Netværksopgradering og angrebsbeskyttelse

Som nogle kunder måske har bemærket, igennem årene, så er UnoEuro til tider offer for DDOS angreb. Et angreb mod en enkelt side, på en enkelt server, kan være skyld i at hele vores netværk bliver utilgængeligt. Nogle har måske også hørt om denne type angreb i forbindelse med WikiLeaks, som også har været offer for denne type angreb.
Igennem de snart 7 år UnoEuro har eksisteret, har vi været ramt af al for mange af denne type angreb. Angrebene har til tider været så voldsomme at vores netværk hidtil ikke har været kraftigt nok til at håndtere presset. Vi har i disse situationer været afhængige af at fx. TDC tog telefonen og hjalp os – noget som ofte kunne tage al for lang tid.

For at tilbyde vores kunder den absolut bedste og mest stabilt drift, er vi derfor i fuld gang med at opgradere hele vores netværksinfrastruktur.

Hermed en lille opdatering på hvor langt vi er nået indtil videre

  1. Vi har opgraderet hele vores backbone infrastruktur, for at være klar til flere udbydere, IPv6 og 10gbit internet leverancer.
  2. For at kunne modstå fremtidige angreb mod vores netværk, har vi opgraderet vores internetforbindelse til 2x10gbit fiber fra henholdsvis TDC og Telia.
    Før har vi alene haft TDC som internet leverandør, på en 2GBit forbindelse (pt. kun 25% udnyttet – så bare brug løs).
  3. Vi har investeret i nyt software til analyse, alarmering og bekæmpelse af DoS/DDoS angreb, disse har allerede vist sig værdifulde. Vi har inden for de sidste 2 måneder afværget 5 mindre og 2 større angreb proaktivt ved hjælp af dette software og vores nye backbone udstyr.
  4. Vi er ved at opsætte ekstern backup-mx server og har allerede opsat en ekstern navneserver. Så hvis vores netværk skulle gå ned, vil ingen mail gå tabt.

Hvordan vil det påvirke dig som kunde?

Ovenstående har krævet rigtig meget arbejde og planlægning internt, og vil også kunne påvirke Jer som kunder, da vi for at få fuld udbytte af de to forskellige internetudbydere skal skifte IP adresse på de fleste shared services – det være Web, Mail og MySQL servere.

Rent praktisk betyder det der skal ændres DNS records på rigtig rigtig mange domæner.
Alle domæner der ligger på vores navneservere, vil vi selvfølgelig tage os af og du som kunde vil intet skulle foretage dig, det vil kun være kunder der har andre navneservere end vores, der aktivt skal foretage sig noget. Disse kunder vil løbende få mails omkring den nødvendige ændring af IP adresse. Det er vigtigt at du reagere på disse mails hurtigst muligt.

I en overgangsperiode, vil serverne have 2 IP adresser, den gamle og den nye – så alle kunder får mulighed for at ændre deres DNS og undgå nogen form for nedetid.

Når dit domæne er skiftet til de nye IP adresser, opnår dit webhotel automatisk den ekstra angrebsbeskyttelse i form af 10GBit båndbrede og redundante internetleverandører.

Nem opsætning af SPF record

En SPF rcord kan sørge for at du ikke modtager spam, og at andre ikke sender spam fra dit domæne.

I SMTP protokollen er det desværre muligt af sende mail fra alle domæner i verden. Dvs. at alle fx. kan sende en mail fra bill@microsoft.com, eller steve@apple.com, og der er intet i SMTP protokollen for at forhindre dette.

Som en ‘nødløsning’ blev SPF recorden opfundet. SPF virker ganske simpelt ved at opsætte en TXT record i domænets DNS zone, der indeholder en række regler om hvilke servere der må sende mail for et givet domæne.

Vi har gjort det rigtig nemt at opsætte SPF records hos UnoEuro, ved at lave en record som vi sørger for at vedligeholde, så du er fri for at tænke videre over hvilke servere hos os du skal godkende.

  • Hvis du kun sender mail igennem dit UnoEuro webhotel og asmtp.unoeuro.com
    Tilføj en TXT record med følgende indhold: v=spf1 include:spf.unoeuro.com -all
    Brug evt. vores DNS skabelon til dette. Du finder denne i vores DNS Administration.
  • Hvis du sender mail igennem anden mailserver (fx. hos internetudbyder, et nyhedsbrevssystem el. lign.), dit UnoEuro webhotel og asmtp.unoeuro.com
    Tilføj en TXT record med følgende indhold: v=spf1 a:andenserver.dk include:spf.unoeuro.com -all fx. v=spf1 a:asmtp.mail.dk include:spf.unoeuro.com -all

Se også vores OSS indlæg om emnet: https://www.unoeuro.com/support/faq/2/136/

Hvis du har opsat en SPF record, kan du teste den ved at sende en mail til spftest@openspf.org, og læse den fejlbesked du får tilbage (du får altid en fejl tilbage, læs fejlen)

ASP.NET 4.0 og MVC 2 på dit webhotel

Vi har d.d installeret ASP.NET 4.0 g ASP.NET MVC2 på vores Windows servere

Det betyder at kunder nu kan vælge at benytte ASP.NET 4.0.

