Incident grave sur l’infrastructure le 22.11.2016

Bonjour à toutes et à tous,
comme vous l’avez très probablement constaté hier après-midi (mardi 22 novembre 2016), nous avons rencontré un grave incident sur la plate-forme matérielle de Paris.

Cet incident a engendré une coupure immédiate de presque tous les serveurs physiques sur le site de Paris et donc de tous les serveurs virtuels impactant ainsi tous les services délivrés par Web4all.

N’ont pas été impactés les serveurs situés à Roubaix et en Ariège assurant la redondance des DNS et rétention des emails ainsi que les serveurs assurant des rôles de stockage de données ou de sauvegardes.

Il est assez compliqué d’expliquer sans rentrer dans des détails techniques. Pour résumer nous devions, sur notre système de gestion d’infrastructure de virtualisation, effectuer une modification. Cette modification impacte la gestion des serveurs physiques et a déjà été effectué près d’une dizaine de fois depuis ces trois dernières années sans jamais le moindre souci.

Alors que tout se déroulait correctement (95 % des modifications poussées sur les serveurs), la dernière étape à provoqué une erreur. Mais pas un petit message d’erreur comme cela aurait dû / pu être le cas, l’ensemble des serveurs ont complètement et immédiatement « plantés ».

Nous avons donc relancé tous nos serveurs physiques. La plupart des serveurs virtuels et services ont commencés à redevenir opérationnels.

Cela a duré un peu plus d’une heure avant que l’infrastructure ne retombe à nouveau.

Nous avons alors dû déployer un serveur de gestion indépendant nous permettant de repousser une autre configuration sur les serveurs puis nous avons pu relancer tous les serveurs virtuels et les services.  Dans la mesure où tous les serveurs ont été arrêtés subitement (un peu comme si ils avaient eu une coupure d’alimentation électrique) nous avons eu pas mal de services en erreur de redémarrage à corriger afin que tout cela devienne opérationnel pour vous et vos utilisateurs.

Voici la chronologie des faits (heure de Paris) : 

  • 11H42 : début de l’intervention ;
  • 12H16 : coupure de tous les serveurs physiques ;
  • 12H55 : services opérationnels à 70% ;
  • 14H23 : nouvelle coupure complète des services ;
  • 14H57 : services opérationnels à 80% ;
  • 17H01 : services opérationnels à 90% ;
  • 17H59 : fin de l’incident, 100% des services opérationnels.

La coupure réelle et complète des services est d’environ 1H10.

L’ensemble de la coupure (incluant des services fonctionnant mal) est de 3H15.

Nous avons mis en place un serveur de virtualisation et les outils de gestion, indépendant de l’infrastructure de production pour reproduire le problème… ce que nous parvenons à faire dans 100 % des essais depuis hier soir. Sans trop nous avancer, cela laisse penser à un bug sur le système de virtualisation.

Nous sommes vraiment désolé pour cet incident et vous prions de nous excuser pour cette gêne en espérant que cela ne vous ait pas été trop préjudiciable.

Nous avions prévu en début de semaine de faire un petit article pour revenir sur la soirée de vendredi 18 où nous avons pu célébrer les 10 ans de Web4all mais vous comprendrez que cela est quelques peu repoussé, nous essayons de faire un article pour la fin de la semaine.

N’hésitez pas à suivre nos comptes Twitter, Facebook et la page Travaux dans ces là :

  • https://twitter.com/web4all_fr
  • https://www.facebook.com/Web4all.fr/
  • https://travaux.web4all.fr

Aurélien PONCINI


Pour ceux qui veulent un peu plus d’informations techniques, la modification impactait des switchs virtuels distribués sur nos serveurs ESXi. Nous avons rencontré l’erreur sur le DVs utilisant du LACP alors que les autres DVs ne posaient pas de souci.

Nous avons refait plus de 10 fois la modification depuis hier et à chaque fois nous rencontrons l’erreur sur le DVs utilisant du LACP. Cette intervention a déjà été réalisé à de nombreuses reprises sans jamais provoquer une telle erreur.

Dans tous les cas, comme hier, les serveurs affichent instantanément un PSOD (équivalement du BSOD de Windows).

Nous continuons nos tests et investigations…

Site Hacked By …

hacked_by

Qui ne s’est pas déjà réveillé un matin avec la mauvaise surprise de voir son site internet remplacé par une nouvelle page, avec cette fameuse phrase qui pique les yeux : Hacked By xxxx

Malheureusement, beaucoup trop de personnes vivent cette frustration liée principalement à l’incompréhension totale d’avoir été choisi pour cible !

Cet espèce de sentiment que l’on ne sait décrire mais qui énerve au plus profond de soi et qui fait surgir tout un tas de questions. Pourquoi moi ? Comment est-ce possible ? Ai-je une sauvegarde? Mon site est-il toujours fonctionnel malgré cette page horrible souvent accompagnée d’une musique totalement insolite…  Après ces interrogations, vient généralement la question : Comment gérer cette situation ?

La réponse à cette question est largement dépendante des compétences techniques liées à l’administration d’un site internet. Car, oui, administrer un site internet, c’est aussi être en mesure de gérer ces situations délicates.

Chez Web4all, au support, nous avons régulièrement des tickets liés à un site qui s’est fait pirater. Le piratage d’un site internet se manifeste généralement de trois façons différentes (voir cumulées) :
(suite…)

En route pour… le BGP / Changement de datacenter

PetitNuage en visite chez NeoTelecoms

Bonjour à toutes et à tous. Une importante opération de maintenance est programmée fin juin, dans la nuit du 28 au 29 et aura un impact sur la disponibilité des services.

De plus les adresses IP de Web4all vont toutes être modifiées au cours de cette nuit. Nous vous invitons donc à lire les explications qui suivent.

Si vous ne souhaitez pas tout lire, rendez-vous sur la partie la plus importante : Avant le déménagement ainsi que la suite : Le déménagement… Au sujet de la coupure : impact

 

 

 

Historique du projet Housing et BGP de 2013 à aujourd’hui

Le 07 avril 2013, Web4all lançait son projet En-route-pour-le-housing et faisait appel à la générosité de ses adhérents, clients, visiteurs pour acquérir une trésorerie permettant d’effectuer la migration avec ses mois de locations en doubles. En quelques jours seulement, l’objectif des 7777 € était atteint et même dépassé ! http://blog.web4all.fr/en-route-pour-le-housing-objectif-atteint/ Encore un grand merci à vous toutes et tous !

Quelques semaines après, le 9 juin 2013, nous réalisions notre premier ping et pouvions avancer sur la migration http://blog.web4all.fr/en-route-pour-le-housing-ca-ping/

L’été fut chaotique en raison de problème de BIOS sur les serveurs de virtualisation. Le problème fut corrigé début août après prêt de 4 semaines de dures journées et nuits de recherches.

