Har du fått e-post om skadelig kode på ditt webhotell?
Skrevet av: Jon Eivind Malde

Illustrasjon av hacket nettside

Vi har begynt å ta i bruk et nytt system for å raskere og bedre håndtere, samt varsle våre kunder om skadelig kode på deres webhotell. Systemet tas gradvis i bruk på flere av våre servere og vil innen kort tid dekke alle servere med webhotell. Når alle servere er dekket vil alle kunder bli varslet via e-post innen få minutter av at skadelig kode blir funnet.

Hvorfor gjør vi dette?

Dersom det er skadelig kode hos en av våre kunder kan det utgjøre en risiko for andre brukere på serverne, samt andre brukere på nettet. Hackere kan via slik kode for eksempel:

  • Hente ut alle data du har lagret i webhotellet/nettsiden, eller legge inn hull for å kontinuerlig ha tilgang til dine data.
  • Sende spam og phising e-poster (som vil medføre svartelisting av serverens IP adresser og medfører at alle kunder på serveren får problemer med å sende e-post).
  • Angripe andre maskiner på nettet for å forsøke å spre virus og skadevare eller delta i DDoS angrep.
  • Kjøre kode som overbelaster serveren slik at det går ut over andre kunder på serveren.

Dersom vårt system finner filer med skadelig kode vil vi utføre følgende steg hvor neste steg kun utføres dersom forrige steg ikke var vellykket:

  1. Sjekke backup for uinfisert fil og automatisk gjenopprette filen fra backup.
  2. Rense filen for skadelig kode.
  3. Legge filen i karantene.
  4. Slette filen.

Vi prøver med andre ord å hjelpe deg som kunde med å fjerne koden på den måten som er minst skadelig for deg, men går mer drastisk til verks dersom dette ikke går. Noe vi må ettersom skaden kan være stor dersom vi ikke gjør det på denne måten.

Hva er dette systemet?

Systemet vi benytter kalles Imunify360 og leveres av CloudLinux (som leverer OSet til våre webhotell servere). Vi har benyttet Imunify360 siden CloudLinux lanserte systemet i starten av 2017 og har siden den gang samarbeidet om hvordan det skal fungere. Det er likevel først nå vi mener systemet er modent nok til å bli tatt i bruk på denne måten og at vi har integrert det opp mot våre egne systemer.

Imunify360 logo

Imunify360 gjør mye mer enn å bare finne skadelig kode i filer. Blant annet:

  • Stopper angrep via web applikasjonsbrannmur mot nettsiden din.
  • Stopper bruteforce angrep (forsøk på å finne ut passord) via tjenester som SSH, IMAP mm.
  • Patcher programvare på serveren som har kjente sårbarheter som for eksempel kernel (uten behov for omstart).
  • Stopper skadelige prosesser som samtidig også finner rotårsak via logger.
  • Finner domener som er svartelistet.

Imunify360 er med andre ord en viktig del av sikkerheten på våre servere, og vil bare bli viktigere ettersom systemet utvikles videre.

Hvor kan jeg se hva som blir funnet?

Du har full tilgang til filene og logg via kontrollpanelet (cPanel) som vist i guiden Malware skanner i Imunify360. Her kan du også gjenopprette filer fra karantene, samt hviteliste filer som blir ansett som skadelige uten at de burde (falsk positiv).

I e-postene som sendes når vi tar i bruk systemet kan det hende at noen filer er håndtert for svært lenge siden. Vi kunne latt være å rapportere disse, men gjør det likevel for ordens skyld i tilfelle det skulle være viktig informasjon. I gamle tilfeller er det ikke sikkert du finner filen nevnt i loggene da Imunify360 ikke logget disse på samme måte i starten som de nå gjøres.

Hva bør jeg gjøre dersom noe blir funnet på mitt webhotell?

Du bør sjekke om nettstedet ditt fungerer som det skal. Er filene gjenopprettet eller renset så skal det ikke være nødvendig å gjøre noe med filene. Er de satt i karantene eller slettet bør du finne ut om disse tilhører løsningen du benytter og sjekke om de inneholder kode som ikke burde være der. Er du i tvil kan du spørre leverandør av løsningen eller oss.

Foruten å gjennomgå filene bør du følge tipsene i guiden Hvordan sikre ditt nettsted mor angrep fra hackere.

