Liebe Kunden,

da sind wir endlich wieder. Wie die meisten sicherlich mitbekommen haben, waren wir von Samstagnachmittag bis ca. 20:00 Uhr nicht erreichbar.

Vorweg: Der Vorfall tut uns wahnsinnig leid und hätte natürlich nicht passieren dürfen. Es ist aber passiert. Wer also sauer ist, hat allen Grund dazu. Und wer infolgedessen seinen Account löschen lassen will, möge uns eine entsprechende Mail zukommen lassen. Damit müssen wir wohl leben, auch, wenn es schwerfällt, und die ganze Sache für uns so oder so ein herber Rückschlag ist. Aufgeben wollen und werden wir allerdings keineswegs. Wir haben vor, wieder zu unserer ursprünglichen Qualität zurückzukehren und sind uns sicher, das auch zu schaffen.

Wer übrigens auf seiner Website einen Grund für die Downtime veröffentlichen möchte, darf gerne diesen Newsletter kopieren. Euch trifft ja keine Schuld.

Weil wir aus Fehlern lernen, wird ein derartiger Vorfall nicht mehr vorkommen. Wir haben uns immer weiter verbessert und wollen diesen Weg trotz allem einhalten und hoffen hierbei auf die Unterstützung unserer Kunden - nichts ermutigt uns mehr weiterzumachen, als ihr, unsere (hoffentlich bald wieder zufriedenen) Kunden.

Für alle Interessierten, hier eine Zusammenfassung des Geschehenen - auch, um die Dauer unserer Abwesenheit zu erläutern:

Kurz bevor wir offline gingen, stellten wir Änderungen diverser Dateirechte fest, weshalb wir, trotz sehr guter Sicherheitsvorkehrungen, einen Einbruch vermuten mussten. Um Schlimmeres zu verhindern, wurde der Server sofort vom Netz genommen. Die folgende Analyse des Angriffs war enorm langwierig, aber letztendlich erfolgreich: Es wurden unseren Erkenntnissen nach keine Kundendaten entwendet oder eingesehen. Der Angriff war ausschließlich auf unsere Zerstörung ausgerichtet; Kundendaten waren offensichtlich nicht betroffen. Allerdings wurden einige Daten von uns gelöscht, was für euch aber nur bedeutsam ist, wenn ihr externe UDP-Verbindungen benutzt habt und IP-/Port-Kombinationen bei uns freigeschaltet hattet. Diese müsstet ihr uns leider erneut mitteilen.

Anbei: Wenn euch irgendwelche Daten fehlen - was nicht sein sollte - bitte umgehend melden!

Gleiches gilt für Fehler aller Art. Wenn etwas nicht so läuft, wie es sollte, schreibt uns bitte eine Mail.

Wie wir nun auch wissen, wurde der Angriff durch eine Froxlor-Lücke ermöglicht; der Angreifer hatte keinen direkten Systemzugriff. Diese Sicherheitslücke haben wir mittlerweile geschlossen, dennoch ist das ein weiterer Grund, die Entwicklung des eigenen Webhosting-Panels deutlich voranzutreiben.

Nach einem derartigen Vorfall sollte ein Server eigentlich immer neu aufgesetzt werden. Und das hat bei uns aufgrund der Menge an Software, Konfigurationen und letztlich auch Daten eben sehr lange gedauert. Natürlich ist eine Downtime immer schlecht, aber mögliche Sicherheitsrisiken und Datenverluste wollten wir sowohl euch als auch uns ersparen; Sicherheit wird nun einen noch höheren Stellenwert bei uns haben (es wurden auch bereits neue Maßnahmen ergriffen). Wir haben selbstverständlich auch vorher nicht an der Sicherheit gespart - was leider nichts an der Froxlor-Lücke geändert hat.

Liebe Kunden,


wie einigen sicherlich aufgefallen ist, kam es in den letzten Tagen
vermehrt zu Ausfällen (auf twitter.com/phpfriends haben wir wie
immer informiert). Hierzu möchten wir als transparenter und ehrlicher
Dienstleister gegenüber unseren Kunden Stellung nehmen und euch daher
bitten, diesen Newsletter zu lesen. Der Text ist so kurz wie möglich
gehalten.

Es ist so, dass derzeit DDoS-Attacken auf uns verübt werden, die wir
in dem Ausmaß noch nie erlebt haben. (Bei einer DDoS-Attacke versucht
man mit mehreren angreifenden Rechnern einen anderen durch Überlastung
irgendeiner Art offline zu kriegen.)


Konkret waren folgende Ausfälle zu verzeichnen:
30.04. - 16:49 Uhr bis 17:06 Uhr
01.05. - 12:04 Uhr bis 12:58 Uhr
01.05. - 15:45 Uhr bis 16:14 Uhr
02.05. - 20:31 Uhr bis 21:00 Uhr
02.05. - 21:07 Uhr bis 21:36 Uhr
02.05. - 21:53 Uhr bis 23:12 Uhr
(Werte vom Livewatch-Monitoring)


Diese Downtimes tun uns sehr leid, wir können aber auch einfach nichts
dafür (obgleich das nicht jeder glauben kann oder mag). Auf Twitter
wurden wir regelmäßig gefragt, ob denn kein DDoS-Schutz bestünde oder
man nicht einfach einen kaufen könne.
Wir wollen niemanden die technischen Einzelheiten antun, daher in zwei
Sätzen das "Problem des Problems":
Natürlich sind wir geschützt, sogar ziemlich gut - es ist aber eine
unveränderbare physikalische Gegebenheit, dass durch eine 100
MBit-Leitung nunmal nur 100 MBit passen. Während der Angriffe war die
Systemlast absolut nicht nennenswert; wir reden hier von einem rein
netzwerkbasierten Angriff (viele Pakete und hohe Bandbreite) und das
von einem großen Botnetz aus.
Und da sind wir dann auch schon beim Punkt: Hardware-Firewalls und
enorme Bandbreite können wir nicht "mal eben" einkaufen, wie es sich
einige offenbar vorstellen. Das sind je nach dem, was man konkret
braucht, ein paar Hundert Euro im Monat (!) die wir als unkommerzielle
Privatpersonen leider nicht einfach übrig haben.


Nun gut - wir haben euch Kunden zuliebe trotzdem eine erhebliche Summe
in unsere Netzwerk-Stabilität "investiert". Aktuell läuft das gesamte
Webhosting damit wieder stabil, obwohl die Attacke gerade nochmal
enorm stärker geworden ist.

Wir wollen nicht erneut in Form eines Spendenaufrufs "betteln" gehen,
aber es sei gesagt: Aktuell könnten wir Geld wohl besser denn je
gebrauchen. Die Möglichkeiten sind unter
php-friends.de/SupportUs zu finden; PaySafeCard-Spenden bitte
per Mail unter Angabe des Codes und des Betrags tätigen. Vielen Dank
im Voraus - jede Spende hilft!

Hoffen wir gemeinsam, dass wir zukünftigen Angriffen jetzt (besser)
standhalten. Wir können nichts versprechen, haben aber alles getan was
wir uns derzeit finanziell leisten können.



Eine gute Nacht wünschen

Marvin, Daniel & beide Tims
- PHP-Friends.de