Frohe Weihnachten und einen guten Rutsch!

Wir wünschen euch und eurer Familie ein frohes Weihnachtsfest, erholsame Feiertage und einen guten Rutsch ins Jahr 2016!

Gleichzeitig möchten wir darüber informieren, dass wir während der Feiertage nur eingeschränkten Support leisten können. Montag (28.12.) bis Mittwoch (30.12.) erreicht ihr uns wie gewohnt von 09:00 bis 18:00 Uhr.

Ab dem 04.01.2016 stehen wir euch wieder wie gewohnt und ohne Einschränkung zur Verfügung!

Im Notfall erreicht ihr uns an den Feiertagen über das Kundencenter, Kunden mit einem separaten SLA-Vertrag wählen die Rufnummer: 0900-1-RACKSPEED (0900-1-722577333) (0,99€ / Min. aus dem deutschen Festnetz) um direkt mit einem Techniker zu sprechen.


Sicherheitsupdate: Joomla 3.4.6 erschienen!

Mit dem neuem Joomla Update 3.4.6 wird nun endlich eine Sicherheitslücke die bereits seit Joomla 1.5 bestehen soll beseitigt.

Wo besteht das Problem ?

Das Hauptproblem liegt laut den Entwicklern darin, dass Angreifer in älteren Joomla-Versionen mithilfe von SQL-Injections die Kontrolle über Joomla Websites übernehmen können.

Des Weiteren können Angreifer durch ein Problem beim Lesen der im Joomla-Installationspaket XML-Datei Zugriff auf eure Daten bekommen. Das Problem betrifft die Versionen 3.4.0 bis 3.4.5.

Wir empfehlen daher schnellstmöglich updaten um sich vor Angreifern zu schützen.

Was steckt im Update?

Die Version 3.4.6 enthält keine neuen Funktionen, es wird nur der Sicherheitspatch geliefert. Das Update sollte ohne Probleme installierbar sein, dennoch solltest ihr ein Backup eurer Joomla Installation erstellen!

Upgrade jetzt!

Der Download steht unter https://joomla.org für die Installation bereit.


PHP 7.0 ist da! – Upgrade jetzt…

Seit dem letzten Major Release von PHP 5.0 vor 11 Jahren gibt es nun endlich ein großes Update!

PHP 7.0 soll abgesehen von unzähligen Verbesserungen auch einen Performance-Schub für PHP-Projekte der nächsten Generation bieten. Des Weiteren bietet die neue Version eine konsistente Unterstützung für 64-Bit und soll im Vergleich zur Vorgänger Version doppelt so schnell sein. :)

Wie Upgrade ich?

Unsere Hosting-Kunden können sich einfach im cPanel anmelden und im Menü => Software => „PHP Version wählen“ PHP 7.0 auswählen und durch einen Klick auf „Speichern“ aktivieren.

Für CloudServer-Kunden nehmen wir diese Änderung vor. Erstelle einfach ein Supportticket mit deinem Upgradewunsch, wir kümmern uns kurzfristig darum.

Das vollständige Changelog könnt Ihr auf der offiziellen PHP-Website einsehen.


Sicherheitsupdate: Magento SUPEE-6788

Vergangenen Mittwoch hat das Magento Team ein weiteres Sicherheitsupdate für das Shopsystem herausgegeben, der Patch trägt den Namen SUPEE-6788 und beseitigt 10 kritische Sicherheitslücken.

Wir veröffentlichen diesen Beitrag erst jetzt da dieser Patch, im Gegensatz zu den Vorherigen, tief gehende Veränderungen an der Magento Software durchführt. Dies führt dazu das nach Installation des Patches diverse Extensions nicht mehr korrekt funktionieren. Laut einer Liste von Coding Basics sind knapp 800 Extensions betroffen. Ein öffentlich verfügbares Google Spreadsheet und die „Technical Details“ des Patches enthalten genauere Infos zu den Problemen. – In den meisten Fällen lässt sich die Konfigurationsseite im Admin-Bereich nicht öffnen.

Damit nicht tausende Shop direkt nach der Installation des Patches offline gehen ist der entsprechende Teil des Patches deaktiviert und muss nach der Installation im Magento Backend aktiviert werden. Den Menüpunkt „Enable Admin routing compatibility mode“ findet Ihr im Adminbereich: System => Konfiguration => Admin => Sicherheit.

Aufgrund der Kompatibilitätsprobleme können wir euch nur einen halbautomatischen Patch-Service anbieten, d.h. Ihr müsst direkt nach der Installation des Patches die Funktionen des Shops prüfen und ggf. auftretende Fehler von Hand lösen. Auf Github gibt es eine Skriptsammlung die euch dabei hilft Fehler zu suchen und (automatisch) zu lösen, der Einsatz erfordert allerdings einen SSH-Zugang. Unser Magento Hosting SSD Business M und größer stellt euch einen solchen Zugang zur Verfügung.

