicht mehr verfügbar. Das bekommt dann der Provider mit. Damit hat eine solche Attacke erstmal keine Auswirkungen auf die auf dem Server liegenden Daten!

Es gibt aber, um dem Backup-Gespräch ein wenig voranzuhelfen, für WordPress ein Plugin, welches die Datenbank sichern kann. Alternativ mal im Vertrag nachschauen, ob eventuell im Vertrag sogenannte Cronjobs drin sind. Die machen das dann automatisch…

SG,
der Stephan.

Trainer Baade #18

Da ich sehe, dass hier durchaus größere Experten als ich es einer wäre unterwegs sind, füge ich hinzu: Ohne jegliche Gewähr für irgendwas und auch nicht wissend, ob es nicht bessere Wege gibt.

http://ilfilosofo.com/blog/wp-db-backup/

Damit lass ich mir 1x pro Woche alle Daten zuschicken und bin diesbezüglich schon mal etwas beruhigter. Auch wenn der Hoster selbst dafür sorgt/sorgen kann/sorgen muss, je nach Paket: Was hier bei mir liegt, liegt erstmal bei mir und dann ist auch egal, ob der Server des Hosters mit allen Inhalten physisch vernichtet wird. Zudem diese Kopien regelmäßig noch auf verschiedenen Träger lagern und das sollte doch erstmal für den Hausgebrauch reichen, aber auch ich lass mich gerne eines Besseren belehren.

sternburg #19

Wenn ich als nocheinetechniknull mich einmischen darf: Das mit den Backups erscheint mir nicht so einfach, wie hier von den meisten angenommen.

Jens wird nach dem Preis entweder Homepage UnlimitedXXL oder vServer L nutzen. Wenn ich das richtig verstehe ist bei ersterem das Backup durch den Anbieter mit drin, hingegen nicht die Möglichkeit, selber von zu Hause zu sichern. Bei letzterem wiederum umgekehrt (ob das vom Trainer vorgestellte Programm dies umgeht, wees ick natüle och nich).

Beides zusammen gibt es wohl erst ab ManagedServer XL. Evtl. eine Spur überdimensioniert. Und einen neuen Fotolia-Gutschein gibts beim Wechsel auch nicht mal.

[Jens, wenn Dir das zu weit geht, wie immer – einfach löschen. Aber dann vielleicht auch die Informationen im Brief.]

Sebastian #20

Ich kann’s nur nochmal wiederholen: 1Blu macht keine zuverlässigen Backups. Bei 1Blu ist man im 15 Euro Tarif auf sich selbst angewiesen, wenn bei denen die Platten abrauchen.

Lass es Dir eine Warnung sein und wechsel entweder zu Firmen wie Strato, die regelmäßige Backups machen, und dafür auch nur 15 Euro im Monat verlangen, oder aber installier Dir WP Addons die Dir den SQL-Dump täglich z.B. per Mail irgendwo hinlegen – Dumps als Sicherung irgendwo auf dem Webspace bringen gar nix, da sie im Schadensfalle mit abrauchen.

Sebastian #21

Ach und Homepage Unlimited hatte ich auch. Der tolle Haken da bei „Backup“ hat mir im Endeffekt nix genutzt. Vom Support kam Schulterzucken. Das war’s dann auch mit meinen Daten.

Jens Weinreich #22

Danke für die Tipps. Hatte mich daheim gerade mit dem Thema befasst (Stichwort Time Machine) und will auf Nummer sicher gehen. Nach dem Zwischenfall leuchtet mir ein, dass ich das mit dem Blog auch tun muss. Nur: Es ist ja alles noch da :)

Parallel zu diesem Kommentar lade ich mir das von 1blu automatisch heute Nacht erstellte Backup runter. Wird noch ne Weile dauern, sind erst 484 MB auf dem Laptop angekommen :) Das bringt mich darauf, auf dem Server mal aufzuräumen. Da hat sich doch einiges angehäuft (ausprobierte Programme, ausprobierte Domains …), was mal dringend gelöscht werden sollte, um Klarheit zu schaffen.