Når man udvikler med ASP.NET MVC kan man vælge om man vil bruge version 1 eller version 2, det er dermed op til udvikleren selv at styre hvilken version man ønsker at bruge.

Hvis dit nuværende webhotel benytter ASP.NET 3.5, kan du blot kontakte vores support for at få webhotellet ændret til ASP.NET 4.0.

Status på PHP 5.3 og PHP 5.2

Vi får ofte henvendelser fra kunder som spørger hvad vores standpunkt er i forhold til PHP 5.3.

PHP 5.3 har været frigivet i noget tid, desværre er den nye version ikke 100% bagudkompatibel med PHP 5.2, og det giver problemer for nogle enkelte kunder. Især osCommerce kunder har problemer med den nye PHP version. Problemerne er ofte få, men det kan nemt være en uoverskuelig opgave at løse for kunder som ikke har den store kendskab til PHP. PHP 5.3 virker dog problemfrit hos langt de fleste kunder, og fx. WordPress virker også helt perfekt.

Vi gør altid vores bedste for at være på forkant med teknologien, men i dette tilfælde har vi valgt at vente med at opgradere til PHP 5.3 på alle servere, da vi ved det kan resultere i problemer for mange.

Status er derfor at linux14.unoeuro.com (nye kunder) og alle fremtidige servere benytter PHP 5.3, og alle ‘ældre’ servere benytter PHP 5.2. Ønsker man, som ny kunde, PHP 5.2 kan man blot bede vores support om at flytte ens webhotel til en anden server.

Vi kan naturligvis ikke blot se bort fra PHP 5.3, og vi har selvfølgelig også i sinde at opgradere alle servere på et tidspunkt. Vi har pt. ikke sat en deadline, men forventer under alle omstændigheder at opgradere samtlige servere senere på året.

Kunder kan allerede nu hjælpe dem selv, ved at sørge for at man altid benytter den nyeste version af sit CMS og e-shop system.

PHP har udgivet en guide til opgradering fra PHP 5.2 til PHP 5.3, og det er især de inkompatibel ændringer der er relevante.

Status på Frontpage Udvidelser

Frontpage udvidelser har eksisteret i mange år, faktisk siden 1997.

Desværre har teknologien der ligger bag Frontpage Udvidelserne, stået stille i mange år. Vi skal helt tilbage til 2003 hvor den sidste version af Frontpage Udvidelser blev udgivet. Det betyder at teknologien ofte skaber problemer, både i form af stabilitet, hastighed og også i form af sikkerhed.

Microsoft selv har valgt at droppe alt der hedder Frontpage Udvidelser i Windows Server 2008 R2 og fremtidige versioner af Windows. De anbefaler i stedet alle at forbinde med WebDAV, eller blot med normal FTP. Frontpage har desuden været erklæret ‘end of life‘ siden 2006 og findes ikke i en 64-bit version, hvilket alt for længe har forhindret os i at kunne udnytte vores servere fuldt ud. Det hele betyder at vi ikke kan tilbyde Frontpage Udvidelser på vore nyeste windows servere.

Vi har samtidig konstateret at Frontpage udvidelser på Linux udgør en enorm sikkerhedsrisiko for serverne og dermed for vore kunders data, så vi har været nød til at slå Frontpage fra på alle Linux servere (PHP webhoteller).

Bemærk at du stadig kan forbinde med FTP via Frontpage programmet, fra Microsoft.

Status på Frontpage udvidelserne er derfor at

  • Frontpage Udvidelser virker på nt1.unoeuro.com frem til nt10.unoeuro.com
  • Frontpage Udvidelser virker ikke på PHP webhoteller (linuxX.unoeuro.com)
  • Frontpage Udvidelser virker ikke på nt11.unoeuro.com og fremefter – her virker WebDAV i stedet.

Hvad betyder det så for kunder der bruger Frontpage til at lave deres hjemmeside? Vi kan tilbyde alle kunder at flytte dem til en server hvor frontpage virker. For nogle betyder det at blive flyttet til en Windows server, frem for en Linux server. Servicen er naturligvis gratis. Blot tag backup af dine webdata og kontakt vores support, så flytter vi dit webhotel  til en anden server.

Kunder der bruger Visual Studio kan blive flyttet til en Windows server der understøtter Frontpage Udvidelser, da Visual Studio endnu ikke understøtter WebDAV. Vi forventer at Visual Studio 2010 tilbyder andre muligheder end Frontpage.

ImageMagick og Typo3

Der har været en del henvendelser omkring problemer med ImageMagick og Typo3 på det seneste. Nogle kunder har nævnt at billedebehandling enten ikke virkede, eller bare ikke virkede når der skulle laves Tumbnails.

