Informationen zu der Störung in unserem Rechenzentrum Reutlingen am 01.08.2021 und am 02.08.2021
Artikel vom 02.08.2021
Nachtrag 05.03.2021 - Alle Geoblock-Filter sind wieder entfernt, alle Dienste sind wieder in normalem Betrieb. Sollten noch individuelle Support-Anfragen benötigt werden eröffnen sie bitte ein Ticket unter
https://cmo.de/tickets. Wir werden in den kommenden Tagen die Verschiedenen Erkentnisse aus dem Angriff sammeln und informieren im Nachgang etwas ausführlicher zu den Angriffen, der Zusammenarbeit mit den Behörden, den getroffenen Maßnahmen und zu weiteren Präventionsmaßnahmen seitens CMO.
------
Nachtrag 03.08.2021 - Wir sind sporadisch wiederkehrend immer noch Angriffen ausgesetzt und versuchen diese so gut es uns möglich ist, abzuwehren. Wir verfügen über einen DDOS-Schutz auf IPv4 und IPv6 Ebene, dieser scheint aber die Angriffe nicht vollumfänglich abwehren zu können. Im Moment wird versucht ein weiteres Scrubbing-Center davor zu schalten um eine höhere Abwehrrate zu erreichen. Auch rüsten wir die Kapazitäten unserer internen Filtersysteme massiv auf, um diese Bedrohung in den Griff zu bekommen. Wir bitten u Verständnis, dass wir in einer solchen Situation keinen individuellen Support leisten können, da alle Kräfte in der Abwehrt der Angriffe eingesetzt werden müssen. Für die Störungen im Betriebsablauf und daraus entstehende Unannehmlichkeiten bitten wir um Entschuldigung.
------
Am 01. August 2021 sowie am 02.August 2021, kam es zu massiven Angriffen aus dem Internet über sogenannte DDOS-Attacken auf einige unserer Dienste. Dies resultierte in einer Überlastung der zentralen Firewalls und Absicherungssyteme.
Obwohl ein Großteil der DDOS-Attacke über unseren zentralen DDOS-Schutz abgewehrt werden konnten, kamen einige Angriffe dennoch bis zu unseren System durch. Statt der sonst üblichen 30.000 bis 50.000 gleichzeitigen Netzwerk-Verbindungen hatten wir durch die Attacke mit 3,5 Millionen und mehr gleichzeitigen Verbindungen zu kämpfen, wodurch es zu einer Überlastung einzelner Bereiche der technischen Infrastruktur kam.
Wir haben uns daher dazu entschieden, den Zugriff aus dem weltweiten Internet auf unser Rechenzentrum so zu beschränken, dass nur noch Zugriffe aus Deutschland, Österreich und der Schweiz, sowie einigen ausgesuchte Ziele wie PayPal in das Rechenzentrum möglich sind. Ausgehende Verbindungen sind nicht eingeschränkt.
Die Angriffswelle der DDOS-Attacke begann am Sonntag den 01. August 2021 um 17:35 Uhr und die Filter- und Abwehrmaßnahmen dauerten bis ca. 20:45 an. Ab diesem Zeitpunkt waren die Dienste mit kurz auftretenden erneuten Einschränkungen wieder verfügbar. Am 02.August 2021 erfolgt eine erneute ANgriffswelle ab 16:30 Uhr, die Abwehr und Behebung der dadurch ausgelösten Störungen im Rechenzentrum dauerte bis ca. 23:30 Uhr.
Wie ist die Situation jetzt am 03.08.2021?
Der Traffic in das Rechenzentrum der CMO ist weiterhin über die DDOS-geschützten Verbindungen abgesichert. Zusätzlich sind unsere Systeme gegenüber nicht direkt filterbaren Angriffe durch das sogenannte Geo-Blocking abgesichert. Dies bedeutet, dass Zugriffe aus bestimmten Ländern und Regionen der Welt eingeschränkt werden. Durch das Geo-Blocking kann(!) es zu Störungen in den Abläufen kommen, so dass z.B. bestimmte Zahlungsdienstleister für Online-Shop-System und/oder Ziele im Ausland nicht oder nur eingeschränkt erreichbar sind. Dies betrifft nur Ziele, die von Aussen versuchen auf Ihre Homepage, Server etc. zuzugreifen. Also Beispielsweise API-Schnittstellen oder auch externe Abrufe von Daten von Ihren Servern beispielsweise für Artikeldaten für Facebook, Instagram, Google etc.
Sollten Sie eine Einschränkung in Ihrer normalen Nutzung unserer Dienste feststellen, so eröffnen Sie bitte ein Ticket unter
https://cmo.de/tickets. Bitte beschreiben Sie uns in Ihrem Ticket den auftretenden Fehler so genau wie möglich und benennen Sie die Domain des Dienstes, der Probleme bereitet und wenn möglich auch die Quell- und Ziel-IP-Adressen (IPv4 und IPv6). Wir prüfen dann Ihre Anfrage und justieren unsere Filter so weit wie möglich nach.
Nachtrag 03.08.2021: Nachdem die Ergriffenen Maßnahmen gewirkt hatten wurde das Geoblocking wurde wieder deaktiviert.
Wir bitten um Verständnis, dass in einer solchen Situation der individuelle technische Support nur eingeschränkt möglich ist, da wir alle Ressourcen auf die Abwehr der Angriffe nutzen müssen. Auch für die entstandenen und gegebenenfalls noch bestehenden Einschränkungen bitten wir um Verständnis. Die Abwehr solcher verteilten Angriffe ist - trotz getroffener umfassender Schutzmaßnahmen - immer sehr individuell und damit leider auch zeitintensiv.
Mit freundlichen Grüßen
Norman Sommer
Geschäftsführer CMO Internet Dienstleistungen GmbH