{"id":263461,"date":"2022-03-17T08:53:41","date_gmt":"2022-03-17T07:53:41","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=263461"},"modified":"2022-03-17T08:58:25","modified_gmt":"2022-03-17T07:58:25","slug":"borncity-com-und-zahlreiche-webseiten-waren-am-16-mrz-2022-gegen-1830-uhr-gestrt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/03\/17\/borncity-com-und-zahlreiche-webseiten-waren-am-16-mrz-2022-gegen-1830-uhr-gestrt\/","title":{"rendered":"borncity.com und zahlreiche Webseiten waren am 16. März 2022 gegen 18:30 Uhr gestört"},"content":{"rendered":"

Kurz noch ein Nachtrag vom gestrigen Mittwoch, den 16. M\u00e4rz 2022, als von ca. 18:20 Uhr bis ca. 19.30 Uhr die Blogs unter borncity.com nicht mehr erreichbar waren. War kein Hack oder ein DDoS-Angriff, sondern oder ein kaputter Server. Ich denke, es hatte auch nichts mit dem Ausfall vieler weiterer Dienste (GMX, Web.de, GMail, Yahoo etc.) zu tun. Hier mal ein kurzer Rundumschlag, vom GoDaddy-Hack, \u00fcber den Dienste-Ausfall bis zum Problem mit meinen Webseiten. Damit meine Leserschaft informiert ist. <\/p>\n

<\/p>\n

Ausfall von borncity<\/h2>\n

\"\"Dass etwas nicht stimmt, wurde mir gestern (16. M\u00e4rz 2022) gegen ca. 18:20 Uhr klar, denn da endete der Upload eines neuen Blog-Beitrags f\u00fcr den 17. M\u00e4rz mit einem Fehler, weil die WordPress-Instanz nicht erreichbar war. Da ich einige Minuten vorher noch im Blog unterwegs war, habe ich sofort probiert, ob die Seiten erreichbar waren. Mir wurde aber ein ERR_CONNECTION_REFUSED-Fehler vom Browser angezeigt – der Web-Server weigerte sich also, eine Verbindung aufzubauen. <\/p>\n

Mir fiel nat\u00fcrlich sofort das Herz in die Hose, denn mir gingen sofort \"bist Du gehackt worden? gibt es einen DDoS-Angriff? ist das Internet tot?\" durch den Kopf. Internet tot hatte ich bereits Montag vor einer Woche, als wohl ein Unterverteiler der Telekom, an dem unsere Stra\u00dfe mit DSL-Verbindungen h\u00e4ngt, ausfiel (k\u00f6nnte Stromausfall gewesen sein). <\/p>\n

An der Internetverbindung konnte es also, wegen der obigen Fehlermeldung, nicht liegen – was ein Test \u00fcber zwei Provider sowie Abruf anderer Webseiten auch best\u00e4tigte. Gleichzeitig stellte ich am Handy fest, dass der Mail-Abruf mit Web.de Fehler meldete – h\u00e4tte also bereits ein Fingerzeig sein k\u00f6nnen, dass da was im Busch war. Aber in einer solchen Situation hast Du daf\u00fcr keine Gedanken, zumal downdetector keine St\u00f6rung bei Host Europe vermeldete (5 St\u00f6rungsmeldungen sind nichts). <\/p>\n

Ein schneller Check per FTP zeigte mir, dass der FTP-Server noch erreichbar war. Also habe ich mal ein Backup der Website und der Datenbanken angesto\u00dfen – musste aber feststellen, dass das Backup zwar durchlief, das Ergebnis aber nicht ins root-Verzeichnis meines Hosting-Pakets geschoben wurde, sondern in einem nicht per FTP zugreifbaren Ordner landete. Eine Supportanfrage gegen 18:30 Uhr bei Host Europe ergab, dass der Server, auf dem mehrere Pakete gehostet wurden, muckt. Der Webserver wurde neu gestartet, aber es \"k\u00f6nne 30 Minuten dauern, bis die Pakete wieder laufen\", lautete die Antwort des Supporters. Wenn der Server dann nicht erreichbar sei, m\u00f6ge ich mich wieder melden. Ein Spaziergang beruhigt – und manches l\u00f6st sich von alleine …<\/p>\n

