borncity.com und zahlreiche Webseiten waren am 16. März 2022 gegen 18:30 Uhr gestört

Kurz noch ein Nachtrag vom gestrigen Mittwoch, den 16. März 2022, als von ca. 18:20 Uhr bis ca. 19.30 Uhr die Blogs unter borncity.com nicht mehr erreichbar waren. War kein Hack oder ein DDoS-Angriff, sondern oder ein kaputter Server. Ich denke, es hatte auch nichts mit dem Ausfall vieler weiterer Dienste (GMX, Web.de, GMail, Yahoo etc.) zu tun. Hier mal ein kurzer Rundumschlag, vom GoDaddy-Hack, über den Dienste-Ausfall bis zum Problem mit meinen Webseiten. Damit meine Leserschaft informiert ist.


Anzeige

Ausfall von borncity

Dass etwas nicht stimmt, wurde mir gestern (16. März 2022) gegen ca. 18:20 Uhr klar, denn da endete der Upload eines neuen Blog-Beitrags für den 17. März mit einem Fehler, weil die WordPress-Instanz nicht erreichbar war. Da ich einige Minuten vorher noch im Blog unterwegs war, habe ich sofort probiert, ob die Seiten erreichbar waren. Mir wurde aber ein ERR_CONNECTION_REFUSED-Fehler vom Browser angezeigt – der Web-Server weigerte sich also, eine Verbindung aufzubauen.

Mir fiel natürlich sofort das Herz in die Hose, denn mir gingen sofort "bist Du gehackt worden? gibt es einen DDoS-Angriff? ist das Internet tot?" durch den Kopf. Internet tot hatte ich bereits Montag vor einer Woche, als wohl ein Unterverteiler der Telekom, an dem unsere Straße mit DSL-Verbindungen hängt, ausfiel (könnte Stromausfall gewesen sein).

An der Internetverbindung konnte es also, wegen der obigen Fehlermeldung, nicht liegen – was ein Test über zwei Provider sowie Abruf anderer Webseiten auch bestätigte. Gleichzeitig stellte ich am Handy fest, dass der Mail-Abruf mit Web.de Fehler meldete – hätte also bereits ein Fingerzeig sein können, dass da was im Busch war. Aber in einer solchen Situation hast Du dafür keine Gedanken, zumal downdetector keine Störung bei Host Europe vermeldete (5 Störungsmeldungen sind nichts).

Ein schneller Check per FTP zeigte mir, dass der FTP-Server noch erreichbar war. Also habe ich mal ein Backup der Website und der Datenbanken angestoßen – musste aber feststellen, dass das Backup zwar durchlief, das Ergebnis aber nicht ins root-Verzeichnis meines Hosting-Pakets geschoben wurde, sondern in einem nicht per FTP zugreifbaren Ordner landete. Eine Supportanfrage gegen 18:30 Uhr bei Host Europe ergab, dass der Server, auf dem mehrere Pakete gehostet wurden, muckt. Der Webserver wurde neu gestartet, aber es "könne 30 Minuten dauern, bis die Pakete wieder laufen", lautete die Antwort des Supporters. Wenn der Server dann nicht erreichbar sei, möge ich mich wieder melden. Ein Spaziergang beruhigt – und manches löst sich von alleine …

Gegen 19:00 Uhr erneut den Server geprüft, aber borncity.com war nicht erreichbar. Also erneut eine Supportanfrage im Chat gestartet – da war schon mächtig was los – und erfahren, dass der Server bereits zwei Mal neu gebootet wurde, aber wieder offline ging. Der Supportfall wurde zu den betreffenden Spezialisten weiter gereicht …

GoDaddy Kunden gehackt …

Dann stieß ich bei einer schnellen Recherche, was so los sei, bei den Kollegen von Bleeping Computer auf den Artikel Hundreds of GoDaddy-hosted sites backdoored in a single day, und das Herz fiel mir in die Hose. Sicherheitsforscher von Wordfence waren ab dem 11. März 2022 auf eine Häufung von Backdoor-Infektionen auf WordPress-Websites gestoßen. Alle Sites wurden über den Managed WordPress-Service von GoDaddy gehostet, und alle wiesen eine identische Backdoor auf. Das betrifft laut Bleeping Computer auch Managed WordPress-Pakete von Resellern wie MediaTemple, tsoHost, 123Reg, Domain Factory, Heart Internet und Host Europe. Ab dem 11. März 2022 wurden innerhalb von 24 Stunden 298 Websites mit der Backdoor infiziert, von denen 281 bei GoDaddy gehostet wurden.

Der Infektionsvektor ist unbekannt, die Backdoor ist aber bekannt. Es ist ein infiziertes SEO-Tool für die Google-Suche aus dem Jahr 2015, das in die wp-config.php injiziert wurde, um Spam-Linkvorlagen vom C2-Server zu holen, mit denen bösartige Seiten in die Suchergebnisse eingefügt werden. Und ich habe Host Europe als Hoster … (aber da gibt es verschiedene Pakete und bisher war ich von allen GoDaddy-Hacks nicht betroffen, weil vieles bei Host Europe historisch bedingt noch getrennt läuft, auch wenn die jetzt zu GoDaddy gehören).

Da der FTP-Server noch lief, habe ich die betreffende Datei natürlich sofort überprüft, zumal die kürzlich (durch ein WP-Update) aktualisiert wurde. Ich konnte aber nichts feststellen. Ein später durchgeführter Scan mit einem WordFence-Plugin ergab ebenfalls keine Infektion. Das konnte ich also abhaken. Das Bild der Infektion (SEO-Spam) passte auch nicht zum Ausfall des Servers.


