Am Morgen des 24.10.2014 fand eine zweite Welle von DDoS-Attacken auf sipgate statt (zur ersten Welle siehe Blogeintrag vom 23.10.2014). Unsere Massnahmen haben dieses Mal bereits früh dafür gesorgt, dass große Teile des Angriffs abgewehrt werden konnten. Betroffen waren dennoch wie am Tag zuvor zeitweise alle Telefonieservices und Webseiten von sipgate basic, sipgate go, sipgate team, sipgate trunking und simquadrat.
Ständige Updates finden Sie auf status.sipgate.de.
Freitag, 24.10.2014 ab ca. 08:47 Uhr
Alle sipgate Webseiten sind wieder erreichbar. Unsere Admins sind weiter dran die Telefonieprobleme zu beheben.
Freitag, 24.10.2014 ab ca. 09:52 Uhr
Unsere Admins stellen unsere Systeme auf wechselnde Angriffsmuster ein – mit Erfolg. Die Telefoniesysteme beruhigen sich gerade wieder. Erste Telefonate funktionieren wieder.
Freitag, 24.10.2014 ab ca. 10:15 Uhr
Telefonieren ist aktuell wieder über alle sipgate Produkte möglich. Sollten Sie Probleme mit Mobiltelefonie über sipgate SIM-Karten haben, so sollte ein Neustart des Handys helfen. Leider können wir noch keine vollständige Entwarnung geben. Sobald es die Situation zulässt, werden wir Sie natürlich ausführlich über die Hintergründe der DDoS Attacke hier im Blog informieren.
Freitag, 24.10.2014 ab ca. 11:10 Uhr
Bei einigen Anschlüssen gibt es wohl doch noch Probleme mit der Registrierung der VoIP-Endgeräte.
Freitag, 24.10.2014 ab ca. 11:34 Uhr
Immer mehr VoIP-Endgeräte registrieren sich wieder. Wir sind fast bei 100%. Wir bitten um Verständnis dafür, dass wir im Moment telefonisch keine Auskunft geben können. Unsere Hotline mussten wir heute morgen leider abschalten, weil sie vollkommen von Anrufen überflutet wurde. Zur aktuellen Verfügbarkeit und zu den DDoS-Attacken informieren wir weiter an dieser Stelle und bei twitter. Bitte wenden Sie sich per E-Mail an unsere Kundenbetreuung.
Freitag, 24.10.2014 ab ca. 12:54 Uhr
Die Situation bei der Registrierung von VoIP-Endgeräten sieht nun auch bei sipgate team Kunden normal aus. Damit können nun alle sipgate Kunden normal telefonieren. Wir sind gerade dabei mehr Infos und Analysen zusammenzutragen um sie hier im Blog zu kommunizieren. Updates folgen.
Freitag, 24.10.2014 ab ca. 13:32 Uhr
Wir wissen, dass die Situation für unsere Kunden nicht einfach ist und freuen uns daher umso mehr über die zahlreichen aufmunternden Kommentare. Leider können wir zu diesem Zeitpunkt neue DDoS Attacken nicht komplett ausschliessen, glauben aber nun viel besser reagieren zu können. Aktuell sind wir natürlich mit voller Kraft dabei unsere Systeme noch besser zu schützen. Parallel dazu werden die Geschehnisse gerade analysiert, detailliertere Ergebnisse und Hintergrundinfos dann hier gepostet.
Freitag, 24.10.2014 ab ca. 17:38 Uhr
Eine dritte Attacke konnten wir erfolgreich abwehren. Es kam zu keinen Beeinträchtigungen für unsere Kunden.
Samstag, 25.10.2014 ca. 07:58 Uhr
Durch die von unseren Admins implementierten Massnahmen konnten heute Nacht erneut drei DDoS Attacken auf die sipgate Systeme erfolgreich abgefangen werden. Die Angriffe blieben deswegen ohne negative Auswirkungen für unsere Kunden. Darüber sind wir sehr froh. Eine vollständige Entwarnungen können wir leider nicht geben, aber wir sind guter Hoffnung die richtigen Massnahmen getroffen zu haben. Unsere Admins bleiben natürlich auch am Wochenende wachsam. Wir informieren Sie auch weiterhin laufend über den aktuellen Stand sowohl auf status.sipgate.de als auch hier im Blog.