Gegen 19:00 Uhr erneut den Server gepr\u00fcft, aber borncity.com war nicht erreichbar. Also erneut eine Supportanfrage im Chat gestartet – da war schon m\u00e4chtig was los – und erfahren, dass der Server bereits zwei Mal neu gebootet wurde, aber wieder offline ging. Der Supportfall wurde zu den betreffenden Spezialisten weiter gereicht …<\/p>\n

GoDaddy Kunden gehackt …<\/h3>\n

Dann stie\u00df ich bei einer schnellen Recherche, was so los sei, bei den Kollegen von Bleeping Computer auf den Artikel Hundreds of GoDaddy-hosted sites backdoored in a single day<\/a>, und das Herz fiel mir in die Hose. Sicherheitsforscher von Wordfence waren ab dem 11. M\u00e4rz 2022 auf eine H\u00e4ufung von Backdoor-Infektionen auf WordPress-Websites gesto\u00dfen. Alle Sites wurden \u00fcber den Managed WordPress-Service von GoDaddy gehostet, und alle wiesen eine identische Backdoor auf. Das betrifft laut Bleeping Computer auch Managed WordPress-Pakete von Resellern wie MediaTemple, tsoHost, 123Reg, Domain Factory, Heart Internet und Host Europe. Ab dem 11. M\u00e4rz 2022 wurden innerhalb von 24 Stunden 298 Websites mit der Backdoor infiziert, von denen 281 bei GoDaddy gehostet wurden. <\/p>\n

Der Infektionsvektor ist unbekannt, die Backdoor ist aber bekannt. Es ist ein infiziertes SEO-Tool f\u00fcr die Google-Suche aus dem Jahr 2015, das in die wp-config.php <\/em>injiziert wurde, um Spam-Linkvorlagen vom C2-Server zu holen, mit denen b\u00f6sartige Seiten in die Suchergebnisse eingef\u00fcgt werden. Und ich habe Host Europe als Hoster … (aber da gibt es verschiedene Pakete und bisher war ich von allen GoDaddy-Hacks nicht betroffen, weil vieles bei Host Europe historisch bedingt noch getrennt l\u00e4uft, auch wenn die jetzt zu GoDaddy geh\u00f6ren). <\/p>\n

Da der FTP-Server noch lief, habe ich die betreffende Datei nat\u00fcrlich sofort \u00fcberpr\u00fcft, zumal die k\u00fcrzlich (durch ein WP-Update) aktualisiert wurde. Ich konnte aber nichts feststellen. Ein sp\u00e4ter durchgef\u00fchrter Scan mit einem WordFence-Plugin ergab ebenfalls keine Infektion. Das konnte ich also abhaken. Das Bild der Infektion (SEO-Spam) passte auch nicht zum Ausfall des Servers. <\/p>\n

Webseiten auf borncity.com laufen wieder<\/h3>\n

Gegen 19.30 Uhr waren meine Blogs wieder erreichbar (siehe auch mein Blog-Beitrag Webserver mit Hosting-Paket macht Probleme (16.3.2022)<\/a>) und ich habe einige Pr\u00fcfungen (siehe oben) ausgef\u00fchrt. Auch der Abruf von Web.de-Postf\u00e4chern klappte wieder – wie ich nebenbei feststellte. Am 16.3.2022 kam um 20:07 Uhr Uhr eine Antwort vom Host Europe-Support auf meine Support-Anfrage, die ich hier mal einstelle.<\/p>\n

Die Fachabteilung hat Sie Ihren Fall erneut im Detail angeschaut und den Server nun zum Laufen bekommen. Es gab ein Problem mit dem Serverzertifikat was nun behoben ist.<\/p><\/blockquote>\n

Die Vermutung von squad<\/a>, dass es etwas mit dem im Beitrag Fehler beim Parsen von OpenSSL-Zertifikaten verursacht Denial-of-Service-Loop<\/a> beschriebenen Problem zu tun haben k\u00f6nnte, erg\u00e4be ein \u00e4hnliches Fehlerbild, w\u00fcrde ich mittlerweile aber als weniger wahrscheinlich ansehen. <\/p>\n