Ja, ich habe das Paket Homepage UnlimitedXXL. Managed Server XL war (leider) noch nicht nötig. Hatte beim 20er mal an einem Tag 20.000 Besuche, das hat der bestehende Tarif (Server) offenbar gut verkraftet. Würde mir aber gefallen, ständig so einen Traffic zu haben :)

Ich habe keine Aktien an 1blu, hatte bisher nichts zu Meckern, und diesmal ja auch nicht wirklich. Dass mich jemand nicht informiert hat, ist letztlich zu verschmerzen, so lange die Daten nicht verschwinden. Mit anderen Hostern (Strato, 1&1, Lycos) habe ich sehr schlechte Erfahrungen gemacht (aus ganz verschiedenen Gründen), bei einer weiteren Firma (all-inkl) habe ich gerade ein anderes Projekt gehostet.

@ Robert: Nach den IP-Adressen werde ich fragen.

Das Schöne an WordPress ist ja u.a. auch, dass ein simpler Export der Beiträge, Kommentare und Artikel reicht – oder nicht? Ich meine, im Fall der Fälle lässt sich ein Layout immer mal wieder zusammenstümpern, auch als Laie. Und schwupps, wird das exportierte Zeug wieder drauf gespielt. So verstehe ich die Empfehlung von Trainer Baade. Sein Plugin wird sofort installiert, wenn Filezilla den Download des Backups beendet hat.

Ich hatte lustigerweise kürzlich gerade diese Export-Funktion von WordPress benutzt. Als ich die Datei dann aber auf das Ersatz-Blog gejagt hatte, stellte ich fest, dass da nur Beiträge und Kommentare bis November 2008 drauf waren. Offenbar ist die Import-Export-Funktion größenmäßig beschränkt. WordPress-Backend sagt dazu: 8MB – ich habe aber 27 MB runter- und raufgeladen. Das ist dann schätzungsweise ein Viertel dessen, was ich im Blog habe. Hat jemand eine Idee oder weiß gar jemand, wie ich alles sichere? Vielleicht ist die Frage auch mit Installierung des Trainer-Plugins beantwortet.

Mit Datenbanken kenne ich mich nun gar nicht aus. Sorry, das werde ich wohl nicht mehr lernen, habe mir schon einiges beigebracht, aber irgendwo will und geht nichts mehr in den Schädel :) Es soll ja schließlich vor allem Content produziert werden, um es mal technisch auszudrücken.

Ich weiß, dass Auskenner über meine Sätze nur den Kopf schütteln und dass die meisten, die das eventuell überfliegen ebenfalls den Kopf schütteln, weil sie Bahnhof verstehen. Das geht in Ordnung, so im Nirwana von technischer Kenntnis und technischer Ahnungslosigkeit komme ich eigentlich ganz gut klar. Das Try&Error-Prinzip hat immer geholfen.

Horst #23

Ohne jetzt hier Schleichwerbung machen zu wollen:

Ich kann dir als Hoster manitu.de von Manuel Schmitt wärmsten ans Herz legen.

Er betreibt auch ein eigenes Blog (http://www.hostblogger.de/blog/) und war mir bei der Einrichtung von WP, PHP und dem Transport vom alten ins neue Blog u.ä. sehr behilflich. Da merkt man, dass da kein riesiges Support-Backoffice sitzt mit irgenwelchen Autoresponder-Mails, sondern echte Menschen, die auch mal eine nette Mail schicken. Und kostentechnisch bin ich auf vollends zufrieden!

Sprich Manuel einfach mal an, der wird sicher eine passende individuelle und sichere Lösung mit Autobackups für dich haben.

Du hast ja hier wirklich einen gigantischen und wichtigen Datenbestand, den du regelmäßig sichern solltest!!!

Jens Weinreich #24

Das ist keine Schleichwerbung, Horst, das ist eine gute Empfehlung. Ich schaue mir das im Frühjahr mal in Ruhe an.

Robert Klemme #25

Jens, mach Dir keine Sorgen: den meisten Menschen geht es genau so wie Dir – oder sie haben sogar eher mehr Probleme mit der ganzen Technik. Selbst, wenn man „vom Fach“ ist, gibt es immer jede Menge Zeugs, das man nicht weiß und das man sich z.T. mühsam erarbeiten (oder recherchieren muss).

Jetzt ist ersma Olympia und wir warten auf die nächste Doping- oder Bestechungsenthüllung. ;-)

Torsten #26

Ich kann auch nur die kleineren Hoster empfehlen. Ich habe 2,5 Projekte am Start – TYPO3-Sachen. Das läuft bei jweiland.net. Der Support ist traumhaft. Dort läuft ein Cronjob, den man nach Herzenslust administrieren kann. Daten werden täglich gesichert, die Backups bleiben 7 Tage auf dem Server, je nachdem wie viel ich ändere, ziehe ich sie mir per ftp.

