Hermed en kort status over de problemer der pt. berører vores nt (Windows, ASP) servere og sider på disse. Undskyld hvis det bliver for teknisk, det bliver skrevet lidt i hast.
Vi har d. 20 februar omkring klokken 23:00 opdaget at alle vores nt servere udskriver skadeligt kode i toppen af samtlige sider der bliver hosted på dem. Først troede vi at kunders filer var blevet ændret, men umiddelbart ligner det et problem med IIS (webserveren), og et skadeligt program eller service der manipulere output der sendes til besøgende på serveren.
Der er derfor INGEN skade sket på kunders filer, og det har på INGEN måde berørt kunder på vores PHP hoteller (Linux).
Omkring klokken 23:50 forsvandt problemet, og vi har siden da forsøgt at isolere årsagen og udbedre fejlen.
Problemet opstod igen i morges omkring klokken 09:00, og stoppede igen omkring klokken 11:30.
Vi er endnu ikke klar til at sige problemet er væk, da vi stadig ikke har isoleret årsagen til problemet, og kan derfor ikke garantere det ikke sker igen lige pludselig. Det er dog noget vi arbejder på at undersøge netop nu.
Vi har derudover et problem med nt5.unoeuro.com, som er ved at blive geninstalleret. Årsagen til geninstallation er relateret til problemerne tidligere beskrevet. Jeg vil gerne understrege at alle data er intakt, men operativsystemet er ved at blive geninstalleret, og vi vil herefter genskabe IIS konfigurationen, hvorefter vi forventer serveren kører igen.
Lige nu (15:53) kører alt derfor som det skal, undtagen nt5.unoeuro.com, som er utilgængelig.
Jeg vil gerne beklage de gener som folk har oplevet. Vi er bestemt klar over det ikke er godt nok og vi vil gøre vores bedste for at sikre det ikke sker igen.
Opdatering kl 16:52: Vi er nu ved at installere alle sites på nt5.unoeuro.com. Scriptet står og arbejder og serveren skulle være klar igen meget snart.
Opdatering søndag kl 13:15: Desværre er problemet ikke løst helt endnu. Vi arbejder stadig på at isolere og identificere fejlen, så vi kan fjerne den. Igen ser det dog ud til problemet pt. er forsvundet.
Vi vil diskutere mulig kompensation for vores kunder, når vi er ovre problemet, vi ved det er et meget lille plaster på såret, og vi håber på forståelse mens vi forsøger at komme igennem det her. Det her er ikke hvad UnoEuro er kendt for, eller ønsker at være kendt for – og kunder der kender os, ved også dette.
Opdatering mandag kl 09:19. Vi har endelig fundet årsagen til problemerne. Vores netværk har været nede her til morgen, da serveren der er roden til alle problemerne, har formået at lave en masse problemer på hele vores netværk. nt5.unoeuro.com er pt. nede til nærmere undersøgelse, da det umiddelbart er kilden til problemerne, vi regner med at den er klar igen senere på dagen, men ikke før vi er sikker på at serveren ikke skaber flere problemer. Vi håber at have set det sidste til disse problemer nu.
Godt at se I er hurtige! Har I checket hvad der ligger bag den linie der bliver injected?
“”
Den linker til et script der igen går til “http://www.51.la/?002582104” som er et kendt kinesisk site til hosting af scripts af enhver art.
Se kommentarene på denne site:
http://www.siteadvisor.com/sites/51.la
Venligst
Claus Mandal
Og i fjerner det der ligner kode :) Prøver med denne:
Der er på begge sider af denne
http://me9x.cn/ken.gif
Genialt med noget info, lige i øjet, stor ros. Tak for det.
Hej,
Vi er klar over virkningen af den skadelige kode, og hvordan det ser ud. Vi arbejder på at slå skidtet ihjel.
Da der åbenbart er tale om angreb på serverniveau, så prøv at tjekke om svineørerne har haft held til at installere et ISAPI filter.
Det er vist i det mindste lykkedes at eliminere linket ser det ud til?
De er aktive igen nu med kode indsættelse. Håber i kan finde hullet snart.
Her kl 20.00 søndag aften blev alle servere ramt igen.. Rimelig frustrerende at stå med ansvaret for titusindvis af gæster på mine sider, der nu potentielt bliver inficeret med malware uden jeg kan gøre fra eller til. Selv med en 301 redirect væk fra min server vil stadig inficerer dem.
Det kan desværre ikke gå hurtigt nok med en løsning. Ved i kæmper og bliv ved med det
Er det ufarligt at holde ens side åben? Selv antivirus melder om noget, så sker der ikke noget for dem, der besøger siden?
Er der noget overblik over præcis hvilken virus/spyware/whatever den forsøger at injecte?
Hvad kan der være en fordel at se efter for at sikre at venner og bekendte ikke har fået noget snavs ufrivilligt indenbords?