Le 25 février 2014 à 11H28 nous recevions ce fabuleux mail de la part du RIPE :

We are pleased to welcome Association WEB4ALL as a Local Internet Registry (LIR) and member of the RIPE NCC.

Web4all obtenait alors le statut de LIR : https://apps.db.ripe.net/search/query.html?searchtext=ORG-AW16-RIPE#resultsAnchor

Le 26 février à 13H16 nous recevions une allocation d’adresses IPv6 :

We have allocated the following prefix of IPv6 address space to your registry fr.web4all: 2a01:9de0::/32

Toujours le 26 février, 13H19, allocation d’adresses IPv4… issu du dernier /8 disponible auprès du RIPE NCC :

We have allocated the following prefix of IPv4 address space to your registry fr.web4all (you will receive the assignment approval shortly): 185.49.20.0/22

Et pour finir, le 27 février à 12H32…… Web4all se voyait attribuer son AS !

The RIPE NCC has today assigned the following Autonomous System Number AS199712 to Association WEB4ALL

Nous allons y revenir dans la suite de cet article mais vous pouvez aussi trouver pas mal d’informations sur un de nos articles précédents : http://blog.web4all.fr/zimbra-attaques-projets-2014-et-salon-solution-linux/#bgp

Avril 2014, nous ajoutions deux serveurs de virtualisation portant à 6 le nombre d’hyperviseur (soit 1.5 To de RAM).

Mai 2014 : Web4all souscrit à une offre Anti-DDOS Arbor Networks, nous vous en parlions là : http://blog.web4all.fr/zimbra-attaques-projets-2014-et-salon-solution-linux/#ddos

Fin juin 2014 : mise en place des nouveaux firewalls, des routeurs BGP, déménagement dans la nouvelle baie, changement des adresses IP

Et nous devrions au cours de l’été 2014 recevoir trois serveurs de virtualisation ainsi qu’une unité de stockage (SAN).

Pourquoi un déménagement / migration

En 2013 Web4all a fait le choix d’une baie d’hébergement avec 46U disponible et 3kVA de capacité électrique. Nous avions alors cela :

  • 2 firewalls
  • 2 switchs 48 ports
  • 2 switchs 24 ports pour l’iSCSI
  • 4 serveurs de virtualisation
  • 1 serveur de backup
  • 1 baie de stockage (DAS)
  • 2 serveurs reliés au DAS pour publier les fichiers des hébergements
  • 1 SAN

Bref, ca donnait ça :

baie_sans_legende2013

 

Avec cela, on avait un peu de marge…

Le soucis, c’est que comme nous venons de le dire, nous avons depuis ajouté deux serveurs de virtualisation et même une baie Equallogic que Web4all s’est faite offrir en début d’année (d’occasion). Bien souvent la limitation dans une baie de serveurs est atteinte non pas la capacité à déposer des équipements… mais plutôt pas la capacité d’alimentation électrique.

Bref, ca donnait ça :

baie_sans_legende2013vs2014

 

A l’heure actuelle, nous dépassons quasiment en permanence cette capacité électrique de 3kVA. Bien que cela ne soit pas gênant en temps normal (nous pouvons monter à 3kVA sur chaque bandeau et nous en avons deux) cela serait une terrible erreur. En cas de perte d’une des arrivées électrique nous perdrions toute redondance car la seule arrivée qui serait encore active serait en limite.

Il s’agit là d’un problème dont nous avions pleinement conscience et nous n’avons pas attendu le mois de mai pour prévoir une issue de secours… Dès le mois de février nous étions en discussion avec notre commerciale de Neo Telecoms pour envisager de changer de baie (notre baie ne permettant pas de monter au-delà des 3kVA).

Après avoir étudié les différents avantages et inconvénients dans les différents datacenter où Neo Telecoms est présent et les différentes capacités électriques disponibles, nous avons optés pour le dernier datacenter Neo Telecoms, inauguré en septembre 2013 en plein cœur de Paris ! Une petite présentation ? 

Nous serons sur une baie de type haute-densité avec une capacité de 5kVA et la possibilité de monter à 7kVA si cela est nécessaire sans déménager à nouveau.

Et donc au final… voilà à quoi va ressembler la baie une fois déménagée et le matériel en cours de commande :

baie_sans_legende2013vs2014vs2014v2

 

Le but de cette opération est donc triple :

  • Mettre en place notre matériel dans une nouvelle baie afin de pouvoir accueillir encore plus de matériel ;
  • Avoir un seul interlocuteur pour le datacenter et réseau. Actuellement nous ne travaillons qu’avec Neo Telecoms mais le datacenter appartient à Equinix. Là nous n’aurons que Neo Telecoms comme interlocuteur ;
  • Mettre en place notre nouveau matériel réseau qui va nous permettre de diffuser notre AS et nos IP.

AS, IP… Késako ?

Le but de cet article n’est pas de détailler les points techniques, si vous souhaitez des informations vous trouverez cela sur mon précédent article : http://blog.web4all.fr/zimbra-attaques-projets-2014-et-salon-solution-linux/#bgp

On pourrait dire que désormais Web4all sera une (toute) petite partie d’Internet. Nous serons identifié en tant que Web4all et non plus Neo Telecoms (et avant 2013 nous sortions en OVH).

Avec la pénurie d’adresses IPv4 les adresses IP coutent chères et sont limités. Chez Neo Telecoms nous n’en avons que 64. Chez OVH 254 mais à plus d’un euros par IP et par mois… cela fait vite un sacré budget.

En devenant LIR, avec notre AS et nos IP nous allons disposer de 1024 adresses IP sans coût direct. Il y a en revanche des coûts indirect : l’infrastructure BGP notamment mais nous ne faisons pas tout cela que pour les IP.

Avant le déménagement

Vous n’avez rien à faire. La préparation est effectuée par Web4all. Manquant de connaissance dans le domaine du routage BGP, Web4all a fait appel à une société dont c’est le métier : un opérateur. Il s’agit de la société INEONET qui nous avait déjà aidé dans le projet en 2013 : http://www.ineonet.com

Un ingénieur d’INEONET travaille déjà avec nous depuis plusieurs semaines (mois, même…) pour préparer tout cela. Il a déjà configuré la partie routage dans leurs ateliers ainsi que les nouveaux firewalls puisque nous remplaçons nos pare-feu par des modèles plus puissants.

Cet ingénieur va monter sur Paris la semaine prochaine afin de mettre en place le matériel avec nous et valider le bon fonctionnement. Si tout est bon, alors nous pourrons passer à l’étape suivante.

Le déménagement… Au sujet de la coupure : impact

Autant ne pas perdre de temps et dire les choses rapidement : il y aura une coupure de service de 02H30 à 05H30 dans la nuit du samedi 28 juin au dimanche 29 juin.

Dans la nouvelle baie, nous aurons déjà les équipements réseaux en place (routeurs et firewalls).