Das ganze für unverschämt günstige 15 € pro Monat (5 GB, unbegrenzter Traffic, 10 Cronjobs, 1000 Mails)

Stefan #27

Leute, das Backup war doch gar nicht das Problem. Wenn – wer auch immer – ernst macht, gibts eine DOS-Attacke, wo dann der Blog 3 Wochen mal nicht erreichbar ist. Was Du brauchst (wie oben schon jemand sagte) ist IP-Blocking. Wieso sollte z.B. Osteuropa Deine Seite lesen wollen?

Steve #28

wp-backup von hand fahren:
über die datenbank-adminoberfläche zb. mysqlphpadmin die datenbank exportieren. bei mysqlphpadmin kannste dir die daten und tabellen per mail schicken lassen. dann per ftp den wp-content-ordner herunterladen. fertig ist dein backup.

Arnonym #29

Backups macht man NICHT von Hand! Nie!

Okay, das erste Backup, wenn man das Skript prüft, macht man von Hand.

Danach läuft das Backup automatisch. Von Hand vergisst man zu schnell, das man ja Backup machen wollte.

Achja, das Restore macht man auch von Hand…

Berlino #30

Mich freut erst mal, dass dieses Blog wieder erreichbar ist, mit samt seinen bisherigen Beiträgen.

Ich freue mich auf spannende Berichte aus Vancouver.

Beste Grüße von der sonnigen Insel!

Steve #31

backup von hand machen macht blind;]

Eddy #32

@25 Jens

WordPress-Backend sagt dazu: 8MB – ich habe aber 27 MB runter- und raufgeladen. Das ist dann schätzungsweise ein Viertel dessen, was ich im Blog habe. Hat jemand eine Idee oder weiß gar jemand, wie ich alles sichere?

So wie es aussieht, erlaubt dir Dein Hoster immerhin einen maximal möglichen
PHP Upload von 8 Mb. (bei mir sind’s nur 2 Mb !)
Dies bedeutet das eine Datei welche du über PHP (also deinen WP Blog) hoch lädst, eine Größe von 8 Mb. nicht überschreiten darf.
Das gleiche gilt natürlich auch für dein Datenbank Backup.
Das Problem lässt sich aber „relativ“ mit einer zusätzlichen Software namens –
MYSQLDumper aus der Welt schaffen.

Lade dir MYSQL Dumper herunter und mittels Filezilla auf Deinen Webspace.
Die Zugangsdaten zur datenbank, entnimmst Du aus Deiner WP-Config.php

MysqlDumper macht während der Sicherung mehrere kleine Pakete – deren größte Du selbst bestimmen kannst- aus Deiner Datenbank.
Beim Zurücksicherern , schaufelt MYSQL Dumper diese kleinen Päckchen der reihe nach wieder auf den Server und fügt sie wieder als ganzes MYSQL Paket zusammen.
Dadurch lassen sich Datenbanken bis zu einer Größe von 4 Gigabyte problemlos handeln.
Mysql Dumper kann man übrigens auch anweisen das er Dir einmal Wöchentlich das Backup per Mail zukommen lässt.
Dieses ganze Prozedur muss lediglich nur ein einziges mal in der MYSQL Dumper Konfiguration definiert werden.
Bei manuellen Backup’s genügt dann ein einziger Mausklick.

Alle anderen Daten Deines Blogs, kannst du ja nach wie vor über FTP sichern.

Das ganze hört sich Komplizierter an als es ist.
Ich persönlich halte die WP integrierten Backup Funktion für einen Witz.

Bez. Mysql Dumper helfe ich Dir gerne weiter, falls Du damit nicht klar kommen solltest.
Lieben Gruß aus Arnstein

Eddy #33

Nachtrag :

Das Problem lässt sich aber “relativ? mit einer zusätzlichen Software

Sollte natürlich – Das Problem lässt sich aber “relativ? einfach mit einer zusätzlichen Software aus der Welt schaffen – heißen.

Leave a Reply

required

required, will NOT be published

By clicking the following examples the respective HTML code will be appended to your comment. Use the comment preview to make sure everything looks and works as intended.

  • , ,