Tirsdag morgen fik jeg de første meldinger fra brugere af Hotspots net i midtbyen: “Der er nogle hjemmesider vi pludseligt ikke kan komme ind på!”. Og der var eksempler som ikea.com, ebay.com, men også tjenester som MailChimp og Domaintools.com.
Senere på dagen fik jeg så en mail fra TDC CSIRT som meddelte at der havde været forsøg på hacking FRA VORES IP!
Min første tanke var WHAT?… Sidder der nogle på vores forbindelse og forsøger at hacke hjemmesider??
Det blev hurtigt klart at blokering som brugere oplevede var en direkte konsekvens af at der var konstateret ‘farlig trafik’ fra vores IP. Og nogle af de store spillere på nettet, har en aftale med AKAMAI som skanner al trafik til deres sider. Og Akamai havde valgt at blokere os meget hurtigt.
Da jeg endeligt fandt dem, kunne jeg blot konstatere at deres politik er “Hvis du bliver blokeret fra nogle af vores kunders hjemmesider, så skal du henvende dig til dem, så de kan bede os om at åbne igen. Vi snakker aldrig med vores kunders kunder….” Så logikken er at jeg altså skulle kontakte både IKEA, EBAY, MailChimp, Domaintools o.s.v. Og oplyse dem om problemet, og samtidigt anmode om at blive ‘De-listed’, altså få fjernet blokeringen.
Det har vist sig endog MEGET svært at få hul igennem til ‘de ansvarlige for hjemmesiden’ de fleste steder. Ebay har overhovedet ikke svaret på de 4 mails jeg har sendt til 4 forskellige adresser. Ikea har heller ikke svaret, så jeg havde fat i deres telefon-kundeservice, som nu på 4 døgn prøver at finde ud af hvem de skal sende mig videre til… Mailchimp var dog særdeles flinke til at svare, og jeg kunne derigennem få lidt flere detaljer om hvordanog hvorfor blokering var kommet op. De hjalp også med at konstatere at det vi oplevede var en ‘Reputation block’, som er knap så slem som en ‘IP block’ der er næste umulig at få ophævet.
Siden tirsdag har jeg (med hjælp fra bla. Carl på X og Kasper på Brobjerg) forsøgt at gennem-analysere netværkstrafikken i vores hotspot-setup. Og (heldigvis) har vi ikke kunnet finde noget der kunne være årsag til balladen…
I første mail fra TDC stod der et par web-adresser som tilsyneladende var forsøgt hacket. Af nysgerrighed prøvede jeg, via en maskine der er på en helt anden ip (under NiaNet), at tilgå siden. Der gik cirka 30 miutter, så fik jeg en mail fra NiaNet om der ‘Der er forsøgt hacking fra jeres IP’! Jeg var temmelig overrasket, da det eneste jeg havde gjort var at åbne en adrdese (i stil med www.domæne.tdl/wp-admin) jeg kiggede på siden, thats all. Ikke en eneste gang forsøgte jeg at logge ind. Alligevel er det besøg, af internationale overvågningstjenester, blevet kategoriseret som ‘forsøg på hacking’…. Langt ude!
Og det fik mig til at ‘slå koldt vand i blodet’, for hvis der ikke skal mere til at trigge en ‘international advarsel’, så er det slet ikke sikkert at vi overhovedet har et problem…
Jeg har haft en dialog med TDC CSIRT, hvor jeg har understreget at ‘vi har gennemgået netværket og der er ikke længere et problem’. Men også de kommenterede at det kan være temmeligt bøvlet at blive ‘de-listed’ når man først er blevet blacklistet.
Så løsningen er blevet at vi har fået åbnet et par nye ip-adresser, som vi nu kommer på nettet med.
Og dermed er al blokering også ophævet.
Det har været lidt af en rejse… Først at tro at ‘fanden var løs’, så at sidde i timer og analysere log-filer, for til sidst at konstatere at der sandsynligvis er en storm i et glas vand, og løsningen endte med at være at vi har flyttet vores netværk på nye IP-adresser…
Men fra mandag morgen har alt været i bedring, og nu skulle alting gerne køre helt normalt.
Skulle der være tvivl om noget, så kontakt endeligt Mads, så finder vi en løsning!