Anzeige

Webseiten auf borncity.com laufen wieder

Gegen 19.30 Uhr waren meine Blogs wieder erreichbar (siehe auch mein Blog-Beitrag Webserver mit Hosting-Paket macht Probleme (16.3.2022)) und ich habe einige Prüfungen (siehe oben) ausgeführt. Auch der Abruf von Web.de-Postfächern klappte wieder – wie ich nebenbei feststellte. Am 16.3.2022 kam um 20:07 Uhr Uhr eine Antwort vom Host Europe-Support auf meine Support-Anfrage, die ich hier mal einstelle.

Die Fachabteilung hat Sie Ihren Fall erneut im Detail angeschaut und den Server nun zum Laufen bekommen. Es gab ein Problem mit dem Serverzertifikat was nun behoben ist.

Die Vermutung von squad, dass es etwas mit dem im Beitrag Fehler beim Parsen von OpenSSL-Zertifikaten verursacht Denial-of-Service-Loop beschriebenen Problem zu tun haben könnte, ergäbe ein ähnliches Fehlerbild, würde ich mittlerweile aber als weniger wahrscheinlich ansehen.

Großstörung im Internet

Ich hatte zeitnah sowohl auf Twitter als auch auf Facebook einen kurzen Hinweis auf Störungen der Site borncity.com an die Leserschaft hinterlassen – denn es gab bereits erste persönliche Benachrichtigungen auf Facebook und per Mail über einen Ausfall. Auf Facebook hat mir ein Blog-Leser dann nachfolgende Grafik vom gestrigen Abend (16.3.2022) gepostet.

Störung am 16. März 2022, ab 18:30 Uhr
Störung am 16. März 2022, ab 18:30 Uhr

Meine Abfrage auf Downdetector für Host Europe ergab da keine Störung – aber das obige Bild zeigt einen größeren Peak an Störungsmeldungen bei verschiedenen Internetseiten. Aktuell habe ich aber auf die Schnelle noch keine Erklärung über die Ursache gefunden – auch hier weiß man nichts genaues, und GMX schreibt auch nur:

Aktuell kann es zu Einschränkungen bei der Nutzung unserer Dienste kommen. Unsere Techniker arbeiten unter Hochdruck an der Behebung der Störung. Wir entschuldigen uns für die Unannehmlichkeiten und bitten um Ihr Verständnis und Geduld.

dass  kann also mit der Störung auf borncity reine Koinzidenz gewesen sein.

PostScript: Ich glaube, ich werde langsam zu alt für diesen Mist: Montag vor einer Woche stand das Internet für 1,5 Stunden (avisiert war, dass die Störung bis 20:00 Uhr behoben sei), Mittwoch Webserver für 1 Stunde tot – und Du kannst nix machen. Und die Umsätze der Blogs sind Ende Februar/Anfang März auch drastisch eingebrochen – dann die Tage an einer Werbeeinblendung gesehen, dass mir Google erneut einen automatischen Test (obwohl definitiv – zum wiederholten Mal – deaktiviert) reingedrückt hat. Ich habe diese Automatik heute gesehen und wieder deaktiviert.

Nun ja, früher (TM) hat mal ein "Kollege" neben der "Reise nach Italien" (aka Akadien) auch die Leiden des jungen Werther beschrieben. Die zwei Bände der Reise nach Italien habe ich noch nicht durch … aber als Blogger in modern kann ich da zwei Analogien bemühen. Einmal habe ich im Japan-Blog meine Reisen nach Japanien thematisiert und im Reise-Blog einzelne Stippvisiten direkt nebenan (nur fehlt die Zeit, die Tonnen an Material mal als Text einzustellen). Und es gibt in obigem Text "die Leiden eines (Opa) Bloggers".

Ein Irrenhaus. Luxus-Problem, aber trotzdem Mist … sollte wohl mehr auf das Dasein als Rentner schielen und endlich den Keller aufräumen – meint meine Frau. Mein gestriger Masterplan, früh den Rechner abzuschalten, sich im Wohnzimmer in einen Sessel zu fläzen, ein Stück Bitterschokolade zu genießen und den nächsten Krimi zu lesen, hat sich jedenfalls pulverisiert.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Internet, Störung abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu borncity.com und zahlreiche Webseiten waren am 16. März 2022 gegen 18:30 Uhr gestört

  1. Patrick sagt:

    Keller aufräumen? Moment, da kommt gerade eine neue Meldung am Computer …

  2. LvA sagt:

    Hat man heutzutage keine Redundanz mehr in der Serverlandschaft?

  3. Henning Uhle sagt:

    Das Post Scriptum ist treffend formuliert. Die einen räumen Keller auf, die anderen gehen eine Runde schaukeln. Ich sag mir auch manchmal bei meinem Blog, dass ich zu alt für diesen Mist bin. Aber dann mache ich doch weiter.

    Einen kaputten Server unterm Hintern hatte mein Blog auch schon mal. Der wohnt bei Alfahosting. Damals war das Problem, dass bei denen noch mehr ausgestiegen sein musste. Ich hatte da was mitbekommen, dass denen auch das Monitoring ausgefallen war. Grund war wohl eine Lastspitze in der Stromversorgung.

    Jedenfalls konnte ich beim Lesen sehr gut nachvollziehen, welche Achterbahn deine Gemütswelt durchgemacht hat. Wenigstens läuft wieder alles.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.