Neue Features: cPanel Update 11.50

Das schlechte Wetter am Wochenendes haben wir genutzt um unsere neue High-Performance Hosting-Plattform komplett mit cPanel Version 11.50 auszustatten. Die Highlights des Updates haben wir für euch kurz zusammengefasst.

cPanel / WHM 11.50

Paper Lantern: Facelift der Accountverwaltung

Wer uns schon lange kennt weiß, dass wir über 7 Jahre cPanel mit dem x3 Theme zur Verwaltung des Accounts angeboten haben. Allerdings wurden wir immer öfter darauf angesprochen das Ganze etwas funktionaler und moderner zu gestalten, leider gab es nie eine saubere und sichere Lösung diesen Wunsch umzusetzen. – Umso mehr freuen wir uns darauf endlich mitteilen zu können, dass bereits ab dem nächsten Login euer cPanel mit dem modernen Paper Lanter Design geladen wird. Wir hoffen es gefällt euch! :)

Greylisting: Effektive Spambekämpfung

Wir geben zu, besonders neu ist Greylisting nicht. Bereits 2008 haben wir für euch tief in die Trickkiste gegriffen um euren Mailserver mit Greylisting vor Spam zu schützen, leider war diese Lösung sehr wartungsintensiv und konnte nicht aus dem cPanel heraus konfiguriert werden.

cPanel Greylisting Support

Das cPanel Team hat sich diesem lang gehegten Community Wunsch angenommen und Greylisting implementiert. Die Lösung ist nun sauber im System verankert und kann mit wenigen Klicks pro Domain konfiguriert werden.

CentOS 7: Mehr Speed, weniger Reboots!

CentOS 7 gibt es bereits seit einiger Zeit, nun ist auch cPanel in der Lage mit dem neuen Serverbetriebssystem umzugehen. Wie bei jedem OS-Update wurden die Software Pakete auf den aktuellsten Stand gebracht und ein neuer Kernel verbaut, letzterer ermöglicht uns CloudServer im laufenden Betrieb hoch und runter zu skalieren. Die bisher notwenigen Reboots entfallen damit vollständig! Sollte dennoch ein Reboot nötig sein dauert dieser nur noch zwischen 5 und 10 Sekunden, anstatt der vorher üblichen 60 – 90 Sekunden.

Aktuell testen wir CentOS 7 noch in Verbindung mit cPanel und den von uns eingesetzten Tools. Sobald diese Tests erfolgreich abgeschlossen wurden werden wir euch die ersten Server mit CentOS 7 zur Verfügung stellen. 😀


Interxion, Ceph und Sommerspecial

Die ersten heißen Tage sind vorüber und die Ferien haben in fast allen Bundesländern begonnen. Für uns nähert sich damit so langsam die etwas ruhigere Jahreszeit in der wir uns intensiv mit eigenen Projekten beschäftigen können.

Dieses Jahr steht, wie bereits im Jahresausblick 2015 angekündigt, der Ausbau unserer Infrastruktur bei Interxion sowie der Aufbau unseres Ceph Clusters an.

Interxion: Neue Racks und Brandabschnitte

Bereits in der letzten Woche haben wir unseren Account Manager von Interxion im Düsseldorfer Datacenter besucht um die am 01.07. eröffneten Flächen zu besichtigen. Die neu erschlossenen Flächen wurden nach aktuellen Standards in Sachen Kühlung und Brandbekämpfung gebaut, sind daher extrem effizient und erfüllen unsere Anforderungen zu 100%.

Da wir große Fans von Redundanz und Ausfallsicherheit sind mieten wir für unsere Racks keinen privaten Raum (Cage) um diese zentral unterzubringen, sondern verteilen die Racks und Server über mehrere Brandabschnitte und vernetzen diese anschließend mit 10G. Dies hat den Vorteil, dass bei größeren Problemen im Datacenter nur ein kleiner Teil unserer Infrastruktur betroffen ist, gleichzeitig können wir so die Datensicherheit der Backups und des geplanten Ceph Clusters weiter erhöhen.

Selbstheilung + High-Performance = Ceph

In den letzten Wochen und Monaten haben wir sehr viel Erfahrung mit Ceph sammeln können, unter anderem durch das von Mike gebaute Testlab aus „Alt-Hardware“. Die Server sind mittlerweile über 7 Jahre alt und bieten sich aufgrund der „natürlichen“ Fehlerrate als ideale Kandidaten für unser Testlab an, so vergeht kaum ein Tag an dem nicht irgendetwas defekt ist oder getauscht werden muss. – Perfekte Bedingungen um Ceph unter schwersten Bedingungen zu testen.