  • Il nous faudra alors démonter de l’ancienne baie tous les serveurs, les baies de stockages, les swicths. Cela prendra environ 45 minutes ;
  • Ensuite nous allons charger le matériel dans nos véhicules et devoir faire la route de Saint-Denis à Paris 2. N’ayant pas d’avertisseur lumineux ou sonore, nous comptons environ 20 minutes de trajet ;
  • Nous déchargerons le matériel et le mettrons en place dans la nouvelle baie. Il faut compter 1H00 ;
  • Nous relançons le tout et effectuons des tests… comptez 30 minutes.

Nous arrivons donc à 2H35 soit 3H00 en laissant une petite marge. Mais il est fort probable si tout se passe correctement que nous parvenions à effectuer les opérations en moins de temps.

Web4all n’est pas en mesure d’avoir une infrastructure doublée pour effectuer une migration sans coupure. Bien que cela ait été étudié, le coût était de plus de 20000 € de matériel à acheter.

Durant ce temps là…

  • Les sites ne seront plus accessibles ;
  • Le webmail et les mails en POP / IMAP ne seront plus accessibles ;
  • Les mails seront TOUJOURS réceptionnés par un serveur dédié à cela chez ONLINE. Aucune perte de mail à prévoir. Il s’agit du fonctionnement habituel des MTA, donc c’est déjà en place ;
  • Les zones DNS seront toujours publiés chez ONLINE et OVH. Aucun impact donc ;
  • quelques personnes avec des polos Web4all courront dans Equinix PA2 et Paris… si vous êtes dehors cette nuit là ne prenez pas peur…

Et après le déménagement / la coupure ?

Web4all devra modifier les zones DNS afin de faire pointer sur les bonnes adresses IP.

  • Si vos zones DNS sont gérées par Web4all (ce qui est le choix par défaut pour vos domaines) alors vous n’aurez rien à faire ;
  • Si vos zones DNS ne sont pas gérées par Web4all alors vous serez contacté sous peu pour gérer cette modification ;
  • Si vous ne savez pas, alors dites-vous que si vous ne recevez pas de mails de notre part d’ici la migration c’est que vous n’avez rien à gérer.

Sachez que Web4all fera en sorte que les flux de l’ancien datacenter soient redirigés sur le nouveau durant quelques jours, la modification des IP dans les zones DNS ne sera donc pas urgente pour les clients gérants leurs zones. Nous vous contacterons dans les jours qui viennent.

Voilà je pense avoir fais le tour. Nous contacterons les clients qui ont des modifications à effectuer d’ici la migration. Pour les autres vous n’avez rien à gérer, Web4all s’en charge.

Une fois tout cela terminé, Web4all travaillera avec ses adresses IP qui ne seront donc plus liés à un fournisseur ni à un emplacement géographique. Nous ne devrions plus avoir de problématique de modification d’adresse IP dans le futur !

En vous remerciant de votre compréhension.

Note : le patch Zimbra devrait sortir dans les jours qui viennent selon l’éditeur Zimbra.

Zimbra / Attaques / Projets 2014 et salon Solution Linux !

Plaquettes Web4all

Les jours qui viennent de s’écouler furent intenses. Tant pour l’équipe de Web4all que pour vous, utilisateurs de notre plate-forme. Comme vous avez pu le constater nous avons du faire face (et c’est d’ailleurs toujours le cas) à deux problèmes majeurs vous impactant directement : la mise à jour Zimbra qui comporte un bug rendant très lente l’ouverture du webmail –voir quasi impossible pour de rares utilisateurs– et des attaques à répétitions ces deux dernières semaines et principalement ce dernier week-end et début de semaine, attaques qui sont qualifiés de DDoS, nous y reviendrons pas la suite mais rassurez vous aucune intrusion sur l’architecture n’a été détecté et donc aucun piratage de données ne semble lié à ces attaques qui avaient pour unique but de mettre sur les genoux notre infrastructure.

Concernant l’équipe Web4all ce ne sont pas que les derniers jours qui furent intense mais les dernières semaines. Car, comme l’an dernier à cette époque de l’année, nous avons de nombreux projets en cours qui sont très prenant en temps : acquisition de nouveau matériel stockage et serveurs, passage en LIR auprès du RIPE, acquisition de matériel réseau dit « BGP« , fabrication d’objets de communication, déménagement de datacenter en vue et l’organisation du salon Solution Linux au CNIT à la Défense les 20 et 21 mai où Web4all aura, pour la première fois, un stand pour vous accueillir ! Face aux récents problèmes et aux différents projets, nous nous devions de communiquer auprès de vous tous, certains utilisateurs ont d’ailleurs exprimés cette attente sur les réseaux sociaux et forums, mais cela était prévu, nous souhaitions juste vous apporter des réponses concrètes sur certains points et pour cela il fallait que certains dossiers aient avancés. Et par soucis de transparence, nous avons décidé de rendre cette communication publique sur notre blog, communication unique pour tous ces points afin de ne pas importuner nos clients avec le mails de notification pour chaque article important.

Je n’aborde pas la faille Heartbleed, sachez que même si nous n’avons pas eu le temps de communiquer là dessus, Web4all a corrigé tous les serveurs le jour même où la faille a été rendu publique et les certificats SSL de Web4all ont tous été régénérés.

Autre sujet qui prends du temps ces dernières semaines, l’externalisation de la comptabilité. Les discussions sont en cours et pour rester dans un esprit associatif, nous avons pris attache avec un cabinet associatif, le CER France.

Je pense que cela sera déjà pas mal en terme d’informations, je vous laisse donc lire le détail de tout cela. Bien que certains titres puissent contenir des termes techniques, je vais essayer d’être le plus compréhensible possible afin que tout le monde puisse prendre un minimum de plaisir à lire cet article. Si jamais une partie venait à être un peu trop complexe, je ne doute pas que vous demanderez des informations.  Je vous invite si vous avez des commentaires à les faire ici-même ou mieux encore (ouvre plus facilement à des réponses si cela est attendu) sur nos forums à cette adresse : http://forums.web4all.fr/topic/9434-blog-zimbra-attaques-projets-2014-et-salon-solution-linux/

Et n’oubliez pas que vos critiques nous permettent d’avancer, qu’elles soient bonnes ou mauvaises 😉

Mise à jour Zimbra provoquant de fortes perturbations sur l’utilisation de la messagerie


Dans la nuit du 26 au 27 avril nous avons procédé à une mise à jour de la suite logicielle Zimbra, solution utilisée pour vous fournir un service de messagerie électronique (Emails) dans le cadre des hébergements mutualisés. Cette tâche avait été annoncée sur la plate forme « Web4all Travaux » : http://travaux.web4all.fr/task/258

Comme de nombreux utilisateurs vous avez du constater que cette mise à jour à pour effet de ralentir énormément l’ouverture du webmail et pour certains utilisateurs –très peu– il est quasiment impossible d’utiliser le webmail correctement. Il s’agit là d’un problème que nous prenons très au sérieux, nous sommes nous mêmes utilisateurs de cette plate forme de messagerie à titre personnel, professionnel pour certains de l’équipe et bien entendu, dans le cadre de Web4all il s’agit là de notre principal outil de travail.