Samstag, 25.10.2014 ca. 13:14 Uhr
Die zahlreichen Kommentare und Nachfragen auf twitter, facebook und hier im Blog brachten uns auf die Idee, die gesamte Geschichte in einem längeren Artikel aufzubereiten und auf diese Weise möglichst viele Fragen zu beantworten.
Der Artikel ist am Ende doch ziemlich umfangreich geworden. Wir glauben, dass er auch für andere von DDoS-Attacken betroffene (und nicht nur für sipgate-Kunden) interessant sein dürfte. Deshalb haben wir ihn graphisch etwas aufbereitet und auf der Plattform medium veröffentlicht – und nicht hier im Blog.
Montag, 27.10.2014 17:34 Uhr
Auch am Wochenende ist es wieder zu DDoS-Angriffen gekommen, die wir aufgrund der getroffenen Gegenmaßnahmen aber alle erfolgreich abwehren konnten. Lediglich unsere Homepage war kurzfristig nicht erreichbar siehe Statusseite.
Unsere Techniker nutzten den heutigen Tag für eine erste wirklich umfangreiche Analyse der Vorfälle. Als Ergebnis wurde eine Reihe von Maßnahmen erarbeitet, welche in Zukunft dafür sorgen die sipgate Infrastruktur besser gegen DDoS Attacken zu schützen. Bitte haben Sie Verständnis dafür, dass wir aktuell keine Details zu diesen Maßnahmen veröffentlichen können.
Montag, 27.10.2014 18:45 Uhr
Leider ist durch unsere Gegenmaßnahmen aktuell noch die Faxfunktion teilweise gestört. Wir arbeiten zurzeit intensiv an der Behebung der Fax-Störung.
Dienstag, 28.10.2014 18:05 Uhr
Heute Nacht waren wir einem erneuten Angriff ausgesetzt, der am frühen Morgen zu teils erheblichen Beeinträchtigungen führte. Tagsüber blieben weitere Attacken aus und inzwischen melden immer weniger Kunden Gespräche mit “One Way Audio” und Faxstörungen. Aktuell erarbeiten wir weitere Schutzmaßnahmen und bitten um Verständnis, dass wir technische Details nicht veröffentlichen können.
81 Kommentare
Felix:
Hallo,
wie lange denkt ihr dauert es bis alles wieder funktioniert.
Wir können im moment im Büro ohne Telefon nicht machen.
Wolf:
Dazu können wir leider noch keine verlässliche Aussage treffen.
MarcD:
Ich drück‘ Euch die Daumen, Jungs!
Scheini72:
Wünsche viel Erfolg, weiter so!
Markus:
Hallo,
ich kann es ehrlich gesagt nicht verstehen, dass es ein Unternehmen wie Sipgate nicht in den Griff bekommt eine DDOS-Attacke abzuwehren.
Leidtragende sind wir Kunden, da wir keine Möglichkeit haben unsere Kunden zu informieren bzw. das Tagesgeschäft aufrecht zu halten.
Ich bin wirklich auf die Reaktion von Sipgate gespannt.
Benjamin:
Vielen Dank für die zeitnahen Informationen. Ich leide mit Euren Admins, denn auch ich durfte schon einmal gegen eine DDOS bei einem Kunden arbeiten. Solange Eure Systeme keinen Schaden genommen haben und Ihr die Daten schützen konntet, guter Job. Hoffentlich ging dem Angreifer das Geld für das C&C Netz jetzt endlich aus.
Dennis S:
Ist es nicht möglich, die VoIP-Telefonie von den GSM-Dienst „zu trennen“ ?
Wäre extrem praktisch, denn falls (bei mir zuhause) das Internet ausfällt oder (bei euch) der VoIP-Dienst, habe ich Anrufweiterleitungen eingerichtet auf meine SimQuadrat-Mobilfunkkarte…aber wenn beides „an einem Strang“ hängt, ist es mir nicht möglich, eine „Failback-Lösung“ zu erzeugen !
Christian:
api.sipgate.net antwortet auch nicht, waere aber wichtig fuer SMS Benachrichtigungen.
Danke fuer die Updates, ich hoffe es werden entsprechende technische Gegenmassnahmen ergriffen um dieses anscheinend immer wieder auftretende Problem
Christian:
zu beseitigen.