Zugegeben Performance Tests sind aufgrund der alten Hardware und der 1G Verkabelung nicht sinnvoll, aber darum geht es bei den Tests auch nicht. Vielmehr interessiert uns was passiert, wenn zB plötzlich der Strom, Festplatten, Controller oder Teile des Netzwerks ausfallen.

Ceph begeistert uns dabei jeden Tag aufs Neue und hat bisher jeden Fehler zuverlässig erkannt und automatisch gefixt, selbst harte Eingriffe in den Betrieb und den Verlust von 2/3 des Clusters fängt Ceph ohne Probleme ab. Solche Verluste würde ein traditionelles RAID-Array nur unter ganz bestimmten Voraussetzungen überleben, in den meisten Fällen wäre eine aufwendige Rekonstruktion oder aber die Wiederherstellung aus den Backups angesagt.

In den kommenden Wochen werden wir einen ausführlicheren Bericht zu Ceph veröffentlichen, alle Erkenntnisse hier unterzubringen würde einfach den Rahmen sprengen. :)

Sommerspecial: Neukunden Rabatte im Juli

Dieses Jahr vergeben wir keinen statischen PromoCode sondern koppeln den PromoCode an die Temperatur in unserem Büro, d.h. wenn wir schwitzen könnt ihr kräftig sparen. Die Kombination des Rabattes aus der PromoAktion und dem Abschluß eines 6 bzw. 12 Monatsvertrags ist möglich. 😉

Den tagesaktuellen PromoCode findet Ihr links hinter der roten „Lasche“, den dazugehörigen Wetterbericht auf wetter.com.

 

 


Kritisches Sicherheitsupdate: Magento SUPEE-6285

Gestern hat das Magento Team neben den bereits bekannten Patches SUPEE-5344 und SUPEE-5994, einen weiteren kritischen Sicherheitspatch mit dem Namen SUPEE-6285 veröffentlicht.

Betroffen sind alle Magento Versionen kleiner 1.9.2!

Laut Changelog wurden folgende Lücken geschlossen:

Customer Information Leak via RSS and Privilege Escalation: Fehlerhafte Checks führen dazu das Kundeninformationen (Bestellinfos, Bestell IDs, Kundenname) ausgelesen werden können. Mit diesen Daten sind weitere Angriffe auf Gastbestellungen möglich. In seltenen Fällen können Admin-Rechte erlangt werden!

Request Forgery in Magento Connect Leads to Code Execution: CSRF im Magento Connect Manager erlaubt die Installation von Modulen wenn ein eingeloggter Shop-Administrator auf einen präparierten Link klickt.

Cross-site Scripting in Wishlist: Ermöglicht den Versand von Phishing eMails über den Shop.

Cross-site Scripting in Cart: Über URL-Parameter kann JavaScript in den Checkout injiziert werden, dies ermöglicht das abgreifen von Cookie-Informationen. Mit Hilfe der Cookie Informationen kann sich der Angreifer als Kunde des Shops ausgeben.

Store Path Disclosure: Durch direkten Aufruf von Magento Connect URLs werden Fehlerseiten, unabhängig der Servereinstellung, generiert die Informationen zum Installationspfad des Shops enthalten.

Permissions on Log Files too Broad: Dateirechte von Logfiles sind zu offen, Kunden des gleichen Servers können die Logs anderer Kunden auslesen oder manipulieren. (Wir kapseln unsere Kunden in kleinen Containern, ein Übergriff ist somit nicht möglich. :))

Cross-site Scripting in Admin: Injektion von Javascript im Adminbereich ermöglicht die Übername eines anderen Admin-Accounts.

Cross-site Scripting in Orders RSS: Ermöglicht das einfügen von falschen Informationen in den „Neue Bestellungen“ RSS-Feed.

Wie wir bereits aus SUPEE-5344 und SUPEE-5994 gelernt haben sind ungepatchten Magento Versionen nach 48h erfolgreich angegriffen worden, die Patches sollten daher schnellstmöglich eingespielt werden!

Für unsere Kunden bieten wir wie immer einen Patch-Service zum Pauschalpreis an, öffnet zur Beauftragung der Patches ein Support-Ticket im Kundencenter. Wir kümmern uns kurzfristig darum :)


Kurz notiert: Weitere Magento Patches werden folgen!

magento-malware-code

Aktuell häufen sich die Informationen über eine weitere Sicherheitslücke in Magento. Angreifer sollen in der Lage sein Kreditkartendaten und Informationen über Kunden des Shops auszulesen bzw. an fremde Server zur Speicherung weiterzuleiten.