De nombreuses questions nous ont été posées au sujet de cette mise à jour : « Pourquoi ne pas avoir testé la mise à jour ? », « Pourquoi ne pas avoir attendu qu’elle soit fiable ? », « Pourquoi ne pas faire un retour arrière ? »… Je vais donc vous apporter quelques réponses qui même s’ils ne rendront pas la messagerie fonctionnelle tout de suite pour autant, vous permettrons, je l’espère de comprendre « le pourquoi du comment ».

La mise à jour a été testé sur deux serveurs Zimbra par les personnes de Web4all. Nous avons validé le fonctionnement et aucun problème ne s’est présenté que ce soit dans le cas d’une nouvelle installation ou d’une mise à jour. Nous avons donc pris toutes les précautions mais un test reste un test et tous les paramètres d’un environnement de production ne sont jamais réunis à commencer par la charge lié aux utilisateurs et les actions des utilisateurs qui sont très variées et impossible à reproduire en intégralité.

La mise à jour en question ne datait pas de la veille. Web4all a attendu près de un mois avant de déployer cette mise à jour qui était minime (pas de gros changement), des corrections de bugs principalement, bugs qui impactaient certains d’entre vous sur les affichages et impressions d’emails. Cette mise à jour était donc nécessaire pour certains utilisateurs, il y avait une réelle plus-value. Web4all a consulté les forums de la communauté Zimbra francophone et anglophone comme nous le faisons à chaque fois afin de voir si certains utilisateurs remontaient des dysfonctionnement : personne ne s’en plaignait.

L’infrastructure Zimbra chez Web4all est complexe, composée de nombreux serveurs avec des rôles bien définit. La mise à jour modifie les données du LDAP, des bases MySQL et d’autres paramètres. Un retour arrière est impossible à notre connaissance. De plus le problème ayant été constaté plusieurs heures après, un rollback complet aurait été plus grave puisque les données traités durant ce laps de temps auraient été perdues.

A titre d’information, pour ceux qui connaissent un petit peu Zimbra, notre infrastructure actuelle est composée ainsi :

  • 1 serveur LDAP Master contenant l’intégralité des données de provissionning (comptes, listes de distributions, alias, domaines…) ayant également un rôle de STORE pour les requêtes API venant du manager IWAL ;
  • 5 serveurs MTA et répliquas LDAP pour la réception et l’envoi des emails, et pour soulager le LDAP master ;
  • 9 serveurs STORE pour le stockage des boites mails ;
  • 2 serveurs PROXY pour avoir un point d’accès unifié quelque soit le STORE où est positionné la boite email de l’utilisateur ;
  • 2 serveurs HA-PROXY (non Zimbra) pour répartir la charge entre les PROXY et gérer les indisponibilités éventuelles ;
  • 2 serveurs APACHE (non Zimbra) pour la gestion du ActiveSync (Push pour smartphones, tablettes…) ;
  • 1 serveur MYSQL (non Zimbra) pour le provissionning Push.

Mais revenons en au problème qui vous (et nous) impacte. Une fois le problème constaté nous avons d’abord cherché de notre côté si nous n’avions pas un problème avant d’alerter la communauté Zimbra. Une fois tout vérifié et validé de notre côté nous avons demandé à la communauté Zimbra francophone si des problèmes similaires avaient été constatés par des membres. Personne ne semble avoir rencontré ce problème.

Nous nous sommes alors tourné vers les forums anglophones et là encore personne ne semblait rencontrer de problème similaire.

Le 27 avril soit le soir même de la mise à jour (difficile d’être plus réactif) Benoit GEORGELIN (Expert Infrastructure chez Web4all) a ouvert un bug sur l’interface Zimbra dédiée à cet effet. Vous pouvez d’ailleurs en prendre connaissance ici : https://bugzilla.zimbra.com/show_bug.cgi?id=89504

A l’heure actuelle nous ne pouvons malheureusement qu’attendre que les équipes de Zimbra sortent un fix pour ce bug (un correctif). Les équipes Zimbra ont bien reconnu qu’ils s’agissaient d’un bug et le Bugzilla mentionne d’ailleurs qu’à ce jour nous ne sommes plus les seuls à avoir remonté ce gros problème.

Pour finir sur ce point critique, des utilisateurs nous ont demandés pourquoi nous ne passions par en version payante de Zimbra et inclure cela dans nos offres afin de bénéficier d’un support Zimbra. Il faut savoir qu’à ce jour la version payante semble être impacté de la même manière, cela ne change donc rien. De plus, le coût de la version payante en licence est d’un peu de moins de 2€ HT par mois par utilisateur. Faites le calcul sur un hébergement Start et vous pouvez multiplier le prix de l’hébergement par 20 ce qui est impossible, soyons réaliste.

Web4all prend ce problème très au sérieux, nous avons pleinement conscience de l’impact pour vous mais nous ne pouvons malheureusement rien faire à part attendre que Zimbra corrige cela. Et le statut associatif ne change rien à cela, nous serions une société il en serait exactement de même.

Attaques DDoS récurrentes début mai 2014 et mesures prises


Comme vous l’avez surement constaté ou lu sur les réseaux sociaux (où je vous invite à nous suivre Facebook / Twitter / Google+ ) ces derniers jours, Web4all a été la cible d’attaques dites DDoS (Attaque par déni de service). Ces attaques ont pour but de mettre sur les genoux l’infrastructure en la bombardant de requêtes… une fois à saturation le trafic légitime ne peut plus être traité et l’infrastructure ne répond plus.

La définition de Wikipédia est simple à comprendre :

Une attaque par déni de service (denial of service attack, d’où l’abréviation DoS) est une attaque informatique ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser. Il peut s’agir de :

  • l’inondation d’un réseau afin d’empêcher son fonctionnement ;

  • la perturbation des connexions entre deux machines, empêchant l’accès à un service particulier ;

  • l’obstruction d’accès à un service à une personne en particulier.

L’attaque par déni de service peut ainsi bloquer un serveur de fichiers, rendre impossible l’accès à un serveur web ou empêcher la distribution de courriel dans une entreprise.

L’attaquant cracker n’a pas forcément besoin de matériel sophistiqué. Ainsi, certaines attaques DOS peuvent être exécutées avec des ressources limitées contre un réseau beaucoup plus grand et moderne. On appelle parfois ce type d’attaque « attaque asymétrique » (en raison de la différence de ressources entre les protagonistes). Un cracker avec un ordinateur obsolète et un modem lent peut ainsi neutraliser des machines ou des réseaux beaucoup plus importants.