Michael Schaarschmidt:
Die Team Anschlüsse buchen sich noch nicht wieder richtig ein. Sowohl von der Telekom aus, als auch von Kabel Deutschland, trotz Router und Modem Neustart. Bitte prüfen…
Jan:
Also unsere VoIP-Telefone bekommen noch keine Verbindung. Neustart hilft auch nicht. Standort ist Berlin
Volker Bartholdt:
Es wäre total gut, wenn Ihr auf der Startseite Eurer Webseite „simquadrat.de“ einfach eine Störungsmeldung herausgeben würdet, dann wissen wir, was los ist und verdächtigen nicht unsere Handys (x-mal Neustart, Akku raus, akku rein, sinnlose Netzsuche), sinnlose Emails – viel Zeitverschwendung bei der eigenen Fehlersuche
Manuel G:
Leider tut sich gar nichts. Seit gestern kurz nach 15 Uhr ist es unserer Firma nicht möglich zu telefonieren. Auch ein Reset der Anlage um ein erneutes Anmelden bei Sipgate Team schlug fehl.
Warum schreiben Sie in Ihrer Statusmeldung um 10.15 Uhr „Telefonieren ist aktuell wieder über alle sipgate Produkte möglich.“, wenn es definitiv nicht so ist.
Unternehmen aus PLZ 69221:
Alle Endgeräte unserer Sipgate Team Rufnummern können sich immer noch nicht einbuchen. Wir sind seit 18 Stunden offline.
Guest:
Man man man….
Wenn ich so einen Bullshit lesen muss hier:
„ich kann es ehrlich gesagt nicht verstehen, dass es ein Unternehmen wie Sipgate nicht in den Griff bekommt eine DDOS-Attacke abzuwehren.“
Da fällt mir nur ein: Nein, kannst Du auch nicht, da Du keine Ahnung von der Thematik hast. Einfach mal lieber die Fresse halten und schauen, was ein DDOS genau bedeutet und wie schwer so etwas ist abzuwehren.
Mein Respekt an die IT vom ISP, wenn die das in den Griff kriegen. Wenn der Angreifer nur groß genug ist und einen langen Atem hat ist das eine ganz harte Nummer!
Viel Glück!
P.S.: Na klar ist das alles ein riesen Problem, aber jeder der jetzt verzweifelt möge mal zukünftig über die Wichtigkeit der eigenen Telefonie nachdenken und ggf. dann über ein Backup-Szenario (Stichwort Redundanz; Anbieterunabhängigkeit usw.) nachdenken.
Immanuel:
Wir haben gerade wieder eine Verbindung bekommen. Danke an den Maschinenraum und bitte durchhalten, bis den Angreifern die Puste ausgeht. Ich hoffe, man kann denen auf die Schliche kommen!
Malte S:
Das ganze Support-Team dreht Däumchen, kann keine Anrufe machen. Die Privat-Handys gehen schon reihum. Asterisk kann sich nach wie vor nicht registrieren. Nichts geht.
Man weiß ja nicht einmal, ob und wieviele Kunden grad versuchen, anzurufen. Merkwürdige Stille.
Ein Live-Rufnummerntransfer zwischen SIP-Anbietern ist nicht möglich oder? So könnte man sich für solche Fälle rüsten.
Hubert:
Ein- und ausgehende Telefonie per VoIP und Handy gehen wieder. Nur die Mobilrufnummer ist von extern nicht erreichbar. Die geografischen Nummern sind erreichbar. Danke sipgate! Top Job!
Manuel G:
Hallo Guest,
wir haben mit Kabel Deutschland und der Telekom sogar zwei Redundanzen. Das „raustelefonieren“ ist nicht das Problem.
Die Erreichbarkeit unter der seit Jahren etablierten Firmenrufnummer stellt das Problem dar. Haben Sie hier einen Lösungsvorschlag? Wie wollen Sie die von Ihnen genannte Anbieterabhängigkeit denn umsetzen, wenn die Runummer/n nunmal bei Sipgate liegen?
Ansonsten sollte Sipgate eher nachdenken, wie man in Zukunft mit solchen und ähnlichen Attacken umgeht und ob nicht an dieser Stelle das Thema Redundanz nötig ist.
Ansonsten ist mir persönlich egal, ob die IT Abteilung dort schwitzt und Überstunden machen muss. Ich bin zahlender Kunde für eine Dienstleistung und erwarte selbige.
Unternehmen aus PLZ 69221:
Soeben haben wir wieder die ersten funktionierenden Team Accounts.
Vielen Dank an die fleißigen Kämpfer. Haltet durch!