Bisher ist unklar ob es sich um eine Lücke im Magento Kern oder aber einer weit verbreiteten Extension handelt. – Ein Patch ist noch nicht verfügbar!

Unsere Infrastruktur haben wir nach Anzeichen von Angriffen untersucht und sind (leider) fündig geworden, die involvierten IPs haben wir sofort per Firewall gesperrt um schlimmeres zu verhindern:

169.57.0.212
217.23.12.208
190.10.9.28

Wir werden unser Netzwerk weiterhin beobachten und ggf weitere IPs sperren bis ein Patch zur Verfügung steht, wann dies sein wird steht noch nicht fest.

Unseren (kostenpflichtigen) Patch-Service könnt ihr vorab per Support-Ticket freigeben, d.h. auch wenn ihr in Kürze Urlaub oder Betriebsferien plant ist eurer Shop geschützt. – Sobald der Patch veröffentlicht wurde spielen wir diesen für euch ein!

Ausführliche Informationen zur aktuellen Problematik findet ihr unter anderem bei:
Heise Security
Sucuri Blog


Support an Fronleichnam!

Wir möchten darauf hinweisen, dass wir am 04.06.2015 zum Feiertag “Fronleichnam” nur eingeschränkten Support leisten können.

Im Notfall erreicht ihr uns wie gewohnt über das Support Ticket-System und unter der Rufnummer: 0900-1-rackspeed (0900-1-722577333) (0,99€ / Min. aus dem deutschen Festnetz, mobil höher) – Bitte hinterlasst Anliegen und Telefonnummer, der bereitschaftshabende Techniker wird kurzfristig Kontakt aufnehmen.

Am Freitag den 05.06.2015 stehen wir euch wieder wie gewohnt zur Verfügung.

Wir wünschen einen erholsamen Feier- / Brückentag! :)


Kritisches Sicherheitsupdate: Magento SUPEE-5994

Am 14.05.2015 hat das Magento Team, neben dem bereits bekannten Patch SUPEE-5344, einen weiteren kritischen Sicherheitspatch mit dem Namen SUPEE-5994 veröffentlicht.

Betroffen sind die Magento Versionen 1.6.x.x – 1.9.1.1, somit auch die bisher als sicher geltende Magento Version 1.9.1.1!

Laut Changelog wurden folgende Lücken geschlossen:

Admin Path Disclosure: Auslesen des Admin-Pfades auch wenn dieser umbenannt wurde, Brute-Force Attacken sind somit trotz Umbenennung des Admin-Pfades möglich.

Customer Address Leak through Checkout / Customer Information Leak through Recurring Profile: Kundendaten inkl. Bestelldaten lassen sich durch hochzählen von IDs auslesen. Der Angriff kann vollständig automatisiert werden was die Kundendaten jedes Magento Shops in akute Gefahr bringen!

Local File Path Disclosure Using Media Cache: Durch fiktive Bild-URLs lassen sich Pfadangaben auf dem Server auslesen.

Spreadsheet Formula Injection: Ausführung von Schadcode in der Tabellenkalkulation Excel durch von Magento generierte Tabellen.

Cross-site Scripting Using Authorize.Net Direct Post Module: Angreifer können über spezielle Links versenden um die User-Session zu übernehmen und Zugriff auf das Kundenbackend zu bekommen, ebenfalls sind Bestellungen im Namen des Kunden möglich.

Malicious Package Can Overwrite System Files: Angreifer können Extensions mit Schadcode veröffentlichen die Dateien direkt auf dem Server überschreiben.

Wie wir bereits aus SUPEE-5344 gelernt haben sind sämltiche ungepatchten Magento Versionen nach 48h mit Malware verseucht, die Patches sollten daher schnellstmöglich eingespielt werden!

Für unsere Kunden bieten wir wie immer einen Patch-Service zum Pauschalpreis an, öffnet zur Beauftragung der Patches ein Support-Ticket im Kundencenter. Wir kümmern uns kurzfristig darum :)


Support an Christi Himmelfahrt!

Wir möchten darauf hinweisen, dass wir am 14.05.2015 zum gesetzlichen Feiertag „Christi Himmelfahrt“ nur eingeschränkten Support leisten können.

Im Notfall erreicht ihr uns über das Support Ticket-System und unter der Rufnummer: 0900-1-rackspeed (0900-1-722577333) (0,99€ / Min. aus dem deutschen Festnetz) – Bitte hinterlasst Anliegen und Telefonnummer, unser Mitarbeiter in Bereitschaft wird sich kurzfristig mit dir in Verbindung setzen.