Le premier point qu’il faut prendre en compte c’est que Web4all n’est pas visé en particulier. En temps normal il peut s’agir du site d’un client et pas forcément de l’entité Web4all. De plus, de nombreux articles relatent un pic historique d’attaques DDoS ces derniers jours avec notamment dans les pays ciblés… la France 🙁 Web4all n’échappent donc pas à cela.

Malheureusement face à une attaque DDoS il n’y a pas grand chose à faire à part attendre que l’assaillant cesse. Ces dernières années ce type d’attaques s’étant considérablement répandues, les constructeurs d’équipements réseaux ont pris des mesures pour proposer des solutions afin de stopper l’impact (ou le limiter dans le cas de très grosses attaques).

Web4all a donc pris des mesures sans attendre. Dès dimanche matin (le 11 mai) nous étions en contacts avec nos fournisseurs en équipements réseaux (INEONET, opérateur et expert en Infrastructures et sécurité réseaux) et NeoTelecoms, notre fournisseur de transit Internet. Et oui chez Web4all on est sympa on fais bosser nos fournisseurs n’importe quand mais c’est aussi pour cela que nous les avons choisit car il y a un vrai accompagnement de leur part.

Vu qu’il s’agit de dossiers à plusieurs milliers d’euros, même dans l’urgence, il n’est pas possible de prendre des décisions à la va-vite. Nous avons donc étudié avec ces deux fournisseurs les actions que nous pouvions entreprendre et dans quels délais.

Du côté d’INEONET nous avons pu définir que les firewalls que nous avons ne sont plus suffisamment dimensionnés pour notre infrastructure. Nous avons donc étudié la gamme de firewall qui nous est accessible (l’aspect budgétaire est à prendre en compte, certains firewalls coûtants plusieurs dizaines de milliers d’euros, à multiplier par deux pour assurer une redondance). Nous avons pu dégager plusieurs modèles nous correspondant et nous arrêter sur un modèle qui devrait nous être livré d’ici quelques jours.

Du côté de NeoTelecoms, des mesures de protection ont été mise en place dans l’urgence afin de nous aider en attendant de trouver des solutions. Merci à NeoTelecoms de nous sauver un peu InExtremis ! Nous avons donc souscrit chez NeoTelecoms aujourd’hui l’offre IpDefender reposant sur des boitiers Arbor Networks qui assure une protection contre les attaques de types DDoS. Là aussi le coût n’est pas négligeable, on parle en milliers d’euros par an. Si vous souhaitez en savoir plus sur l’offre de protection DDoS vous trouverez les informations ici : http://www.neotelecoms.com/fr/ip-defender/caracteristiques-detaillees

Le système, n’est pas encore complètement en place, Benoit GEORGELIN et moi-même (Aurélien PONCINI) devons assister à une formation pour prendre l’outil en main puis procéder à la configuration en fonction de notre infrastructure. Il se peut donc que nous connaissions encore quelques dysfonctionnements dans les jours à venir si nous sommes à nouveau la cible d’attaque.

ipdefender

Acquisition de nouveaux matériels de types stockages et serveurs


Nous y reviendrons d’ici deux ou trois mois, mais depuis quelques semaines nous travaillons sur l’évolution de l’infrastructure matérielle. Comme vous l’avez peut-être lu sur les réseaux sociaux (sur lesquels je vous invite -à nouveau- à nous suivre 🙂  Facebook / Twitter / Google+ ) nous avons début avril mis en place deux nouveaux serveurs de virtualisation, apportant 512 GB de RAM et du CPU ce qui s’est clairement ressenti sur la navigation de vos sites.

Mais cela n’était qu’un petit peu de souffle neuf, nous travaillions sur l’acquisition de matériel avant la mise en place des serveurs mais ces dossiers sont long à gérer de part notre statut associatif 🙁 Il est donc prévu si tout va bien que nous rajoutions d’ici quelques semaines une unité de stockage haute performance d’un peu plus de 10To (en RAID10 10k) ainsi que trois serveurs de virtualisation dotés des tout derniers CPU Intel Xeon-V2 dans leur modèle les plus puissants.

A titre d’information le budget pour les serveurs et la baie de stockage est de 40.000 €

Affaire à suivre 🙂

Voici les serveurs de virtualisation, il y en a un en plus qui est temporaire et n’est pas sur la photo :
hyperviseur

Acquisition de nouveaux matériels de types réseaux BGP


Je ne vais pas recommencer le paragraphe comme le précédent mais là aussi sur les réseaux sociaux vous auriez pu lire que… ok j’arrête avec les réseaux sociaux 😉 Courant février 2014 Web4all a procédé, non sans mal, à son inscription auprès du RIPE, organisme « en charge de la gestion d’internet en Europe« , vous trouverez une explication sur Wikipédia là aussi 😉

Ainsi Web4all :

Nous sommes donc là aussi sur un gros projet puisque cela nécessite d’acquérir des routeurs BGP, de se former sur ces technologies nouvelles pour nous et de préparer une mise en place sans aucune coupure de service. Encore une fois, il faut bien prendre en compte qu’entre les frais d’inscriptions au RIPE et les acquisitions de routeurs BGP nous sommes sur un budget de plusieurs milliers d’euros annuel.

Quelques sites qui parlent très bien de tout cela :

Là aussi, affaire à suivre dans quelques semaines.

Fabrication des objets de communication


Sur les réseaux sociaux… ok j’arrête ! N’empêche que vous auriez pu y voir… nos objets de communication que nous avons fait fabriquer pour le salon. Pour le moment nous ne les avons pas encore tous reçus mais les premiers sont arrivés :

  • Tours de cous ;
  • Plaquettes ;
  • Kakémono ;
  • et nous attendons encore : stylos, tapis de souris, polos, chemises, mugs, nuages anti-stress (on en aura bien besoin !), cartes de visites…

Ces objets vous attendrons sur notre stand (voir ci-dessous) et très prochainement sur une boutique Goodies que nous allons mettre en ligne !

La création artistique a été réalisé par de jeunes talents Toulousain, AGITEO, n’hésitez pas à faire appel à eux si vous cherchez des personnes compétentes, dynamiques, sérieuses et débordantes d’idées ! Autre chose ? Ils sont rapide !

Retrouvez Agiteo sur leur site et sur Facebook ainsi que Twitter !

Agiteo_kakemono
Agiteo_plaquette
Agiteo_plaquette2
Agiteo_tour_cou

 

Salon Solution Linux au CNIT de la Défense les 20 et 21 mai 2014


Web4all sera pour la première fois depuis sa création, présent sur un salon. Et pas n’importe lequel puisqu’il s’agit DU salon Solution Linux qui se tient au CNIT à La Défense (92).