Opdatering søndag kl 21:36:
Problemet er der stadigvæk/igen.
Hej UnoEuro, tak for status.
Jeg blev ramt på en linux-server første gang. Hvordan kan det være?
De er ramt i Norge også.
http://x6.no/supportforum/index.php?showtopic=69752
http://www.diskusjon.no/index.php?showtopic=1077799&st=0&start=0
“En diagnose av nettstedet luckffxi.com viser at antall skadelig programvare omfatter 263 trojan(s), 232 scripting exploit(s). Et riktig ormebol, med andre ord.”
..det ligner en all-mighty-swizz-army-knife i trojanere og malware. Udnyttelsen af sårbarheder i bl.a. IE7 og RealPlayer.
Mit forslag er at tage jeres side helt ned, indtil problemet er løst.
Update tak, fx om hvor problemet rammer og hvad i arbejder på.
Har et par vigtige sites der benyttes ivrigt, og de virker ikke specielt godt lige nu… Ja faktisk gør de ikke.
Klokken er 4:40 mandag morgen…
God morgen og god arbejdslyst ;)
Nogen status på hvornår denne ustabilitet er væk?? Det er jo helt uholdbart at ens website er on/off hele tiden!
Så er mine sites oppe og køre igen – phheeewww :D..
Herligt at problemet er løst, det var vist en slem omgang.
Gad vide om det er de samme problemer der har ramt denne blog; de 2 indlæg jeg lavede i går er væk her til morgen!
Jeg er som andre også glad for den åbenhed Unoeuro har vist omkring problemet, men jeg havde gerne set at man var gået aktivt ud med en mail til de ramte administratorer. Det havde sparet en del tid hvis man ikke selv skulle fejlsøge for at finde ud af hvad der var sket.
Der vil jeg gerne tilholde mig Søren Larsen.
Jeg er også glad for åbenheden, men havde gerne set en mail fra Unoeuros side. Jeg igangsatte en større gennemgang af koden på mit site, for at finde ud af om der var sårbarheder, der kunne gøre at der pludselig var skadelig kode på samtlige sider. Og senere hvor den så kom fra efter jeg ikke kunne finde noget i koden.
‘Server OK’ ‘Nedetid 8:41’ hmmm…
Min side er nede og har været det siden lørdag 9:30, det er 54 timer uden kontakt til omverdenen. Var godt nok sporadisk oppe, men uden CDONTS hvilket er ret vigtigt for mig.
En rigtig ØV oplevelse som jeg håber er en engangsforestilling…
Hej,
“Server OK” betyder serveren svarer korrekt til vores overvågning. Vi kan ikke overvåge hver enkelt side på webserveren, beklager. Nedetiden kan være misvisende hvis det er et problem på et enkelt webhotel der er tale om. Serveren har været nede i 8 timer og 41 minutter, herefter har den svaret korrekt på webserveren, men selvfølgelig ikke for alle sider, da det tager noget tid for vores scripts at rulle alle websites ud igen. En process den snart er færdig med og hvorefter alle sider på nt5.unoeuro.com igen gerne skulle virke.
Igen beklager vi dybt at din side har været utilgængelig, det er bestemt ikke noget vi er tilfredse med, eller har planer om skal ske igen – og det er selvfølgelig noget vi helst så aldrig var sket eller blevet nødvendigt.
Til alle der er kommet med feedback på episoden, er det noget vi kigger på, men pt. har vi ikke scripts til at sende mails til kunder på enkelte servere, og det var ikke noget vi havde mulighed for at udvikle på stående fod i løbet af weekenden.
Alt hvad der er skrevet her såvel som i nyhedsgrupperne og andre steder, er taget til efterretning – som det altid bliver (we _are_ watching).
Har lige bestilt 2 ekstra år hos UnoE. Har nemmerlig i 4 år ikke haft problemer. La’ os stå sammen mod de idioter der laver denne slags plager.
;-)
Ole
Jeg synes at teamet på UnoEuro har knoklet løs og fortjener fuldt opbakning.
Det er vigtigt at vi informerer vores kunder ligesom vi er blevet informeret. Kunderne har faktisk også forståelse for problemet.
Var jeres DNS service berørt i morges?
Det er nu I skal udarbejde en SLA…
Venligst
Jeg har flere hjemmesider der kører perfekt på Unoeuro.
Jeg synes man får utrolig meget for 1,15 euro pr. måned.
At “skidtet” så går ned pga. nogle r..huller er bare ærgeligt.
Først, så skal jeg nok sige, jeg er meget glad for åbenheden., Turde ikke rigtigt helt tro det, da det vidst ikke er så tit det sker i sådanne tilfælde i denne branche. Så lige med det skal de altså have en fjer.