Am Freitag den 15.05.2015 stehen wir euch in der Zeit von 09:00 bis 13:00 Uhr zur Verfügung. Ab Montag den 18.05.2015 erreicht ihr uns wieder wie gewohnt von 09:00 – 18:00 Uhr!

Wir wünschen euch einen erholsamen Feier- und Brückentag!


Support am „Tag der Arbeit“

Wir möchten darauf hinweisen, dass wir am 01.05.2015 zum gesetzlich geregelten „Mai-Feiertag“ nur eingeschränkten Support leisten können.

Im Notfall erreicht ihr uns wie gewohnt über das Support Ticket-System und unter der Rufnummer: 0900-1-rackspeed (0900-1-722577333) (0,99€ / Min. aus dem deutschen Festnetz, mobil höher) – Bitte hinterlasst Anliegen und Telefonnummer, der bereitschaftshabende Techniker wird kurzfristig Kontakt aufnehmen.

Am Montag den 04.05.2015 stehen wir euch wieder wie gewohnt zur Verfügung.

Wir wünschen ein erholsames langes Wochenende! :)


BruteForce Attacken und Hacks von Magento Shops (Shoplift Bug)

Heute erreichen uns einige Support-Tickets von Kunden deren Magento Backend nicht mehr lädt und folgende Fehlermeldungen ausgibt:

Fatal error: Class ‚Magpleasure_Filesystem_Helper_Data‘ not found in app/Mage.php on line 546
Fatal error: Class ‚Mage‘ not found in includes/src/Mage_Core_functions.php on line 244
Fatal error: Class ‚Mage‘ not found in includes/src/Mage_Core_Model_Resource_Session.php on line 108

Nach einer kurzen Analyse der Shops und unserer Server können wir festhalten das die Shops in der letzten Nacht gehackt wurden. Neben dem Upload zahlreicher Dateien u.a. einer Fake-Extension mit dem Namen „File System“ wurden auch neue Benutzer mit dem Namen „acjb“ und Adminberechtigung angelegt. Einige Kunden berichten von Änderungen an der Magento Datenbank, eine genaue Prüfung steht noch aus.

Einen Hack unserer Server können wir zu 100% ausschließen da sofort ausgeführte Checks negative Ergebnisse liefern, gleichzeitig konnten wir eine Liste der Gemeinsamkeiten der gehackten Shops erstellen.

Betroffene Shops haben folgende Eigenschaften:

  • Adminbereich nicht wie empfohlen umbenannt, unter /admin/ erreichbar.
  • Dem Hack gingen zahlreiche BruteForce Attacken auf /admin/ voraus.
  • In der letzten Nacht wurde eine neue Extension installiert (app/code/community/Magpleasure/Filesystem/)
  • Es fehlt der von uns bereits im Februar angekündigte Security-Patch (SUPEE-5344), das Magento Team hat in den letzten Tagen per Benachrichtigungssystem noch einmal auf das kritische Update hingewiesen.

„Critical Reminder: Download and install Magento security patches. Download now.
Download and implement 2 important security patches (SUPEE-5344 and SUPEE-1533) from the Magento Community Edition download page (https://www.magentocommerce.com/products/downloads/magento/). If you have not done so already, download and install 2 previously-released patches that prevent an attacker from remotely executing code on Magento software. These issues affect all versions of Magento Community Edition. A press release from Check Point Software Technologies in the coming days will make one of these issues widely known, possibly alerting hackers who may try to exploit it. Ensure the patches are in place as a preventative measure before the issue is publicized.“

Nicht betroffene Shops haben folgende Eigenschaften:

  • Adminbereich ist nicht unter /admin/ erreichbar.
  • Der Security-Patch (SUPEE-5344) ist installiert.

Wir gehen davon aus das die BruteForce Attacke erfolgreich war da die mit Malware beladene Extension über MagentoConnect geladen wurde. Es finden sich gleichnamige Dateien im Cache Ordner des Downloaders:

downloader/.cache/community/File_System-1.0.0.tgz

Die dazugehörige Magento Extension wird noch von Google gelistet, der Link zu MagentoConnect leitet allerdings auf eine 404-Seite weiter.

Magpleasure_Filesystem_Helper_Data

Über die gravierende Sicherheitslücke wurde in den letzten Tagen in Blogs berichtet:

https://blog.sucuri.net/2015/04/critical-magento-shoplift-vulnerability-supee-5344-patch-immediately.html
http://www.itespresso.de/2015/04/20/check-point-deckt-massive-sicherheitsluecke-in-magento-auf/

Update folgt!


