Vyjadření firmy o aktuálním problému:
14.9. – 8:51
Vážení zákazníci, řešíme právě sofistikovný rozsáhlý útok na naši infrastrukturu afektující velkou část poskytovaných služeb. Prosíme o trpělivost, na problému všichni intenzivně pracujeme. Není třeba nás kontaktovat, budeme průběžně informovat zde, po telefonu vám více informací v tuto chvíli neposkytneme.
14.9. – 10:50
Dnes rano mezi 7-8h doslo k vysoce sofistikovanemu utoku na nasi infrastrukturu.
Utocnik provedl zasifrovani souboru pro funkcnost dulezitych sluzeb a nektere sluzby diky tomu nejedou vubec, nebo nefunguji jak maji.
Rozsah skod zatim zjistujeme s plnym nasazenim vsech nasich pracovniku, ale nedokazeme nyni zjistit u vsech sluzeb, v jakem jsou stavu, nebot vetsina serveru jsou pro nas bez online pristupu a problem resime primo na miste v datacentrech.
Predbezne zatim vime, ze zalohy noveho hostingu + data zakazniku emailovych sluzeb nebyla zasifrovana a jsou tedy v poradku. Dalsi informace zjistujeme.
Oprava vyzaduje cistou reinstalaci a kompletni kontrolu vsech serveru, proto predpokladame bohuzel vypadek casove rozsahlejsiho charakteru.
Co se tyce uzivatelskych uctu a domenovych informaci na subregu. Subreg vyuziva pro uzivatele silnou hashovaci funkci, tedy hesla by nemela byt prolomitelna. Informace ktere nase databaze obsahuje neobsahuji ani zadne autorizacni informace k domenam. Logy v komunikaci s registry maji veskere hesla hashovane.
Nicmene zatim nemame zadne indicie, ze by databaze byla zneuzita ci odcizena.
Jakmile budeme mit dalsi informace budeme Vas informovat.
Jan Horak
CEO, Gransy
14.9. – 15:00
- 1, IMAP data (emaily) mame k dispozici, nicmene cely mailovy reseni se instaluje na cisto, na cemz nasi admini intenzivne pracuji
- 2, Data hostingu Station jsou nedotcene
- 3, Subreg System jako takovy je nedotceny, jen byla vynucena reinstalace serveru, coz vyzaduje mnoho navazujici konfigurace, kterou aktualne vyvojovy tym dela.
Zatim bohuzel vice informaci poskytnout nemuzeme, pracujeme na tom vsemi silami.
Dekujeme za pochopeni.
Vážení zákazníci, stále řešíme rozsáhlý výpadek všech systémů v důsledku sofistikovaného kybernetického útoku. Prosíme o strpení, o dalším vývoji budeme neprodleně informovat
Subreg.cz
Výpadek a nedostupnost služeb Subreg se aktuálně pravděpodobně týká:
- DNS služeb
- API služeb
- Emailů
- Administrace domén
- Hostingu G-hosting a Station
- Výpadek některých serverů hostingu TELE3 (zdroj níže)
- Výpadek a nedostupnost AnycastDNS
Bohužel aktuální problém může ovlivnit provoz několika tisíc webů. Snad se podaří problém co nejdříve opravit.
15.9. – 4h
Neustale pracujeme …
Aktualni stavy
Hosting & Emaily:
Uzivatelska data mame k dispozici, bohuzel ale snazime se dat dohromady DB ktera obsahuje potrebne udaje ke sputeni. Jedna se o DB k controlpanel.cz, kde byly data na serveru nekompromisne smazana, vcetne nasich externich zaloh. DB se tedy snazime obnovit za pomoci obnovy dat z disku, coz je bohuzel prilis zdlouhave.
DNS:
Server pro DNS byl obnoveny, zony jsou vygenerovane (nebo se jeste dogenerovavaji) a nyni reinstalujeme jednotlive DNS nody. U sluzby Anycast byla obnovena funkce DNS, u jednotlivych nodu musi dojit pouze k decentni uprave konfigurace, zde k problemum na strane serveru nedoslo (vyuzivaji jiny zpusob zabezpeceni prihlaseni)
Domeny:
U Subregu snad uz finishujeme s DB, a dokoncujeme nektere konfiguraci veci a brzy bychom jej meli byt schopni opet spustit všechny weby a domény.