En ting, jeg godt lige ville have, man fik frem, er den skade, som trojaneren ville kunne forvolde. det bedste, det er som sagt at tage siden ned – jeg laver en redirect i headeren for at undgå i det hele taget at havne på domænet. Dette også af hensyn til Google, som (måske, måske ikke) vil beskrive et sådant websted som skadeligt. Og så af hensyn til ens brugere, selvfølgelig.
Jeg har Avira Antivir, og den klikker godt nok med en besked, men jeg ville nu hellere, man forsøger at holde siden væk, så længe det pågår.
Der er andre end lige UnoEuro, som er ramt, og uden at male fanden på væggen, så det er måske på tide med en generel politik i DK i forhold til, hvad man skal gøre hver især i sådan en situation.
Hej,
Har i intensioner om at fortælle hvad der reelt er sket, og hvordan det er endt med i har fået det skadelige kode ind på jeres servere.
Jeg har læst denne artikel, men tror ikke troværdigheden i denne artikel er ret stor!
http://www.version2.dk/artikel/10055-dansk-sikkerhedssite-overtaget-af-hackere
Jeg har i mange år brugt jer som min primære webudbyder og anbefalet jer til venner osv, og det vil jeg blive ved med i fremtiden!
Men hvis i kommer med en forklaring, vil det give et meget stor plus i min bog.
Håber i forstår mig :)
Mange venlige hilsner
Finn
Jeg tror ikke vi er klar til at udmelde præcist hvad problemet bestod i, selv om alle er nysgerrige mener jeg ikke nogen er bedre tjent ved at vi kommer med tekniske detaljer om vores systemer.
De relevante informationer står i denne blog. Ingen kunders filer blev berørt/ændret og kun kunder på windows webservere havde problemer.
Hvad CSIS har udtalt til version2, må stå for deres regning, jeg aner ikke hvad de har baseret deres SQL-Injection teori på, fordi det er bestemt ikke tilfældet.
Vi er stadig ved at gennemgå alle vores servere og implementere ekstra sikkerhedsfunktioner, og det vil blive en længere proces som vi tager meget seriøst.
tusind tak for et godt stykke arbejde …..vi står sammen uanset hvad …..
Godt arbejde – også tak herfra.
Som en tidligere har nævnt ville det være rigtigt godt hvis I kunne fortælle hvad man evt. kunne være blevet ramt af og dermed havde mulighed for at gøre noget ved. Som det ser ud lige nu er mine brugere usikre på hvad de skal gøre efter jeg har meldt ud at man kan have raget noget skidt til sig.
/Søren
Vores fokus har ikke været virkningen af den kode som var indsat på kunders sider. Jeg er ikke dybere bekendt med præcist hvad den har gjort, og hvilke sikkerhedshuller den har forsøgt at udnytte i hvilke browsere. Vi har fokuseret på at fjerne skidtet fra serverne.
Til dem som har bedt om at vi i fremtiden informere via e-mail, har vi udviklet dette system nu, så vi i fremtiden kan sende mails til kunder med webhoteller på enkelte servere. Vi har aldrig rigtigt haft brug for sådant et system – jeg tvivler også lidt på hvor meget vi for brug for det i fremtiden, men nu har vi det.
Jeg skal bare lige have fundet en god måde hvorpå man skal til/afmelde sig dette, da nogle kunder måske vil anse det som spam. Det er en fin balance, som jeg ikke lige har en super løsning på pt. Ideer modtages gerne.
Herligt at se at I følger op kunders forslag om udsendelse af driftsinfo i tilfælde som dette. Håber og tror selvfølgelig heller ikke at der bliver brug for det mere. Tilmelding kunne vel bare være at man abbonnerede på jeres nyhedsbrev – det system har I jo i forvejen.
/Søren
Jeg syntes man bør kunne tilmelde sig et newsletter som kun vedrører driften. Der bør alle driftsforstyrrelser selvfølgelig sendes ud.
Venligst
Claus Mandal
Hvad er idéen i at have en Blog, hvis i ikke vil have feedback alligevel?
Denne blog er ikke ment til support eller kommentarer der ikke er relevante til de indlæg vi laver. Hvis du har feedback eller brug for hjælp bedes du venligst bruge vores support funktion, se også https://blog.simply.com/about/
Skal vi gætte på, at selv om dette er ret relevant i forhold til jeres oplæg, så fjerner i det alligevel?
Det er nu FJERDE gang i går ned indenfor ikke engang en måned. Finder i det god service?
Hvad blev der af den kompensation? Håber i bare, at folk glemmer den???
Jeg kigger herind med mellemrum, og hvis indlægget er fjernet, kommer det på igen.
Hej Rune,
Vi er stadig ved at diskutere kompensation – dette var også hvad du fik oplyst i den support ticket du åbnede.
Dine problemer med nt7.unoeuro.com har ingen relation til dette blogindlæg, derfor er dine kommentarer blevet fjernet.