anonymous

Dit weekend liep het even mis op onze servers. Onze trouwe hosting partner TransIP stuurde ‘s nachts een mailtje dat een van onze servers onder vuur lag middels een (D)DoS aanval.

Onze servers zijn het hart van onze dienstverlening. De backends en de databases waar onze apps gebruik van maken draaien daarop. Ook onze webhostingdienst bieden we aan op die servers die we bij TransIP hebben staan.

Wat doet TransIP in het geval van zo’n aanval? Ze zetten het aangevallen IP adres dicht (een zgn. null route) waardoor niet alleen de (D)DoS geen invloed meer heeft, maar ook onze dienstverlening ineens stopt. De (D)DoS zou zoveel dataverkeer genereren dat andere klanten daar last van zouden kunnen hebben, dus sluiten ze alle verkeer naar dat IP adres af, voor 24 uur! Bovendien ontvingen we van TransIP een mailtje met de volgende strekking:

wat voor een obscure diensten draait u op uw server waardoor u het doelwit bent geworden van een aanval?

Niet echt hartelijk en meewerkend van onze hostingvrienden.

Hoe dan ook, in de dagen die daarop volgden hebben we meer geleerd over DNS, (D)DoS, Reverse DNS, Spoofing, Man-in-the-Middle-attacks en nameservers dan normaal in een heel leven. In de 24 uur “afkoelperiode” die TransIP hanteert op een aangevallen IP adres hebben we een poging gewaagd om het voor de aanvaller moeilijk te maken om ons IP adres te achterhalen. We zijn onder andere namelijk gebruik gaan maken van CloudFlare. Heel handig om je website af te schermen van aanvallen, mits je e.e.a. goed configureert natuurlijk 🙂

Inmiddels zijn we 3 dagen verder, hebben we alle sites 2x verhuisd, zijn alle IP adressen gewisseld, is de (D)DoS aanval tot drie keer toe teruggekeerd en hebben we heel wat geautomatiseerde e-mails van TransIP ontvangen over “abnormaal verkeer”. Tijdens dit schrijven houd ik mijn hart vast, wachtend op de volgende golf (hetzij TransIP mails, hetzij een (D)DoS aanval). Maar we hebben deze periode gebruikt om ons netwerk en dienstverlening goed te wapenen tegen kwaadwillenden. CloudFlare is een mooie tool om je IP adres te verbergen, we hebben een nieuw hosting platform ingericht voor WordPress sites (Linux ditmaal), onze Windows servers zijn heringericht en al onze databases en backends zijn opnieuw onder de loep genomen en waar mogelijk verstevigd. Nu is dit natuurlijk geen uitnodiging om onze dienstverlening te gaan aanvallen hoor… ik heb liever een rustig weekend…

We zagen wel dat TransIP ook heeft geleerd van dit verhaal. De geautomatiseerde e-mails zijn vriendelijker geworden. Ze bieden zelfs aan om mee te kijken in de logbestanden om te kijken naar een oplossing. Nog steeds is het ons probleem, want ze gooien nog altijd het IP adres dicht tijdens een aanval, maar de laatste keren “slechts” voor een uurtje. En ze hebben inderdaad geholpen. Want we hadden nog een loophole in onze DNS configuratie staan, die door hun hulp aan het licht kwam.

Hoe dan ook, zoals het er nu naar uit ziet zijn we weer online. Onze sites zijn zelfs sneller geworden! We hebben nu een verse hostingserver en opgeschoonde database- en backend-servers dus uiteindelijk zijn we er zelfs beter van geworden! En het mooie is dat door de redundante serveropstelling, onze app-klanten er niets van hebben gemerkt! Genoeg op de borst geklopt… ik hoop dat we voorlopig even van de aanvallen af zijn.

Hartelijke groet!

~Rob Vermeulen