Neu: Hilfe bei der Preisfindung im Bikemarkt

Wir haben heute eine praktische Neuerung im Bikemarkt freigeschaltet: Verkäufer bekommen zur Unterstützung bei der Preisgestaltung ein Diagramm mit den in der Vergangenheit erzielten Verkaufspreisen für das jeweilige Produkt.

Preis-Historie

Oft weiß ich als Verkäufer nicht, wie hoch ein realistischer Preis eines Artikels sein könnte. Der Bikemarkt zeigt jetzt zur Unterstützung ein Diagramm mit historisch erzielten Verkaufspreisen für den eingegebenen Artikel an.

Am besten zeige ich das an einem Beispiel: Ich möchte eine gebrauchte Fox 32 verkaufen; ich gebe also die entsprechenden Werte in die Formular-Felder ein. Sobald Hersteller und Artikel-Name eingegeben wurden, wird versucht ein Diagramm mit der Preisverteilung aus in der Vergangenheit erzielten Verkaufspreisen zu erstellen.

Preis-Historie

Folgende Werte gehen in die Zusammenstellung der Preis-Historie ein:

  • Kategorie (in diesem Beispiel „Federgabel“)
  • Hersteller („Fox“)
  • Artikel-Name („32“)
  • Zustand („gebraucht“)

Das Diagramm zeigt die Verteilung der erzielten Verkaufspreise. Dabei zeigt die x-Achse die Verkaufspreise und die y-Achse den Anteil zur Gesamtzahl der verkauften Artikel aus der Suchanfrage.

Das Ganze funktioniert natürlich nur, wenn schon Verkäufe dieses Artikels existieren. Diese Funktion ist noch sehr neu und wird von uns explizit als Beta ausgewiesen. Die Ergebnisse können also Fehler haben oder sonst wenig sinnvolle Daten enthalten – man sollte sich im Zweifelsfalle nicht auf die Korrektheit verlassen. Der gesunde Menschenverstand ist also bei der Preisfindung weiterhin notwendig ;-)

Sicherheitshinweis – Datenleck bei E-Mail-Adressen

Wir haben heute morgen festgestellt, dass Spam an E-Mail-Adressen unserer Benutzer versendet wurde. Wir haben den Sachverhalt sofort geprüft und mussten feststellen, dass tatsächlich E-Mail-Adressen unserer User abhanden gekommen sind.

Wir konnten die Ursache dafür ziemlich schnell aufspüren und auch abstellen.

Der Grund ist eine Sicherheitslücke in unserer Newsletter-Versand-Software. Dabei handelt es sich um keine Eigenentwicklung, sondern um ein zugekauftes Softwarepaket. Über eine darin befindliche Sicherheitslücke war es möglich, die E-Mail-Adressen der Newsletter-Abonnenten abzugreifen. Der Software-Hersteller hat vor kurzem ein Sicherheitsupdate veröffentlicht, welches unter Anderem dieses Problem adressiert, es aber versäumt, uns (und vermutlich auch andere Kunden) darüber zu informieren.

Es tut uns leid, dass die Daten geleakt sind, wir können sie aber leider nicht mehr zurückholen. Wir haben die Software umgehend deaktiviert und werden sie zukünftig auch nicht mehr einsetzen, sondern auf eine moderne Alternative zurückgreifen, bei der Software und Hersteller etwas „mehr auf Zack“ sind.

Es ist in der 16-jährigen Geschichte von MTB-News.de bisher der erste und einzige derartige Vorfall und ärgert uns selbst mit Sicherheit am meisten. Wir werden alles daran setzen, dass so etwas nicht erneut vorkommt.

Neuer Uploader im Videobereich

Wir haben heute in den Videobereichen bei MTB-News.de und Rennrad-News.de einen neuen Uploader aktiviert. Es ist jetzt nicht mehr notwendig, das Flash-Plugin im Browser installiert zu haben – ein moderner, HTML5-fähiger Browser reicht aus, um Video hochladen zu können. Für ältere Browser gibt es Fallbacks auf Flash oder Silverlight.

Ein weiterer Vorteil ist, dass der Uploader jetzt auch mit Mobiltelefonen (z. B. iPhone) funktioniert! Das spart den Umweg über den Desktop-Rechner oder die Dropbox.