Det kom som lidt af en overraskelse for os, fordi ImageMagick og Typo3 har virket fint hos os I mange år.

Vi har i dag identificeret fejlen og fundet ud af at årsagen er en fejl i Typo3 version 4.2+. Fejlen er beskrevet her: http://bugs.typo3.org/view.php?id=12341 og skulle være løst i næste version af Typo3.

Så vi bekræfter hermed en gang for alle: ImageMagick og Typo3 virker fint hos os :)

Ang. problemer på nt serverne

Hermed en kort status over de problemer der pt. berører vores nt (Windows, ASP) servere og sider på disse. Undskyld hvis det bliver for teknisk, det bliver skrevet lidt i hast.

Vi har d. 20 februar omkring klokken 23:00 opdaget at alle vores nt servere udskriver skadeligt kode i toppen af samtlige sider der bliver hosted på dem. Først troede vi at kunders filer var blevet ændret, men umiddelbart ligner det et problem med IIS (webserveren), og et skadeligt program eller service der manipulere output der sendes til besøgende på serveren.

Der er derfor INGEN skade sket på kunders filer, og det har på INGEN måde berørt kunder på vores PHP hoteller (Linux).

Omkring klokken 23:50 forsvandt problemet, og vi har siden da forsøgt at isolere årsagen og udbedre fejlen.

Problemet opstod igen i morges omkring klokken 09:00, og stoppede igen omkring klokken 11:30.

Vi er endnu ikke klar til at sige problemet er væk, da vi stadig ikke har isoleret årsagen til problemet, og kan derfor ikke garantere det ikke sker igen lige pludselig. Det er dog noget vi arbejder på at undersøge netop nu.

Vi har derudover et problem med nt5.unoeuro.com, som er ved at blive geninstalleret. Årsagen til geninstallation er relateret til problemerne tidligere beskrevet. Jeg vil gerne understrege at alle data er intakt, men operativsystemet er ved at blive geninstalleret, og vi vil herefter genskabe IIS konfigurationen, hvorefter vi forventer serveren kører igen.

Lige nu (15:53) kører alt derfor som det skal, undtagen nt5.unoeuro.com, som er utilgængelig.

Jeg vil gerne beklage de gener som folk har oplevet. Vi er bestemt klar over det ikke er godt nok og vi vil gøre vores bedste for at sikre det ikke sker igen.

Opdatering kl 16:52: Vi er nu ved at installere alle sites på nt5.unoeuro.com. Scriptet står og arbejder og serveren skulle være klar igen meget snart.

Opdatering søndag kl 13:15: Desværre er problemet ikke løst helt endnu. Vi arbejder stadig på at isolere og identificere fejlen, så vi kan fjerne den. Igen ser det dog ud til problemet pt. er forsvundet.

Vi vil diskutere mulig kompensation for vores kunder, når vi er ovre problemet, vi ved det er et meget lille plaster på såret, og vi håber på forståelse mens vi forsøger at komme igennem det her. Det her er ikke hvad UnoEuro er kendt for, eller ønsker at være kendt for – og kunder der kender os, ved også dette.

Opdatering mandag kl 09:19. Vi har endelig fundet årsagen til problemerne. Vores netværk har været nede her til morgen, da serveren der er roden til alle problemerne, har formået at lave en masse problemer på hele vores netværk. nt5.unoeuro.com er pt. nede til nærmere undersøgelse, da det umiddelbart er kilden til problemerne, vi regner med at den er klar igen senere på dagen, men ikke før vi er sikker på at serveren ikke skaber flere problemer. Vi håber at have set det sidste til disse problemer nu.

MySQL 5.1 på vej

Vi har netop opsat mysql6.unoeuro.com med MySQL 5.1.31.

MySQL 5.1 medfølger endelig muligheden for kunder selv kan opsætte deres triggers, så det er ikke længere nødvendigt at kontakte vores support for at gøre dette.

Alle nye kunder vil blive oprettet på mysql6.unoeuro.com, og vi forventer at kunne opgradere de restrende servere inden for overskuelig fremtid, såfremt der ingen forhindringer opstår.

Såfremt eksisterende kunder allerede nu har desperat brug for funktioner der tilbydes i MySQL 5.1, kan de kontakte vores support og blive flyttet til mysql6.unoeuro.com.

PHP opgraderet til version 5.2.8

php-med-trans

Samtlige Linux servere (PHP Suiter) er d.d opgraderet til PHP version 5.2.8 og medfølger nu mcrypt og XSL udvidelserne.

linux2.unoeuro.com og linux3.unoeuro.com medfølger ikke XSL. Hardwaren i disse servere er planlagt til at blive opgraderet snarest, og begge servere vil herefter også inkludere XSL.

Vi er samtidig så småt ved at gøre klar til PHP6, som jo medfølger fjernelsen af SAFE_MODE funktionaliteten – Det skal nok blive interessant.