Spørsmål eller kommentarer? I så fall hører vi gjerne fra deg 🙂

Acronis backup – vår nye backupløsning
Skrevet av: Jon Eivind Malde

Vi har benyttet R1soft backup som backupløsning for samtlige av våre tjenester siden 2007. Løsningen fungerte bra i starten og det var lovet mye som skulle komme i form av ekstra funksjonalitet til våre kunder. Dette så vi dessverre aldri noe til selv om vi til stadighet ble lovet bot og bedring når vi ga beskjed.

I tillegg til at produktet ikke har utviklet seg nevneverdig over årene har vi også opplevd stadig flere feil med løsningen. Feil kan skje selv den beste, men for oss ble mengden større enn hva vi anså som akseptabelt. Når vi behøver gjenoppretting av backup teller hvert sekund for å oppnå normal drift.

Valg av ny backupløsning

Vi har det siste året testet mange backupløsninger for å finne den som gir best brukeropplevelse og funksjonalitet for våre kunder. Samtidig har det også vært viktig at ytelsen måtte være minst like bra som før. Acronis sin backupløsning skilte seg vesentlig ut og ble det naturlige valget, selv om løsningen er 3 ganger så dyr for oss som vår gamle løsning – noe du som kunde ikke vil måtte betale mer for. Det er noe som heter «Man får hva man betaler for…» og det ser ut til å stemme bra i dette tilfellet 🙂

Acronis

Acronis leverer løsninger til mer enn 5 millioner sluttbrukere og 500 000 bedrifter i mer en 150 land over hele verden. De har vunnet en rekke priser for sine produkter siden oppstart i 2003.

Her er noen av fordelene i forhold til gammel løsning:

  • Raskere gjenoppretting fra backup (testing var opptil 10 ganger raskere)
  • Det er nå mulig å gjenopprette e-postadresser, videresendinger mm. (som da også settes korrekt opp på serveren)
  • Imunify360 (sikkerhetsprogramvare på våre webhotell) vil automatisk erstatte filer som blir infisert av skadevare fra backup dersom det finnes uinfisert fil der
  • Ved innlogging via cPanel slipper du å måtte oppgi brukernavn og passord slik du av og til måtte før
  • Bedre logging slik at du kan se hva som er gjenopprettet og når det er gjort
  • Generelt mindre feil under gjenoppretting

Overgangsinformasjon

Fra og med 15. april vil samtlige webhotell være dekket av Acronis backup. Dessverre vil det i overgangen være mindre backuppunkter tilgjengelige via cPanel. Dersom du behøver eldre backup må du ta kontakt med support slik at vi kan gjenopprette dette for deg i denne perioden. Dette er ikke ideelt for verken deg som kunde eller oss, men vi håper på forståelse for dette med tanke på fordelene overgangen medfører. Vi beklager på forhånd for ulempene det medfører for kunder som ønsker å gjenopprette fra eldre backup.

Overgangen til Acronis vil også gjøre det mulig for oss å tilby deg flere løsninger relatert til backup og annet. Dette vil vi publisere mer informasjon om ettersom det lanseres.

Vår nye guide for gjenoppretting av backup:
Guide for gjenoppretting av backup fra Acronis

Har du spørsmål eller kommentarer? Da vil vi gjerne høre fra deg 🙂

Nettsider på Enterprise webhotell – del 1
Skrevet av: Jon Eivind Malde

I denne bloggserien vil vi se nærmere på kunder som har byttet fra våre standard webhotell til Enterprise webhotell og hvilke forbedringer dette har medført. Vi vil også gå nærmere inn på hvilke endringer som er utført i skript dersom det er gjort forbedringer i forhold til dette.

Første kunde* vi ser nærmere på har flyttet www.trondheim.no og www.trondheim.com fra våre vanlige webhotell med Apache webserver til Enterprise webhotell. Nettsidene er basert på Joomla og det er ikke utført noen endringer i oppsettet i overgangen. Nettsidene er offisielle nettsider for Trondheim hvor kort og godt det meste om Trondheim er presentert på en oversiktelig måte på både norsk og engelsk.

Per dags dato tilbyr ikke LiteSpeed egen plugin for Joomla for caching (som de for eksempel gjør for WordPress), men dette skal være på planleggingsstadiet. Det skal være mulig å sette opp LiteSpeed caching for Joomla som beskrevet her:
Joomla LSCache

Vi har ikke satt på caching som nevnt over og nettsidene hadde ikke aktivert noen form for caching i perioden da nettsidene ble flyttet.