Neuer Uploader im Videobereich

Phishing-Versuche im Bikemarkt

In den letzten Tagen wurden einige Leute über das Nachrichtensystem in unserem Bikemarkt angeschrieben, mit der Bitte sich per E-Mail beim vermeintlichen Kaufinteressenten zu melden.

Leute, die dieser Aufforderung nachgekommen sind, bekamen kurz darauf eine E-Mail mit dem Betreff „Review-Prozess für September 2015“ und der Aufforderung, einen Link in dieser E-Mail zu klicken. Auf der aufgerufenen Seite wurde nach den Login-Daten (Name, Passwort) von MTB-News.de oder Rennrad-News.de gefragt.

Diese Seite stammte nicht von uns und diente dem Zweck, an Login-Daten unserer Benutzer zu kommen, um danach mit den Benutzerkonten Schaden anzurichten oder die Accounts der betreffenden Leute bei anderen Webseiten anzugreifen. Da viele Leute auch heutzutage überall die selben Passwörter benutzen, dürfte die Chance auf Erfolg gar nicht mal so niedrig sein. Einige Benutzer berichteten über Hacking-Versuche gegen ihre E-Mail-Accounts, nachdem sie eine E-Mail an die angegebene Adresse geschickt hatten.

Wir haben die erwähnte Seite sofort über den Abuse-Prozess des Webhosters sperren lassen als wir von aufmerksamen Benutzern über die Aktion informiert wurden.

Wir haben den Verursacher bei uns sofort gesperrt und bereits alle Betroffenen per E-Mail informiert.

Jeder Bikemarkt-Benutzer sollte nicht auf Aufforderungen eingehen, Bikemarkt-Kommunikation außerhalb des Nachrichtensystems im Bikemarkt abzuwickeln. Die Gefahr von betrügerischen Aktionen ist dabei deutlich höher als bei der Kommunikation innerhalb des Bikemarkts. Das aktuelle Beispiel belegt dies sehr gut.

So sah die verschickte Email aus:
phishing

DDoS-Angriff auf MTB-News.de – Post Mortem

Am Abend des 16. Dezember 2014, gegen 19:50 Uhr MEZ wurde die Website bzw. der Server www.mtb-news.de mit einer DDoS-Attacke angegriffen, welche innerhalb kürzester Zeit zu einer Nichterreichbarkeit der Website führte. Im folgenden beschreiben wir den Ablauf des Angriffs sowie unsere ergriffenen Maßnahmen zur Abschwächung und zur zukünftigen Abwehr ähnlicher Attacken.

Was war passiert?

Am 16. Dezember gegen 19:50 Uhr MEZ wurde der Server hinter der Domain www.mtb-news.de mit einer DDoS-Attacke angegriffen. Um 19:51 Uhr meldete unser Monitoring per E-Mail, dass die Website http://www.mtb-news.de/ nicht erreichbar ist. Der erste Reflex bestand daran, die Seite zur Kontrolle im Browser zu öffnen. Da dies nicht funktionierte war der nächste Schritt ein Login per SSH auf dem Server. Auch dies schlug fehl.

Das war einer der Momente, in dem das Rätselraten losgeht. Die erste Vermutung war eine Störung im Rechenzentrum – da aber andere Server im gleichen Rack einwandfrei erreichbar waren, schied diese schnell Möglichkeit aus. Die nächste Möglichkeit war dann ein Hardwareschaden. Ein kaputtes Netzteil hatten wir schon hin und wieder gehabt und dann ist der Server einfach aus und zeigt die selben Symptome.

Rot: Bandbreite die durch den DDoS-Angriff verbraucht wird, Grün: normal verbrauchte Bandbreite (gestapelte Graphen)
Rot: Bandbreite die durch den DDoS-Angriff verbraucht wird, Grün: normal verbrauchte Bandbreite (gestapelte Graphen); am 17. Dezember ab 16 Uhr UTC sieht man, wie der Angriff beendet wurde und der rote Graph auf nahezu 0 fällt.

Bevor ich darüber weiter nachdenken konnte, kam eine Mail vom Hoster, dass wir Opfer einer DDoS-Attacke geworden sind.

Shit!

war meine erste Reaktion, wissend, dass man mit preiswert gemieteten Servern in der Regel einem ordentlichen DDoS-Angriff gegenübersteht wie das Lamm einem Rudel Wölfen.

Der Hoster handelte gemäß seiner eigenen Richtlinien und erdete kurz danach die Route zum betreffenden Server, so dass dieser nicht mehr aus dem Internet erreichbar war.