Nous serons présent deux jours et serons très heureux de vous accueillir sur notre stand pour vous offrir quelques cadeaux, un café, faire connaissance dans le monde réel ! Alors n’attendez plus et passez nous voir sur le stand D1 !

L’entrée y est gratuite, il suffit de demander votre badge ici : http://www.solutionslinux.fr/preinscription.html

Linux_FR

Web4all soutient l’ISAT Eco Rallye


Il y a quelques semaines, nous avons été contactés par des étudiants de l’ISAT (Institut Supérieur de l’Automobile et des Transports) qui portent un projet audacieux. Plutôt que de le décrire, je vous met ce qui est indiqué sur leur site, bien entendu hébergé chez Web4all :

 Le projet ISAT ECO RALLYE est un nouveau projet pédagogique à l’ISAT, Institut Supérieur de l’Automobile et des Transports. Il a pour but la création d’un véhicule de rallye écologique afin de courir lors du rallye de Monte-Carlo des énergies nouvelles, la version écologique du mythique rallye. Nous participerons également au Mondial de l’Automobile 2014 à Paris.

 Cette compétition spécialisée est l’occasion de mettre en valeur les innovations et l’écologie. Le but n’est pas seulement d’être le plus rapide, mais surtout le plus respectueux de l’environnement.

 Nous souhaitons participer à cette compétition afin d’approfondir nos connaissances sur les voitures de compétition moins polluantes. Notre but est de créer totalement un véhicule avec les technologies de demain afin de participer à cette compétition. Les maîtres-mots de ce projet sont l’écologie, l’innovation et la compétition.

Nous avons tout de suite aimé le concept, parce que certains d’entre nous aiment l’automobile (quoi, moi ?) mais surtout car l’automobile est un secteur d’activité indispensable à l’économie française et que la majorité des gens ont besoins d’une automobile. C’est un domaine qui vit une véritable révolution depuis des années sur la partie sécurité, habitable, assistance… et beaucoup de domaines mais qui reste encore très lié à l’énergie fossile. Aussi, le concept d’allier performances et énergies nouvelles nous a tout de suite plu et aussi car chez Web4all nous aimons les défis et sommes persuadé que l’équipe de l’ISAT Eco Rallye saura relever ce défi ! Nous les soutenons.

isat

A titre d’information, Web4all a offert l’hébergement du site internet et effectué un don de 750 €.

Le site : http://www.isat-eco-rallye.fr/

Le mot de la fin

Si vous êtes arrivé jusqu’ici, je ne peux que vous remercier pour votre attention ! La semaine se terminera pour Web4all par une réunion de quasiment l’ensemble de l’équipe sur Paris, nous vous mettrons quelques photos sur les réseaux sociaux 😉

Bonne semaine à toutes et à tous :)

Manager Web4all : nouveau système de sauvegardes (Snapshots)

Logo Web4allComme vous le savez, Web4all a fait le choix de développer son propre panel de gestion (le manager vous permettant de gérer l’ensemble de vos services) afin que ce dernier réponde parfaitement aux besoins que nous avons en interne mais également aux besoins de nos clients : vous. Nous considérons en effet que la capacité d’adaptation et de réponses aux besoins que vous avez, fait partie de notre travail et qu’il s’agit là d’une valeur ajoutée comparé à la concurrence. Cela présente toutefois des inconvénients et notamment le temps nécessaire au développement de modules et fonctionnalités spécifiques là où certains outils vont le gérer nativement.

En fin d’année dernière nous avons apporté de nombreuses modifications sur le manager Web4all a commencé par une refonte graphique complète que nous vous avions présenté sur ce blog : http://blog.web4all.fr/ssl-ev-mise-a-jour-du-manager-et-modifications-tarifaires/

L’interface utilise désormais Bootstrap, le célèbre framework pour interface graphique développé par les équipes de Twitter. Nous avons pu ainsi uniformiser la présentation et même si certains d’entre vous ont eu un peu de mal à s’y retrouver les premiers jours, nous avons eu une très grande majorité d’avis positif de votre part.

Régulièrement nous corrigeons, améliorons, retouchons, peaufinons certaines parties du manager, parfois invisible pour vous mais qui font que ce dernier évolue sans cesse au fil des modifications que nous effectuons sur l’infrastructure et des besoins que vous nous remontez.

Récemment nous avions apporté une importante modification relative à la partie Support, partie que vous utilisez pour toute demande d’assistance ou d’explication lorsque les forums ne sont pas adaptés.

La quasi intégralité du manager a été conçue et développée par moi-même avec parfois des coups de main de Clément DEBIAUNE comme pour le module de tickets ou le module de sauvegarde dont nous allons parler.

La nouveauté apportée aujourd’hui concerne la partie sauvegarde. Pour rappels il y a trois types de sauvegardes :

  • de vos fichiers ;
  • de vos bases de données ;
  • de vos emails.

Aujourd’hui, nous mettons en place une interface vous permettant de naviguer dans les snapshots de votre hébergement et de restaurer en quelques clics une sélection de fichiers ou l’intégralité de votre hébergement tel qu’il était au moment du snapshot.

Web4all n’est peut-être pas le seul à proposer cette fonctionnalité mais après avoir fait le tour de quelques hébergeurs, nous n’en avons trouvé aucun qui propose un processus de restauration aussi simple et vous permettant de remonter jusqu’à 6 mois en arrière si vous avez souscrit Haute-Sécurité. Si vous n’avez pas souscrit Haute-Sécurité vous pourrez tout de même restaurer votre hébergement tel qu’il était à l’heure précédente et au jour en cours ou précédent à 05H00.

Les modules de restauration des bases de données et emails sont également prévus et devraient être disponible dans quelques mois (cela représente un énorme travail en terme de développement et sur l’infrastructure serveur).

Nous ajouterons prochainement la possibilité :

  • de se connecter en FTP pour naviguer dans la réplication de l’hébergement tel qu’il était à 05H00 (actuellement en place mais sera refait)
  • de demander à générer une archive de votre hébergement chaque nuit (pour ceux ayant Haute-Sécurité)

Voici le module en deux images, liste des snapshots :

manager-web4all-mise-a-jour-du-systeme-de-backups-snapshots01

Une fois que vous avez sélectionné un snapshot :

manager-web4all-mise-a-jour-du-systeme-de-backups-snapshots02

Nous n’avons pas oublié les modifications qui nous ont été demandées comme la gestion avancée des listes de diffusions sur Zimbra, les tâches CRON et autres fonctionnalités, nous y travaillons…

Prochaine étape ? Du côté des sauvegardes car il y en a bien besoin afin de vous faciliter leur utilisation !

A très bientôt chez Web4all, votre hébergeur préféré !