Wir raten jedem dazu vor Einsatz des Patches eine komplette Sicherung des Magento Shops durchzuführen um im Fall der Fälle schnell reagieren zu können!


Magento Security Scanner – test your shop!

In den vergangenen Monaten haben wir ausführlich über die Sicherheitslücken im beliebten Shopsystem Magento berichtet. Wer möchte kann diese im Bereich Security noch einmal nachlesen.

Magereport.com – Magento Security Scanner

Unsere niederländischen Kollegen von byte.nl haben die Vielzahl der Angriffsvektoren zum Anlass genommen einen Scanner zu schreiben mit dessen Hilfe Ihr euren Magento Shop überprüfen könnt. Bereits wenige Sekunden nach Eingabe der Shop-URL liefert der Scanner eine schöne Übersicht der zu flickenden Sicherheitslücken inkl. farblicher Markierung von gelb bis rot. – Wir empfehlen allen Kunden Ihren Shop auf mögliche Sicherheitslücken zu prüfen!

Zum Magento Security Scanner.

Magmi Data Import – voller Zugriff auf Magento

Das Importtool muss nach der Installation gegen Zugriffe von außen geschützt werden da es weitreichenden Zugriff auf den Magento Shop bietet, leider vergessen dies sehr viele Shopbetreiber nach der Installation. – Hilfe findet Ihr im offiziellen Magmi Wiki.

NGINX – Fehler erlaubt Zugriff auf Cache-Dateien

Durch Fehlkonfiguration des NGINX Webservers ist es möglich die Cache-Dateien des Magento Shops auszulesen. Neben den Kundendaten befinden sich hier unter Anderem die Zugangsdaten zur Datenbank und die Zahlungsdaten der Kunden des Shops. – Wer Magento mit NGINX befeuern möchte sollte sich daher unbedingt an einer geprüften Beispielkonfiguration orientieren und das Rad nicht unbedingt neu erfinden.


SUPEE-3762: Fehlender Magento Patch wird aktiv ausgenutzt!

Im Laufe des Nachmittages erreichten uns im Minutentakt zahlreiche Tickets unserer Kunden bzgl. nicht mehr funktionierender Magento Shops.

Eine Analyse zeigt folgende Gemeinsamkeiten:

  • Magento Version 1.9 und höher
  • Fehlender Sicherheitspatch SUPEE-3762 vom 12.08.2014
  • Zugriffe auf die URL /index.php/api/v2_soap/index/ durch IPs aus dem Netz 178.62.128.0 – 178.62.255.255 direkt vor dem Ausfall
  • Gefolgt von gezielten Aufrufen des Installers durch die IP 146.0.32.165 mit dem Useragent „Mozilla/5.0 (compatible; seoscanners.net/1; +spider@seoscanners.net)

Wir haben bereits Gegenmaßnahmen eingeleitet und die o.g. IPs in unseren Firewalls gesperrt, damit wurde die erste Angriffswelle erfolgreich gestoppt.

Was muss ich als Shopbetreiber nun tun damit der Shop wieder funktioniert?

  • Installation des fehlenden Sicherheitspatches SUPEE-3762
  • Leeren des Magento Caches (var/cache/*)
  • Neustart der PHP-Prozesse

Warum patcht rack::SPEED nicht alle betroffenen Shops automatisch?

Uns liegen zahlreiche Informationen durch Blogs und Twitter vor die darauf hindeuten das es nach der Installation des Patches zu Problemen mit dem Warenkorb kommen kann. Wir patchen daher nicht ungefragt die Shops unserer Kunden!

Gerne kannst du unseren Magento Patch-Service per Support-Ticket beauftragen, wir arbeiten die eingehenden Anfrage der Reihe nach ab.

Einen Hack unserer Server oder Infrastruktur können wir zu 100% ausschließen!


Neue Features: cPanel Update 11.50

Das schlechte Wetter am Wochenendes haben wir genutzt um unsere neue High-Performance Hosting-Plattform komplett mit cPanel Version 11.50 auszustatten. Die Highlights des Updates haben wir für euch kurz zusammengefasst.

cPanel / WHM 11.50

Paper Lantern: Facelift der Accountverwaltung

Wer uns schon lange kennt weiß, dass wir über 7 Jahre cPanel mit dem x3 Theme zur Verwaltung des Accounts angeboten haben. Allerdings wurden wir immer öfter darauf angesprochen das Ganze etwas funktionaler und moderner zu gestalten, leider gab es nie eine saubere und sichere Lösung diesen Wunsch umzusetzen. – Umso mehr freuen wir uns darauf endlich mitteilen zu können, dass bereits ab dem nächsten Login euer cPanel mit dem modernen Paper Lanter Design geladen wird. Wir hoffen es gefällt euch! :)