For å best mulig vise forbedringene flyttingen har medført har vi foretatt målinger før og etter flytting via følgende:

Ettersom resultatene er tilnærmet like for nettsidene og kun den norske versjonen var tilgjengelig på no.trondheim.com har vi foretatt alle tester mot den adressen.

Før flytting til Enterprise webhotell

ab fra Norge

# ab -n 300 -c 2 http://no.trondheim.com/
This is ApacheBench, Version 2.3 <$Revision: 655654 $>
Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Licensed to The Apache Software Foundation, http://www.apache.org/

Benchmarking no.trondheim.com (be patient)
Completed 100 requests
Completed 200 requests
Completed 300 requests
Finished 300 requests

Server Software: Apache
Server Hostname: no.trondheim.com
Server Port: 80

Document Path: /
Document Length: 21846 bytes

Concurrency Level: 2
Time taken for tests: 77.225 seconds
Complete requests: 300
Failed requests: 0
Write errors: 0
Total transferred: 6728100 bytes
HTML transferred: 6553800 bytes
Requests per second: 3.88 [#/sec] (mean)
Time per request: 514.833 [ms] (mean)
Time per request: 257.416 [ms] (mean, across all concurrent requests)
Transfer rate: 85.08 [Kbytes/sec] received

Connection Times (ms)
 min mean[+/-sd] median max
Connect: 5 5 0.1 5 6
Processing: 341 507 76.3 523 1063
Waiting: 323 480 73.8 498 1038
Total: 346 513 76.3 528 1068

Percentage of the requests served within a certain time (ms)
 50% 528
 66% 540
 75% 544
 80% 548
 90% 559
 95% 573
 98% 643
 99% 867
 100% 1068 (longest request)

ab fra Tyskland

# ab -n 300 -c 2 http://no.trondheim.com/
This is ApacheBench, Version 2.3 <$Revision: 655654 $>
Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Licensed to The Apache Software Foundation, http://www.apache.org/

Benchmarking no.trondheim.com (be patient)
Completed 100 requests
Completed 200 requests
Completed 300 requests
Finished 300 requests

Server Software: Apache
Server Hostname: no.trondheim.com
Server Port: 80

Document Path: /
Document Length: 21846 bytes

Concurrency Level: 2
Time taken for tests: 88.542 seconds
Complete requests: 300
Failed requests: 0
Write errors: 0
Total transferred: 6728100 bytes
HTML transferred: 6553800 bytes
Requests per second: 3.39 [#/sec] (mean)
Time per request: 590.282 [ms] (mean)
Time per request: 295.141 [ms] (mean, across all concurrent requests)
Transfer rate: 74.21 [Kbytes/sec] received

Connection Times (ms)
 min mean[+/-sd] median max
Connect: 32 34 0.6 34 37
Processing: 377 553 119.3 562 1316
Waiting: 342 509 95.5 526 1058
Total: 411 587 119.3 596 1351

Percentage of the requests served within a certain time (ms)
 50% 596
 66% 606
 75% 612
 80% 618
 90% 670
 95% 801
 98% 1000
 99% 1136
 100% 1351 (longest request)

Pingdom Website Speed Test

Pingdom før flytting til Enterprise webhotell

GTMetrix

GTMetrix før flytting til Enterprise webhotell

Etter flytting til Enterprise webhotell

ab fra Norge

# ab -n 300 -c 2 http://no.trondheim.com/
This is ApacheBench, Version 2.3 <$Revision: 655654 $>
Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Licensed to The Apache Software Foundation, http://www.apache.org/

Benchmarking no.trondheim.com (be patient)
Completed 100 requests
Completed 200 requests
Completed 300 requests
Finished 300 requests

Server Software: LiteSpeed
Server Hostname: no.trondheim.com
Server Port: 80

Document Path: /
Document Length: 21846 bytes

Concurrency Level: 2
Time taken for tests: 35.143 seconds
Complete requests: 300
Failed requests: 0
Write errors: 0
Total transferred: 6735600 bytes
HTML transferred: 6553800 bytes
Requests per second: 8.54 [#/sec] (mean)
Time per request: 234.287 [ms] (mean)
Time per request: 117.144 [ms] (mean, across all concurrent requests)
Transfer rate: 187.17 [Kbytes/sec] received

Connection Times (ms)
 min mean[+/-sd] median max
Connect: 3 3 0.2 3 5
Processing: 217 231 15.5 228 380
Waiting: 208 220 14.7 218 369
Total: 220 234 15.5 231 383