Aurélien PONCINI gayuxweb-rejoint-les-rangs-de-web4all-et-bientot-un-autre-hebergeur

Manager Web4all : mise à jour du système de tickets

Logo Web4allComme vous le savez, Web4all a fait le choix de développer son propre panel de gestion (le manager vous permettant de gérer l’ensemble de vos services) afin que ce dernier réponde parfaitement aux besoins que nous avons en interne mais également aux besoins de nos clients : vous. Nous considérons en effet que la capacité d’adaptation et de réponses aux besoins que vous avez, fait partie de notre travail et qu’il s’agit là d’une valeur ajoutée comparé à la concurrence. Cela présente toutefois des inconvénients et notamment le temps nécessaire au développement de modules et fonctionnalités spécifiques là où certains outils vont le gérer nativement.

En fin d’année dernière nous avons apporté de nombreuses modifications sur le manager Web4all a commencé par une refonte graphique complète que nous vous avions présenté sur ce blog : http://blog.web4all.fr/ssl-ev-mise-a-jour-du-manager-et-modifications-tarifaires/

L’interface utilise désormais Bootstrap, le célèbre framework pour interface graphique développé par les équipes de Twitter. Nous avons pu ainsi uniformiser la présentation et même si certains d’entre vous ont eu un peu de mal à s’y retrouver les premiers jours, nous avons eu une très grande majorité d’avis positif de votre part.

Régulièrement nous corrigeons, améliorons, retouchons, peaufinons certaines parties du manager, parfois invisible pour vous mais qui font que ce dernier évolue sans cesse au fil des modifications que nous effectuons sur l’infrastructure et des besoins que vous nous remontez.

Ces derniers jours, une importante modification a été mise en ligne, elle concerne la partie Support, partie que vous utilisez pour toute demande d’assistance ou d’explication lorsque les forums ne sont pas adaptés.

La quasi intégralité du manager a été conçue et développée par moi-même avec parfois des coups de main de Clément DEBIAUNE.

Clément est un des tout premiers membres de l’association (adhérent depuis les premières semaines). Il est arrivé au sein de Web4all comme développeur en herbe mais déjà avec de fortes compétences. Son parcours à l’EPITECH et sa passion pour le développement associé à une connaissance en administration des systèmes font de lui un développer très compétent sur divers langages.

Clément avait en autre réalisé le site internet de l’association, le portail de dons pour le projet en route pour le housing et côté manager il s’occupe intégralement de la partie Support.

Outre des modifications conséquentes dans la partie gestion des tickets (la partie qui nous concerne lorsque nous vous répondons) le système de tickets a bénéficié d’un petit rajeunissement côté utilisateur.

Vous pouvez désormais lors de l’ouverture d’un ticket sélectionner si le ticket est privé, c’est-à-dire s’il s’agit d’une discussion uniquement entre vous et notre équipe support ou si l’ensemble des utilisateurs ayant un accès sur le service concerné par les tickets peuvent suivre la discussion. Ainsi si vous êtes plusieurs à gérer un hébergement chez Web4all, vous pouvez désormais suivre les échanges avec le support autour de vos services.

manager-web4all-mise-a-jour-du-systeme-de-tickets

Lorsque vous visualisez un service, vous pouvez désormais en un rapide coup d’œil voir les tickets liés à ce dernier et ouvrir un ticket depuis ce service ce qui aura pour effet de présélectionner le service (il est important de sélectionner le bon service concerné par un ticket car cela est un gain de temps pour nous et diminue le risque d’erreur dans les réponses).

manager-web4all-mise-a-jour-du-systeme-de-tickets

Les notifications par mails lorsque vous êtes destinataires d’une réponse ne contienne plus un simple message mais contiennent désormais l’ensemble de la réponse qui vous est adressé. Ces notifications sont adressées à tous les utilisateurs ayant un accès au service concerné par le ticket (sauf si ticket « Privé). Initialement nous avions volontairement retiré la réponse du mail de notification pour éviter les réponses sur le mail ; mais avec du recul (et car nous aussi nous sommes parfois utilisateur de services chez nos fournisseurs) nous trouvons assez énervant de devoir se connecter sur le manager juste pour voir une réponse de prise en compte sans information importante ou nécessitant une réponse de votre part. Voilà qui est donc modifié et devrait vous permettre de gagner un peu de temps.

La présentation d’un ticket a été revue, plus aérée, elle est agrémentée d’un sommaire sur la partie latérale droite qui vous permet de rapidement vous positionner dans le ticket. Des avatars font leurs apparitions afin de nous rapprocher de nos utilisateurs et de pouvoir donner un visage à nos réponses. Si vous souhaitez personnaliser cet avatar il suffit de le faire sur Gravatar avec le compte mail utilisé sur le manager.

manager-web4all-mise-a-jour-du-systeme-de-tickets

Nous n’avons pas oublié les modifications qui nous ont été demandées comme la gestion avancée des listes de diffusions sur Zimbra, les tâches CRON et autres fonctionnalités, nous y travaillons…

Prochaine étape ? Du côté des sauvegardes car il y en a bien besoin afin de vous faciliter leur utilisation !

A très bientôt chez Web4all, votre hébergeur préféré !

Aurélien PONCINI

gayuxweb-rejoint-les-rangs-de-web4all-et-bientot-un-autre-hebergeur

Rapport de hack sur plusieurs hébergements chez Web4all

Logo Web4allBonjour, le 30 janvier 2014 un client nous informait via le système de tickets sur le manager que ses sites avaient été la cibles d’actes de piratage. Ceci est assez courant. En effet les applications clients telles que Joomla, WordPress, PhpBB et autres (pour ne citer que les plus connues) sont constamment la cible de délinquants (appelons un chat un chat, ces personnes ne méritent pas d’autre nom…). Une fois une faille identifiée sur une version de WordPress (par exemple) ou l’un de ses modules, ces délinquants prennent un « malin plaisir » à exploiter ces failles sur les sites qu’ils trouvent et se donnent alors à cœur joie, au mieux à défacer le site (remplacer la page d’accueil) au pire à détruire votre travail. Il y a aussi ceux qui ne font rien de visible mais qui vont placer leur script pour effectuer par exemple du mailing (du SPAM ben entendu) ou du phising (souvent lié avec les envois de SPAM).