Greylisting: Effektive Spambekämpfung

Wir geben zu, besonders neu ist Greylisting nicht. Bereits 2008 haben wir für euch tief in die Trickkiste gegriffen um euren Mailserver mit Greylisting vor Spam zu schützen, leider war diese Lösung sehr wartungsintensiv und konnte nicht aus dem cPanel heraus konfiguriert werden.

cPanel Greylisting Support

Das cPanel Team hat sich diesem lang gehegten Community Wunsch angenommen und Greylisting implementiert. Die Lösung ist nun sauber im System verankert und kann mit wenigen Klicks pro Domain konfiguriert werden.

CentOS 7: Mehr Speed, weniger Reboots!

CentOS 7 gibt es bereits seit einiger Zeit, nun ist auch cPanel in der Lage mit dem neuen Serverbetriebssystem umzugehen. Wie bei jedem OS-Update wurden die Software Pakete auf den aktuellsten Stand gebracht und ein neuer Kernel verbaut, letzterer ermöglicht uns CloudServer im laufenden Betrieb hoch und runter zu skalieren. Die bisher notwenigen Reboots entfallen damit vollständig! Sollte dennoch ein Reboot nötig sein dauert dieser nur noch zwischen 5 und 10 Sekunden, anstatt der vorher üblichen 60 – 90 Sekunden.

Aktuell testen wir CentOS 7 noch in Verbindung mit cPanel und den von uns eingesetzten Tools. Sobald diese Tests erfolgreich abgeschlossen wurden werden wir euch die ersten Server mit CentOS 7 zur Verfügung stellen. 😀


Interxion, Ceph und Sommerspecial

Die ersten heißen Tage sind vorüber und die Ferien haben in fast allen Bundesländern begonnen. Für uns nähert sich damit so langsam die etwas ruhigere Jahreszeit in der wir uns intensiv mit eigenen Projekten beschäftigen können.

Dieses Jahr steht, wie bereits im Jahresausblick 2015 angekündigt, der Ausbau unserer Infrastruktur bei Interxion sowie der Aufbau unseres Ceph Clusters an.

Interxion: Neue Racks und Brandabschnitte

Bereits in der letzten Woche haben wir unseren Account Manager von Interxion im Düsseldorfer Datacenter besucht um die am 01.07. eröffneten Flächen zu besichtigen. Die neu erschlossenen Flächen wurden nach aktuellen Standards in Sachen Kühlung und Brandbekämpfung gebaut, sind daher extrem effizient und erfüllen unsere Anforderungen zu 100%.

Da wir große Fans von Redundanz und Ausfallsicherheit sind mieten wir für unsere Racks keinen privaten Raum (Cage) um diese zentral unterzubringen, sondern verteilen die Racks und Server über mehrere Brandabschnitte und vernetzen diese anschließend mit 10G. Dies hat den Vorteil, dass bei größeren Problemen im Datacenter nur ein kleiner Teil unserer Infrastruktur betroffen ist, gleichzeitig können wir so die Datensicherheit der Backups und des geplanten Ceph Clusters weiter erhöhen.

Selbstheilung + High-Performance = Ceph

In den letzten Wochen und Monaten haben wir sehr viel Erfahrung mit Ceph sammeln können, unter anderem durch das von Mike gebaute Testlab aus „Alt-Hardware“. Die Server sind mittlerweile über 7 Jahre alt und bieten sich aufgrund der „natürlichen“ Fehlerrate als ideale Kandidaten für unser Testlab an, so vergeht kaum ein Tag an dem nicht irgendetwas defekt ist oder getauscht werden muss. – Perfekte Bedingungen um Ceph unter schwersten Bedingungen zu testen.

Zugegeben Performance Tests sind aufgrund der alten Hardware und der 1G Verkabelung nicht sinnvoll, aber darum geht es bei den Tests auch nicht. Vielmehr interessiert uns was passiert, wenn zB plötzlich der Strom, Festplatten, Controller oder Teile des Netzwerks ausfallen.

Ceph begeistert uns dabei jeden Tag aufs Neue und hat bisher jeden Fehler zuverlässig erkannt und automatisch gefixt, selbst harte Eingriffe in den Betrieb und den Verlust von 2/3 des Clusters fängt Ceph ohne Probleme ab. Solche Verluste würde ein traditionelles RAID-Array nur unter ganz bestimmten Voraussetzungen überleben, in den meisten Fällen wäre eine aufwendige Rekonstruktion oder aber die Wiederherstellung aus den Backups angesagt.