Gro\u00dfst\u00f6rung im Internet<\/h2>\n

Ich hatte zeitnah sowohl auf Twitter als auch auf Facebook einen kurzen Hinweis auf St\u00f6rungen der Site borncity.com an die Leserschaft hinterlassen – denn es gab bereits erste pers\u00f6nliche Benachrichtigungen auf Facebook und per Mail \u00fcber einen Ausfall. Auf Facebook hat mir ein Blog-Leser dann nachfolgende Grafik vom gestrigen Abend (16.3.2022) gepostet.<\/p>\n

\"Störung
St\u00f6rung am 16. M\u00e4rz 2022, ab 18:30 Uhr<\/p>\n

Meine Abfrage auf Downdetector f\u00fcr Host Europe ergab da keine St\u00f6rung – aber das obige Bild zeigt einen gr\u00f6\u00dferen Peak an St\u00f6rungsmeldungen bei verschiedenen Internetseiten. Aktuell habe ich aber auf die Schnelle noch keine Erkl\u00e4rung \u00fcber die Ursache gefunden – auch hier<\/a> wei\u00df man nichts genaues, und GMX schreibt auch nur:<\/p>\n

\n

Aktuell kann es zu Einschr\u00e4nkungen bei der Nutzung unserer Dienste kommen. Unsere Techniker arbeiten unter Hochdruck an der Behebung der St\u00f6rung. Wir entschuldigen uns f\u00fcr die Unannehmlichkeiten und bitten um Ihr Verst\u00e4ndnis und Geduld.<\/p>\n<\/blockquote>\n

dass  kann also mit der St\u00f6rung auf borncity reine Koinzidenz gewesen sein. <\/p>\n

\n

PostScript: <\/strong>Ich glaube, ich werde langsam zu alt f\u00fcr diesen Mist: Montag vor einer Woche stand das Internet f\u00fcr 1,5 Stunden (avisiert war, dass die St\u00f6rung bis 20:00 Uhr behoben sei), Mittwoch Webserver f\u00fcr 1 Stunde tot – und Du kannst nix machen. Und die Ums\u00e4tze der Blogs sind Ende Februar\/Anfang M\u00e4rz auch drastisch eingebrochen – dann die Tage an einer Werbeeinblendung gesehen, dass mir Google erneut einen automatischen Test (obwohl definitiv – zum wiederholten Mal – deaktiviert) reingedr\u00fcckt hat. Ich habe diese Automatik heute gesehen und wieder deaktiviert. <\/p>\n

Nun ja, fr\u00fcher (TM) hat mal ein \"Kollege\" neben der \"Reise nach Italien\" (aka Akadien) auch die Leiden des jungen Werther beschrieben. Die zwei B\u00e4nde der Reise nach Italien habe ich noch nicht durch … aber als Blogger in modern kann ich da zwei Analogien bem\u00fchen. Einmal habe ich im Japan-Blog<\/a> meine Reisen nach Japanien thematisiert und im Reise-Blog<\/a> einzelne Stippvisiten direkt nebenan (nur fehlt die Zeit, die Tonnen an Material mal als Text einzustellen). Und es gibt in obigem Text \"die Leiden eines (Opa) Bloggers\". <\/p>\n

Ein Irrenhaus. Luxus-Problem, aber trotzdem Mist … sollte wohl mehr auf das Dasein als Rentner schielen und endlich den Keller aufr\u00e4umen – meint meine Frau. Mein gestriger Masterplan, fr\u00fch den Rechner abzuschalten, sich im Wohnzimmer in einen Sessel zu fl\u00e4zen, ein St\u00fcck Bitterschokolade zu genie\u00dfen und den n\u00e4chsten Krimi zu lesen, hat sich jedenfalls pulverisiert.<\/p>\n<\/blockquote>\n","protected":false},"excerpt":{"rendered":"

Kurz noch ein Nachtrag vom gestrigen Mittwoch, den 16. M\u00e4rz 2022, als von ca. 18:20 Uhr bis ca. 19.30 Uhr die Blogs unter borncity.com nicht mehr erreichbar waren. War kein Hack oder ein DDoS-Angriff, sondern oder ein kaputter Server. Ich … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[908,7862],"tags":[4338,987],"class_list":["post-263461","post","type-post","status-publish","format-standard","hentry","category-internet","category-stoerung","tag-internet","tag-storung"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263461","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=263461"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263461\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=263461"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=263461"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=263461"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}