Erste Schritte

Da nun die Lage klar war, war es jetzt das oberste Ziel MTB-News wieder online zu bekommen. Da der Server fortlaufend und ununterbrochen attackiert wurde, war an eine Reaktivierung der Route zum Server erstmal nicht zu denken.

Es stellte sich nun außerdem noch heraus, dass wir einen klassischen Single Point of Failure in MTB-News.de eingebaut hatten, da eigentlich auch unbetroffene Seiten wie z. B. der Bikemarkt oder das Fotoalbum die auf anderen Servern laufen nur schwer erreichbar waren. Der Grund dafür war, dass die anderen Websites für die Benutzerauthentifizierung auf den abgeschalteten Server zugreifen mussten.

Wir lösten zuerst dieses Problem indem wir den Authentifizierungsdienst auf andere Server installierten und die betroffenen Anwendungen entsprechend umkonfigurierten. Dies funktionierte relativ schnell, so dass wir uns wieder dem eigentichen Problem zuwenden konnten.

Um www.mtb-news.de wieder erreichbar zu machen, kam uns erst die Idee, einen anderen Server als sogenannten Proxy einzusetzen und auf den über das Internet nicht erreichbaren Server über unser internes Netzwerk zuzugreifen. Das hätte vermutlich aber kurze Zeit später dazu geführt, dass auch der Proxy-Server Opfer des Angriffs geworden wäre.

Es musste echte Abhilfe her.

Wir bereiteten nun alles vor, um den DDoS-Traffic durch einen externen Dienstleister weit vor unseren Servern und auch weit vor dem Rechenzentrum ausfiltern zu lassen. Leider erfordert dies einige Maßnahmen, die nicht einfach durch ein “Schalter umlegen” zu machen sind, sondern einige Zeit benötigen.

Lösung des Problems

Das eigentliche Problem ist, dass jeder die IP-Adressen zu beliebigen Diensten im Internet sehr einfach über das DNS-System herausfinden kann. Zum Beispiel hatte www.mtb-news.de die IP-Adresse 85.10.203.55:

[[email protected]:~]
% dig +short www.mtb-news.de
85.10.203.55

Kennt man die IP-Adresse eines Server kann man diese solange mit Internetpaketen bombardieren, bis sie nicht mehr erreichbar ist.

Eine Lösungsmöglichkeit besteht also darin, die IP-Adresse der Server nicht mehr öffentlich im DNS verfügbar zu machen.

Ist die IP-Adresse aber nicht mehr öffentlich einsehbar, kann auch die Website nicht mehr direkt vom Webserver zum Browser ausgeliefert werden, sondern muss über einen sogenannten Proxy-Server weitergeleitet werden.

An dieser Stelle springen jetzt einige Dienstleister ein, die unter Anderem genau solche Proxy-Server als Dienstleistung anbieten. Dazu bieten diese die Möglichkeit seine DNS-Zone (also alle Einträge einer Domain im DNS-System) dort zu hosten. Der Dienstleister kennt dann die wahren IP-Adressen zu den einzelnen Websites, versucht man diese aber selbst aufzulösen erhält man nur IP-Adressen des Dienstleisters gezeigt:

[[email protected]:~]
% dig +short www.mtb-news.de
104.20.13.97
104.20.17.97
104.20.15.97
104.20.14.97
104.20.16.97

Damit haben wir nun die Server aus der direkten Schusslinie geschafft. Ein DDoS-Angriff auf die neuen IP-Adressen wird vom Dienstleister weggefiltert.

Herausgefilterte DDoS-Anfragen, mit Herkunftsländern
Herausgefilterte DDoS-Anfragen, mit Herkunftsländern – nach kurzer Zeit wurden schon knapp 200 Millionen Anfragen an die Webserver verworfen.

Diese Änderungen bedingen eine Aktualisierung der Nameserver-Einträge in der Domain sowie ein Ablaufen der zwischengespeicherten alten DNS-Einträge in den DNS-Resolvern die von unseren Besuchern genutzt werden. Dieser Prozess dauert üblicherweise einige Stunden und so konnten wir www.mtb-news.de erst und endlich am Morgen des 17. Dezember wieder online bringen.

Der zweite Angriff

Wenige Stunden nachdem wir wieder online waren kam nun der nächste Angriff, der erneut dazu führte, dass die Route zum Server vom Hoster genullt wurde. Diesmal war neben www.mtb-news.de auch bikemarkt.mtb-news.de betroffen.