In den kommenden Wochen werden wir einen ausführlicheren Bericht zu Ceph veröffentlichen, alle Erkenntnisse hier unterzubringen würde einfach den Rahmen sprengen. :)

Sommerspecial: Neukunden Rabatte im Juli

Dieses Jahr vergeben wir keinen statischen PromoCode sondern koppeln den PromoCode an die Temperatur in unserem Büro, d.h. wenn wir schwitzen könnt ihr kräftig sparen. Die Kombination des Rabattes aus der PromoAktion und dem Abschluß eines 6 bzw. 12 Monatsvertrags ist möglich. 😉

Den tagesaktuellen PromoCode findet Ihr links hinter der roten „Lasche“, den dazugehörigen Wetterbericht auf wetter.com.

 

 


Kritisches Sicherheitsupdate: Magento SUPEE-6285

Gestern hat das Magento Team neben den bereits bekannten Patches SUPEE-5344 und SUPEE-5994, einen weiteren kritischen Sicherheitspatch mit dem Namen SUPEE-6285 veröffentlicht.

Betroffen sind alle Magento Versionen kleiner 1.9.2!

Laut Changelog wurden folgende Lücken geschlossen:

Customer Information Leak via RSS and Privilege Escalation: Fehlerhafte Checks führen dazu das Kundeninformationen (Bestellinfos, Bestell IDs, Kundenname) ausgelesen werden können. Mit diesen Daten sind weitere Angriffe auf Gastbestellungen möglich. In seltenen Fällen können Admin-Rechte erlangt werden!

Request Forgery in Magento Connect Leads to Code Execution: CSRF im Magento Connect Manager erlaubt die Installation von Modulen wenn ein eingeloggter Shop-Administrator auf einen präparierten Link klickt.

Cross-site Scripting in Wishlist: Ermöglicht den Versand von Phishing eMails über den Shop.

Cross-site Scripting in Cart: Über URL-Parameter kann JavaScript in den Checkout injiziert werden, dies ermöglicht das abgreifen von Cookie-Informationen. Mit Hilfe der Cookie Informationen kann sich der Angreifer als Kunde des Shops ausgeben.

Store Path Disclosure: Durch direkten Aufruf von Magento Connect URLs werden Fehlerseiten, unabhängig der Servereinstellung, generiert die Informationen zum Installationspfad des Shops enthalten.

Permissions on Log Files too Broad: Dateirechte von Logfiles sind zu offen, Kunden des gleichen Servers können die Logs anderer Kunden auslesen oder manipulieren. (Wir kapseln unsere Kunden in kleinen Containern, ein Übergriff ist somit nicht möglich. :))

Cross-site Scripting in Admin: Injektion von Javascript im Adminbereich ermöglicht die Übername eines anderen Admin-Accounts.

Cross-site Scripting in Orders RSS: Ermöglicht das einfügen von falschen Informationen in den „Neue Bestellungen“ RSS-Feed.

Wie wir bereits aus SUPEE-5344 und SUPEE-5994 gelernt haben sind ungepatchten Magento Versionen nach 48h erfolgreich angegriffen worden, die Patches sollten daher schnellstmöglich eingespielt werden!

Für unsere Kunden bieten wir wie immer einen Patch-Service zum Pauschalpreis an, öffnet zur Beauftragung der Patches ein Support-Ticket im Kundencenter. Wir kümmern uns kurzfristig darum :)


Kurz notiert: Weitere Magento Patches werden folgen!

magento-malware-code

Aktuell häufen sich die Informationen über eine weitere Sicherheitslücke in Magento. Angreifer sollen in der Lage sein Kreditkartendaten und Informationen über Kunden des Shops auszulesen bzw. an fremde Server zur Speicherung weiterzuleiten.

Bisher ist unklar ob es sich um eine Lücke im Magento Kern oder aber einer weit verbreiteten Extension handelt. – Ein Patch ist noch nicht verfügbar!

Unsere Infrastruktur haben wir nach Anzeichen von Angriffen untersucht und sind (leider) fündig geworden, die involvierten IPs haben wir sofort per Firewall gesperrt um schlimmeres zu verhindern:

169.57.0.212
217.23.12.208
190.10.9.28

Wir werden unser Netzwerk weiterhin beobachten und ggf weitere IPs sperren bis ein Patch zur Verfügung steht, wann dies sein wird steht noch nicht fest.

Unseren (kostenpflichtigen) Patch-Service könnt ihr vorab per Support-Ticket freigeben, d.h. auch wenn ihr in Kürze Urlaub oder Betriebsferien plant ist eurer Shop geschützt. – Sobald der Patch veröffentlicht wurde spielen wir diesen für euch ein!

Ausführliche Informationen zur aktuellen Problematik findet ihr unter anderem bei:
Heise Security
Sucuri Blog