Vanochtend kregen we rond de klok van 10 uur te maken met een DDOS aanval op één van de accounts op server WEB13. Het bleek een zeer goed voorbereide aanval te zijn, een zogenaamde Slowloris Attack.
Bij een Slowloris Attack wordt een verzoek niet afgemaakt. Er wordt dan een request gedaaan als 'hallo mag ik...'? De server zegt ja, en wacht vervolgens op wat er gerequest wordt... maar deze komt alleen nooit. Verbindingen blijven hierdoor openstaan wat tot grote files kan leiden wanneer het heel veel van dit soort verzoeken zijn.
In dit geval kwamen er op pieken meer dan 1600 van dit soort requests per seconde. Dat betekend dat Apache volloopt met openstaande verzoeken. De firewall houd dit tegen, samen met bijvoorbeeld ModSec, als dit te vaak en te snel vanaf 1 IP-adres komt. Maar deze aanval kwam uiteindelijk gecombineerd vanaf meer dan 500 verschillende adressen. Dat valt in zo'n geval niet tegen te houden en heeft dan effect op andere accounts op dezelfde server.
Er is eerst geprobeerd om aanpassingen te doen om het verkeer wel afgehandeld te krijgen, maar dit bleek onmogelijk. Hierop hebben we alle bestaande accounts, m.u.v. die werd aangevallen, een ander IP-adres gegeven. Een grotendeels handmatige actie, wat ons wel aan het werk heeft gezet.
Problemen voor nu opgelost
95% van de accounts draait nu gewoon weer. Echter een klein aantal heeft de domeinnaam niet intern geregistreerd en zal zelf in actie moeten komen om het IP-adres in de DNS aan te passen. Deze mensen zijn uiteraard al op de hoogte gesteld.
In principe zijn er geen gegevens verloren gegaan en deze aanval heeft ook totaal geen impact op de veiligheid gehad. Het was er puur op uit om iets plat te leggen. Dat is ze gelukt, maar gelukkig voor relatief korte duur. Toch is ook wel weer gebleken hoe afhankelijk we zijn van onze website en e-mail. Uiteraard onze excuses voor de overlast die het heeft bezorgd, wij zaten hier in ons weekend ook niet op te wachten, maar onze klanten nog veel minder.
Meld je aan voor Status meldingen
Om op de hoogte te blijven van eventuele problemen op één van onze servers, zou ik iedereen aanraden om naar status.webjongens.nl te kijken voor een actueel overzicht van de status van de publieke servers. Ook kan je je hier abonneren op de mailinglijst, zodat je altijd als eerste een melding krijgt, ook bij updates.
Mochten er nog vragen zijn, laat het me weten.
Groet,
Carst
|