Der Bikemarkt war noch direkt ohne den Umweg über den Proxy-Server erreichbar und dadurch ein einfaches Ziel. Uns blieb nichts anderes übrig, als auch die Bikemarkt-Server mit neuen IP-Adressen zu versehen und ebenfalls mit Proxies zu versehen.

Dass www.mtb-news.de erneut Angriffsziel wurde – obwohl die neuen IP-Adressen ja eigentlich nicht mehr sichtbar sein sollten, lag wohl daran, dass die neue IP-Adresse sich einfach nur im letzten Oktett um eins unterschied (sie lautete 85.10.203.56 statt 85.10.203.55) und sie zudem noch in der alten DNS-Zone gelistet war. Diese Zone war von vielen DNS-Servern noch nicht vergessen worden, so dass es ein leichtes war, die Adresse herauszufinden.

Nach einem Telefonat mit dem Hoster erhielten wir jetzt unkompliziert und innerhalb kürzester Zeit komplett andere Adressen aus ganz anderen Netzen für die betroffenen Server. An dieser Stelle möchten wir (mal wieder) erwähnen, wie schnell und unkompliziert man uns bei Hetzner Online weitergeholfen hat – so wünscht man sich den Service immer. Noch besser wäre es allerdings, wenn Hetzner selbst Filtermaßnahmen gegen DDoS-Angriffe auf ihr Netzwerk implementieren würde und die Kunden im Falle des Falles nicht einfach vom Internet abschaltet. Andere Hoster in ähnlicher Preisklasse machen das mittlerweile auch, z. B. OVH.

traffic
Nach und nach kam normaler Traffic zu den Servern durch und wir konnten wieder Seiten in gewohnter Geschwindigkeit ausliefern :-)

Kurze Zeit später waren alle Dienste wieder erreichbar und die Angriffe kamen danach tatsächlich nicht mehr durch.

Nach 20 Stunden: das Ende

20 Stunden nach Beginn der Angriffe, fast auf die Minute genau, war der Spuk dann endlich vorbei. In der Zwischenzeit wurden pro Sekunde eine fünfstellige Anzahl von Anfragen an die Server weggefiltert. Es prasselten teilweise bis zu 50 Millionen Anfragen pro Stunde auf einen einzelnen Server ein.

Ein derartiger Angriff war für uns auch Premiere – Anfang 2009 hatten wir schon einmal einen DDoS-Angriff, damals auf Rennrad-News.de. Dieser war aber so schnell vorbei wie er angefangen hatte und war schon nach einer Stunde vergessen. Der aktuelle Angriff war da von einem ganz anderen Kaliber – was die verbrauchte Bandbreite wie auch die Dauer betrifft.

Dass wir zufälliges Opfer geworden sind, können wir ausschließen – die zweite Angriffswelle belegt, dass wir gezielt angegriffen wurden. Wer und welche Motivation dahintersteckt ist uns nicht bekannt.

Die Geschichte hat aber durchaus auch gute Seiten gehabt: Erstens haben wir sehr viel dabei gelernt und zweitens werden statische Ressourcen wie Stylesheets, kleine Bilder, Javascript-Dateien usw. jetzt durch ein CDN ausgeliefert, was die Geschwindigkeit mit der unsere Seiten in eurem Browser geladen werden noch mal etwas verbessert hat.

2014-12-16 – DDoS-Attacke legt MTB-News.de lahm

Seit 2014-12-16, ca. 20:00 Uhr MEZ wird MTB-News.de von einer DDoS-Attacke angegriffen und ist nicht erreichbar.

Wir versuchen die Website so schnell wie möglich wieder online zu bekommen.

Update 2014-12-17 0:00 Uhr MEZ: Der Angriff hält weiterhin an. Wir haben einige Dinge angepasst, so dass zumindest ein Teil unseres Angebots abrufbar bleibt (www.mtb-news.de ist aber weiterhin nicht erreichbar).

Update 2014-12-17 6:00 Uhr MEZ: Der Angriff wird ununterbrochen fortgeführt. Wir haben gestern frühzeitig Maßnahmen in die Wege geleitet, die jetzt soweit sind, den Angriff in der Wirkung größtenteils merklich abzuschwächen. Forum und News sind soweit erst mal wieder erreichbar.