15.9. – 12h
Sluzby Subreg.CZ jsou opet spusteny. Nektere funkce (aukce, sprava hostingu, …) nemusi byt plne dostupne. Prosim o trpelivost.
Protoze doslo k neplanovane aktualizaci celeho systemu, nektere veci se mohou chovat trochu jinak, byt jsme meli aplikaci uz drive na upgrade pripravenou. V takovem pripade nas nevahejte kontaktovat zde ve zpravach nebot emailove a telefonni sluzby nam zatim jeste nefunguji.
Dekujeme za pochopeni a ze jste s nami.
15.9. – 13h
Sluzby Subreg az na mensi drobnosti by meli byt funkcni.
Aktualne resime prioritne dve veci:
– DNS (zde se generuji jeste nektere zony – abecedne jsme u Ar*, Br*, Co*, Dv*, Mo*, Po*, Sm*, Tu* – ostatni jsou jiz hotove) + obnovu zbylych nameserveru.
– Emaily – kolegove aktualne dopripravuji napojeni DB na emailove reseni
Mezitim resime samozrejme i konfiguraci webserveru pro spusteni webhostingu, zde nam to ale komplikuje casova narocnost reinstalaci a obnov.
Související zdroje:
https://forum.atlaso.cz/t/subreg-gransy-nefunguje/338
https://webtrh.cz/455083-subreg-gransy-utokem-vetsina-jeho
https://webtrh.cz/454590-subreg-nefunkcni-dns?highlight=subreg
https://www.lupa.cz/aktuality/domenovy-registrator-subreg-gransy-je-pod-utokem-vetsina-jeho-sluzeb-nefunguje/
Podrobný popis a timeline událostí:
https://wladass.cz/subreg-hacknut-timeline/
Informace od TELE3 k výpadku:
Vážení zákazníci, vzhledem k útoku na společnost Gransy s.r.o. (@subreg) nefungují některé servery z našeho SEO hostingu. Jedná se o servery: Fiber, Yoga, Tuxman, Obelix. Za problémy se omlouváme a supportu gransy držíme palce při opravě! (zdroj Twitter: https://twitter.com/tele3/status/1305448639712591878)
Co mohlo tomuto problému předcházet?
Jeden z diskutujících (viktor.p) na odborném IT portálu lupa.cz zmínil zajímavost na starší systém:
Jsem rád, že jsem od Subreg nedávno odešel. Chlubit se v hlavičkách mailů s fakturama, že jsou odesílány z PHP 5.4 a Debian Wheezy něco o zabezpečení infrastruktury vypovídá…
Subject: Faktura c. XXX / Invoice n. XXX
From: =?UTF-8?B?U3VicmVnLkNa?= info@subreg.cz
Reply-To: info@subreg.cz
MIME-version: 1.0
User-Agent: LJs mailer via php 5.4.45-0+deb7u2
Nebo to mohl být útok konkurence?
Před pár dny Gransy dosáhl zajímavé mety a umístil se na 1. místě v rychlosti světovýh DNS se svou službou AnycastDNS. Třeba se to některému s konkurentů nelíbilo? Nebo to byl jen náhodný útok hackerů, to nevím.
Aktuálně se u většiny webů i administrace Subreg / Gransy zobrazuje následující chyba:
Prodloužení CZ domén u Subregu / Gransy
Zákazníci registrátora Gransy se nemusí obávat o své domény, CZ.NIC prodlouží jejich funkčnost
V souvislosti s kybernetickým útokem na infrastrukturu doménového registrátora Gransy, rozhodlo sdružení CZ.NIC o prodloužení funkčnosti domén po expiraci, které jsou vedené právě u tohoto registrátora. Jedná se o dočasné řešení, které platí do doby, než se vyřeší problémy na straně registrátora Gransy. O dalším postupu budeme informovat na našem webu. (zdroj Webtrh a Lupa.cz).