7 Jahre rack::SPEED

Geburtstagstorte mit brennender Kerze 7

Seit 7 Jahren steht rack::SPEED für hochperformante, flexible Hosting- und Serverlösungen mit einzigartigem Kundensupport. Begonnen haben wir im April 2008 mit einem speziell für Magento 1.0 optimierten Hosting Angebot als es noch hieß: „Magento benötigt unbedingt einen eigenen Server…“ 😉

Zusammen mit unseren Kunden (einige betreuen wir seit 7 Jahren) sind wir von Server zu Server gewachsen, unsere Angebote änderten sich häufig um eure Anforderungen und die von Magento perfekt abdecken zu können. Heute blicken wir daher auf hochoptimierte Hosting- und Serverlösungen mit einzigartigem Feature-Set zurück, stündliche Backups bieten wir nach wie vor als einziger deutscher Hoster an.

Rabatt Aktion -10% im April: BDAY7YEARS

Unsere Leidenschaft für schnelle Server und glückliche Kunden ist ungebrochen.

Euer Feedback motiviert uns täglich dazu Neues auszuprobieren, unseren Ausblick auf das Jahr 2015 möchten wir daher um einige Punkte erweitern:

Managed WordPress Hosting

Es gibt Momente in denen unsere bestehenden Server-Lösungen nicht ausreichen um eure Anforderungen abzudecken, daher haben wir bereits im letzten Jahr mit der Entwicklung unserer Magento Cluster begonnen. Im Bereich WordPress gibt es ebenfalls ganz spezielle Herausforderungen denen wir uns künftig stellen wollen, daher haben wir uns zusammengesetzt und eine zu 100% gemanagte Lösung entwickelt.

Mike hat die letzten Wochen genutzt um aus den neusten Techniken (Apache 2.4, PHP 5.6, MariaDB 10.0, Redis, uvm.) eine hochperformante Plattform für unser Managed WordPress Hosting zu bauen. Herausgekommen ist eine Lösung mit einer Ladezeit im 2 stelligen Millisekunden Bereich. 😀 – Die Lasttests zur Ermittlung der maximalen Userzahlen stehen noch aus (Update folgt).

Wie es sich für eine 100% Managed Lösung gehört nehmen wir euch auf Wunsch die komplette technische Seite ebenfalls ab.

Der Launch unserer WordPress Tarife ist für April geplant.

Hosted Elasticsearch

Bei Elasticsearch handelt es sich um eine OpenSource Lösung zur Volltextsuche in Echtzeit. Aufgrund der wahnsinnigen Geschwindigkeit nutzen viele Shopbetreiber Elasticsearch um den Server zu entlasten oder ihren Besuchern noch schneller das zu zeigen was sie suchen. – Hosted Elasticsearch bieten wir ab Mai als AddOn für unsere Hosting- und Serverlösungen sowie als Standalone-Lösung für externe Kunden an.

Hosted Varnish

Der Varnish-Cache kommt immer dann zum Einsatz wenn sehr viele gleichzeitige Besucher oder sehr schnelle Ladezeiten gefragt sind. Einmalig generierte Seiten werden ab dem zweiten Aufruf direkt aus dem Arbeitsspeicher geladen, dadurch liegt die Ladezeit einer Varnish-gecachter Seite im 2-stelligen Millisekundenbereich. – Hosted Varnish bieten wir ab Mai als AddOn für unsere Hosting- und Serverlösungen sowie als Standalone-Lösung für externe Kunden an.

Ersatz für das Level3-CDN

Kurzfristig werden wir das Level3-CDN ersetzen da uns dieses nicht mehr genug Möglichkeiten bietet. Ganz besonders fehlt uns die Möglichkeit Daten über eine SSL-geschützte Verbindung auszuliefern, Simon hat bereits begonnen verschiedene Anbieter und deren APIs zu prüfen. – Aktuell suchen wir noch (kostenlose) BETA-Tester für die neuen Anbieter, bei Bedarf schick uns eine kurze Mail.

Rabatt Aktion -10% im April

Aufgrund von Ostern runden wir die eigentlich geplante 7% Aktion zu einem dauerhaften 10% Rabatt für Bestands- und Neukunden auf. Der Code (BDAY7YEARS) ist im gesamten April gültig und kann für Neubestellungen und Upgrades eingelöst werden! Die perfekte Zeit um den alten Managed-Hosting Tarif durch einen aktuellen SSD-Hosting Tarif abzulösen. 😉