Update 2014-12-17 9:00 Uhr MEZ: Wir sind seit ca. 7:30 Uhr wieder größtenteils erreichbar, hier und da kann es aber noch einen Moment dauern, da noch nicht alle DNS-Server bei den Providern aktuelle DNS-Einträge bekommen haben.

Update 2014-12-17 13:00 MEZ: Kurz nachdem alles wieder angelaufen war, kam die nächste, umfangreichere Attacke. Diesmal war/ist auch der Bikemarkt betroffen. Forum und Newsbereich konnten wir zwischenzeitlich wieder ans Netz bringen, am Bikemarkt arbeiten wir noch.

Haltet durch!

Update 2014-12-17 16:00 Uhr MEZ: Mittlerweile läuft alles wieder relativ stabil. Der Angriff ist allerdings mitnichten vorbei, sondern hält noch immer unvermindert an. Er erreicht unsere Server aber momentan nicht mehr, da entsprechenden Pakete vorher schon herausgefiltert werden.

Update 2014-12-17 17:00 Uhr MEZ: Auf die Minute genau, 20 Stunden nach Beginn scheint die Attacke beendet worden zu sein, zumindest vorerst.

Ein ausführliches Post Mortem findest du hier.

Videos: Neuer Player mit tollen Funktionen

Nach der großen Umstellung im Magazin/News haben wir uns zuletzt auch mal wieder anderen Bereichen auf MTB-News.de zugewandt.

Wir haben im Videobereich einen neuen Player an den Start gebracht, welcher euch eine Menge Vorteile bietet.

Eingeloggte Benutzer und Gäste sehen jetzt nicht mehr zwei verschiedene Player – wir haben das vereinheitlicht, so dass es nur noch einen Videoplayer gibt. Der Player hat auch einen neuen Style bekommen – ebenfalls wird hier nicht mehr zwischen Gästen und eingeloggten Benutzern unterschieden.

Videoplayer: Qualität auswählen

Ein Highlight ist der eingebaute Umschalter zwischen verschiedenen Qualitätsstufen. Rechts neben der Zeitleiste am unteren Rand des Videos gibt es jetzt eine „HD“-Schaltfläche. Diese funktioniert wie folgt:

  • zwei vorhandene Videoqualitäten (SD und HD): Umschaltung zwischen den beiden Videos bei Klick auf die „HD“-Schaltfläche
  • drei vorhandene Videoqualitäten (SD, HD und FullHD): es erscheint ein kleines Menü, in dem die gewünschte Qualitätsstufe ausgewählt werden kann

Video-Player: Timeslider

Außerdem gibt es ab sofort die Möglichkeit ein kleines Vorschaubild zu einer beliebigen Stelle im Video zu sehen. Dazu reicht es, einfach mit dem Mauszeiger über die Zeitleiste am unteren Rand zu fahren – je nach aktueller Position der Maus wird dann eine Vorschau aus dem Video gezeigt. So findet man die interessanten Stellen im Video noch schneller wieder. Diese Funktion ist momentan nur für die aktuellsten Videos verfügbar, wird aber nach und nach für alle Videos aktiviert. Wir brauchen da einfach noch etwas Zeit die Vorschaubilder aller Videos zu berechnen. Hintergrundinfo: Für jedes Video müssen immerhin 80 kleine Vorschaubilder erstellt werden – das dauert einfach seine Zeit bei rund 30.000 Videos…

In diesem Beispielvideo kannst du den neuen Video-Player mit seinen Funktionen direkt ausprobieren:

Bayeride – Hard Season GoPro von TinglTanglTomMehr Mountainbike-Videos

Wir hoffen, dass euch der Player genau so viel Spaß macht wie uns!

Videos: Unterstützung für verschiedene Framerates

Bisher wurden die hochgeladenen Videos bei der Konvertierung auf 25 Frames pro Sekunde umgerechnet. Das ist seit heute nicht mehr zwingend so, da wir ab sofort verschiedene Framerates unterstützen. Sollte ein Video eine der folgenden Framerates besitzen, so wird diese bei der Konvertierung auch beibehalten:

  • 5 fps
  • 10 fps
  • 12 fps
  • 15 fps
  • 23,976 fps
  • 24 fps
  • 25 fps
  • 29,97 fps

Gerade Videos mit 29,97 fps profitieren davon, da sie jetzt deutlich flüssiger abgespielt werden können.

Alle Videos, die eine nicht aufgeführte Framerate besitzen werden weiterhin auf 25 fps konvertiert.