incident_resolved_64

incident_resolved_64Maandagmiddag 15 november had het gehele Byte netwerk last van een zeer zware DDoS aanval. Hierdoor waren alle sites op ons platform gedurende langere tijd niet bereikbaar. Deze aanval heeft al onze klanten geraakt. We begrijpen dat dit zeer vervelend is en vinden het dan ook van groot belang dat u op de hoogte bent van wat het probleem was en wat we hebben gedaan om dit op te lossen! Hieronder leest u een kort verslag van deze middag.

Meer over DDoS aanvallen leest u op Wikipedia: Denial-of-service attack.

 

Om 13.07u constateerden we een storing aan de primaire loadbalancer. We probeerden daarom direct over te schakelen op load balancer 2. Deze tweede loadbalancer nam de dienstverlening echter niet goed over omdat de loadbalancer niet het probleem bleek te zijn, maar vermoedelijk een externe aanval.

 

Rond 13.30u vermoedden we dat het om een DDoS aanval ging. Dit is een Denial-of-Service aanval op een netwerk waarbij met een gigantisch aantal computers, vaak vanaf vele plaatsen op de wereld bestuurd vanaf een centraal punt, zoveel verbindingsverzoeken naar de server van een of meer sites verstuurd worden, dat de service ervan niet meer beschikbaar is.

 

Ondertussen stond de telefoon roodgloeiend. Om ervoor te zorgen dat onze medewerkers zich volledig konden richten op het oplossen van het probleem, hebben we besloten een automatisch bericht af te laten spelen. Aangezien onze site er zelf ook uit lag en daar dus geen update konden plaatsen, zorgden we voor een regelmatige communicatie via Twitter.

 

Vanuit het commandocentrum op de paleisstraat werd inmiddels druk gewerkt aan het probleem. Om 13.35u waren ook twee van onze techneuten ter plekke op het datacentrum. Op dat moment wisten we vrijwel zeker dat het om een DDoS aanval ging. Vanuit het datacentrum konden we de aanval verder onderzoeken en op werken aan een oplossing. Om dit te kunnen doen, is het nodig om de website / het ip-adres waarop de DDoS aanval wordt gedaan te traceren. Helaas is dit zeer moeilijk te achterhalen.
Om dit te doen zijn we één voor één de ip’s weer gaan toestaan om zo te kunnen achterhalen waarop al het verkeer binnenkomt. Dit proces was zeer tijdrovend.

 

Om 14.41u hadden we weer enkele sites up, waaronder byte.nl, waarna we dus ook weer via onze site verslag konden doen van het probleem. Hierna kregen we veel van de sites en mail weer werkend. Het netwerk was echter nog niet stabiel, waardoor zich in het uur erna nog geregeld problemen voordeden. We bleven druk bezig met het opsporen van het ip adres waar de aanval zich op richtte.

 

Om 15.33u hebben we het ip-adres dat onder vuur lag gelocaliseerd. Deze staat op webcluster 4. Hierna staat alles weer online behalve websites zonder SSL die op cluster 4 staan.

 

We hebben om 15.57 gevonden middels welke poorten de aanval wordt uitgevoerd. XS4ALL heeft ons toen direct geholpen door op netwerkniveau poorten te sluiten. Om 16.00u konden we de de sites zonder SSL op cluster 4 die nog problemen ondervonden, weer toevoegen.

 

Tijdens de aanval kon er ook geen mail worden verstuurd en ontvangen. Uw mailverkeer wordt wel gewoon op onze servers bewaard. U hoeft dus niet bang te zijn dat u mail kwijt bent. Wel kan er sprake zijn van enkele uren vertraging van het mailverkeer. Deze achterstond zal zo spoedig mogelijk ingehaald worden.

 

Deze aanval heeft al onze klanten en ons zelf flink geraakt en we betreuren dit zeer! De DDoS aanval viel helaas volledig buiten onze macht. We hebben geprobeerd alles zo snel mogelijk weer online te krijgen. We proberen natuurlijk te achterhalen wie dit heeft gedaan. De kans dat we hierachter komen is echter nihil.

 

We doen ons uiterste best u te voorzien van een zo volledig mogelijke berichtgeving. Mocht u nog vragen hebben, dan beantwoorden we deze graag!

Scan je eigen Magento shop op veiligheidslekken