Percentage of the requests served within a certain time (ms)
 50% 231
 66% 234
 75% 235
 80% 236
 90% 240
 95% 247
 98% 273
 99% 325
 100% 383 (longest request)

ab fra Tyskland

# ab -n 300 -c 2 http://no.trondheim.com/
This is ApacheBench, Version 2.3 <$Revision: 655654 $>
Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Licensed to The Apache Software Foundation, http://www.apache.org/

Benchmarking no.trondheim.com (be patient)
Completed 100 requests
Completed 200 requests
Completed 300 requests
Finished 300 requests

Server Software: LiteSpeed
Server Hostname: no.trondheim.com
Server Port: 80

Document Path: /
Document Length: 21846 bytes

Concurrency Level: 2
Time taken for tests: 47.443 seconds
Complete requests: 300
Failed requests: 0
Write errors: 0
Total transferred: 6735600 bytes
HTML transferred: 6553800 bytes
Requests per second: 6.32 [#/sec] (mean)
Time per request: 316.284 [ms] (mean)
Time per request: 158.142 [ms] (mean, across all concurrent requests)
Transfer rate: 138.65 [Kbytes/sec] received

Connection Times (ms)
 min mean[+/-sd] median max
Connect: 31 33 0.8 33 36
Processing: 269 282 10.4 281 386
Waiting: 237 249 10.3 248 353
Total: 301 315 10.5 313 420

Percentage of the requests served within a certain time (ms)
 50% 313
 66% 316
 75% 317
 80% 318
 90% 322
 95% 327
 98% 337
 99% 369
 100% 420 (longest request)

Pingdom Website Speed Test

Pingdom etter flytting til Enterprise webhotell

GTMetrix

GTMetrix etter flytting til Enterprise webhotell

Forbedringer som følge av flyttingen til Enterprise webhotell

Det som er verdt å merke seg i forhold til forskjellene mellom før og etter for ab testene i Norge er at gjennomsnittlig lastetid er gått ned fra 513ms til 234ms, noe som tilsvarer en reduksjon på ca. 54%. Vi ser også at forskjellen på laveste lastetid til høyeste lastetid er gått fra 722ms til 149ms, noe som innebærer at besøkende til nettsiden nå ikke vil oppleve store variasjoner i lastetiden som de kanskje gjorde før.

Pingdom og GTMetrix testene viser også at innholdet som lastes ned er redusert fra ca. 1.9mb til 1.0mb. Dette skyldes i hovedsak at det ikke var satt på noen form for komprimering på forrige server, mens LiteSpeed er satt opp til å automatisk komprimere innholdet. Vi ser også at den totale lastetiden ca. 37% for Pingdom og 21% for GTMetrix. Årsaken til at reduksjonen er lavere for disse enn for ab testene er i hovedsak at ab testene kun laster ned HTML koden som vises på siden, mens de 2 andre laster ned alle elementer (bilder, CSS filer mm.) som inkluderer det som ligger på webhotellet hos oss og på eksterne servere.

Ab testene er relativt like med unntak av avstanden mellom Norge og Tyskland både før og etter flytting. Vi har tatt med ab fra 2 lokasjoner kun for å bekrefte resultatene fra mer enn en lokasjon.

Oppsummering:
Vi kan slå fast at det har vært en markant forbedring på lastetiden etter flytting til Enterprise webhotell, samt at den varierer i mye mindre grad enn før. Reduksjonen på størrelsen på det som lastes ned er også redusert markant, noe som er svært fordelaktig i forhold til enheter som befinner seg på tregere nett. Alle forbedringene kommer uten at noen endringer er utført på eksisterende løsning. Dersom vi hadde aktivert Joomla LSCache hadde lastetiden vært redusert ytterligere.

Ønsker du å flytte til Enterprise webhotell?

Har du en nettside du kan tenke deg å flytte til våre Enterprise webhotell? Ta kontakt så kan vi være behjelpelige i forhold til flytting, benyttelse av cache i LiteSpeed (om aktuelt) og presentere resultatet dersom nettsiden benytter en løsning som ikke allerede er presentert.

*Grunnet etiske prinsipper og retningslinjer kan vi ikke omtale kunden nærmere, noe vi kommer til å gjøre for andre nettsider i kommende blogginnlegg så sant ikke samme omstendigheter gjelder.