Des clients victimes de sites piratés nous en avons tous les jours. Il ne se passe pas un jour sans que nos systèmes  -de manière automatique- ou un membre de notre équipe (les outils d’automatisation ne détectent pas tout) doivent effectuer des actions telles que :

  • procéder au blocage de l’envoi des mails pour un compte mails Zimbra : les identifiants du compte mails sont détournés, le hackeur utilise alors le SMTP pour envoyer des dizaines de milliers de mails SPAM
  • procéder au blocage de l’envoi des mails pour un site sur la plate forme web : piratage d’un site dans le but d’envoyer du SPAM. Si aucune action n’est prise, alors plusieurs centaines de milliers de mails partent dans la journée
  • procéder au blocage de la publication du site : il arrive que la seule solution pour limiter les dégâts soit de dé publier le site, cela peut être le cas lors de problème de SPAM comme sus-cité mais également dans le cas de sites permettant par exemple un dépôt de commentaire sans contrôle (commentaires sur blog, livre d’or…). Les robots déposent alors des millions de commentaires ce qui impacte l’ensemble de l’infrastructure et donc l’ensemble de nos clients
  • répondre aux demandes des partenaires et autorités

Bref, revenons en au client qui nous a signalé son problème. Sur le coup on reste peu inquiet car cela ne cible que le client en question, nous le guidons donc sur les démarches à effectuer pour remettre en ligne son site mais également éviter que cela ne se reproduise trop rapidement.

Quelques heures après nous avions plusieurs clients qui se sont manifestés sur les forums et tickets (5 au total). Cela n’est rien sur le nombre de clients mais ce fût suffisant pour que nous remettions en question la partie qui nous incombe et que nous effectuons les recherches nécessaires pour affirmer que tout était en ordre de notre côté.

Benoit GEORGELIN a alors effectué les recherches et il aura eu bien raison puisqu’il aura :

  • découvert une faille de sécurité sur la plate forme Web4all ayant facilité le passage du hackeur d’un hébergement à un autre
  • pu établir une liste d’hébergement compromis

Avant de donner le détail du rapport de M. GEORGELIN, je conclu cette introduction en rappelant…

Quelques principes de bases :

  • vous devez toujours veiller à ce que vos applications soient à jour
  • vous devez toujours veiller à ce que vos modules des applications soient à jour et que seuls les modules ou thèmes strictement nécessaires (que vous utilisez) soient installés. Ne laissez pas des modules ou thèmes installés s’il ne vous servent pas !
  • vous devez vous assurez de la provenance de ce que vous installez. Ne faites pas une confiance aveugle aux développeurs. Assurez vous que les modules que vous ajoutés sur vos CMS soient connu et réputés fiables. Téléchargez les sur les sites officiels
  • vous ne devez jamais fournir vos identifiants à un tiers (pas même à l’équipe de Web4all !)
  • vous devez comprendre ce que vous faites et donc comprendre le fonctionnement des CHMOD ; les hébergements qui ont été impactés sont ceux qui avaient des CHMOD mal définit !
  • un hébergement est étanche vis à vis des autres hébergements. Au sein d’un même hébergement : aucune étanchéité ! Un site piraté sur votre hébergement donne indéniablement accès à TOUT votre hébergement.

Rapport sur Hack découvert sur un site chez Web4all.fr 

Les informations nominatives, noms d’utilisateurs, téléphones… ont été masqués par nos soins. Le rapport est « brut » : utilisation interne non prévue à être communiqué, il est donc peu explicite sur certaines parties.

Le 30/01/2014 : Un client remonte un hack sur ses 3 sites.

Il se trouve que ce hakeur à hacké plusieurs sites sur l’infrastructure Web4all. Celui-ci a utilisé un site en interne a l’infra pour lui permettre de lire des fichiers situé sur les autres hébergements comme les fichiers config.php pour avoir accès aux bases MySQL.

Trace visible dans les logs, IP utilisée : 197.205.98.166

Le hackeur semble avoir pénétré le premier site en date du 29 janvier 2014.

La première trace de l’utilisation de son script pour visualiser les autres hébergements: [29/Jan/2014:22:02:39]

J’ai trouvé le site cachette du hackeur car celui-ci l’utilisait comme source pour ses fichiers vérolés a déposer sur les autres hébergements via un appel HTTP dessus ou pour naviguer sur les fichiers du site en question :

rencontre-xxMASKxx.fr-combined.log-20140131:197.205.98.166 - - [30/Jan/2014:11:41:13 +0100] "GET / HTTP/1.1" 200 907
"http://cxxMASKxxnne.org/a/Indishell/root/datas/vol2/xxMASKxx/var/www/rencontre-xxMASKxx.fr/" "Mozilla/5.0 (Windows NT 5.1;

Il se trouve que le hackeur s’est caché sur un espace hacké sans le défacer.
Sur l’espace ce trouve des outils simples en Php permettant des fonctions via PHP.

Un fichier « pca.txt » contenant une liste d’email et ce qui semble etre des mots de passe se trouve a la racine de l’hébergement

J’ai testé des login/passe sur gmail , aucun ne fonctionnait.

Le hackeur a pu utiliser une faille, la seule et certainement unique possible ou connue a ce jour sur un CloudLInux : Symlink du à un manque de configuration

Cf : http://docs.cloudlinux.com/index.html?securelinks.html

Par défaut Cloudlinux ne protège pas contre cette attaque il faut que cela soit configuré au niveau des paramètres du kernel.

La configuration pour interdire l’utilisation du symlink à été appliquée sur l’ensembles des serveurs HTTP.

Un dossier /a/root renvoyait vers /   ( /a/root -> / )

Apache2 tournant en dehors de la cage, le hackeur peut naviguer sur le serveur en dehors de la cage.
L’accés dépendra des droits relatifs au serveur, son processus aura comme user w4apache(34)
Le hackeur a pu avoir une visibilité totale sur les domaines hébergés chez Web4all
Le hackeur a pu accéder a n’importe quel fichier disposant des droits > 770

 Il semble que le hackeur a pu hacker plusieurs base de données grâce à ce procédé et un fichier « sql.php » lui permettant exécuter des actions rapide :

  1. Mettre le login, pass, db dans un cookie de son navigateur
  2. Réaliser des actions sur la tables d’une base (listTables,add, édit,delete, logout, et Submit pour la sauvegarde )

Au moins 4 bases de données sont identifiées :

  • 1xxxxx_bo4l2
  • 1xxxxx_familia
    • tablename=wp_users
  • 1xxxxx_champa
    • tablename=zc9bd_users
  • 1xxxxx_9g47ya
    • tablename=sotvm_users

Les mots de passe de ses bases sont donc totalement compromis.

 Site cachette du hakeur : URL retirée du rapport public.

Le screen (modifié car appartient à un client) ne présentait aucune trace de hack :
rapport-de-hack-sur-plusieurs-hebergements-chez-web4all

Boite à outils du hakeur :

rapport-de-hack-sur-plusieurs-hebergements-chez-web4allQui permet ensuite de naviguer dans l’arborescence :

rapport-de-hack-sur-plusieurs-hebergements-chez-web4all

rapport-de-hack-sur-plusieurs-hebergements-chez-web4all

rapport-de-hack-sur-plusieurs-hebergements-chez-web4all

rapport-de-hack-sur-plusieurs-hebergements-chez-web4all

Depuis /data/vol1 ou vol2 des dossiers sont en erreur 403

/datas/vol2/xxMASKxxtgelais.com
/datas/vol2/xxMASKxxnsports.fr/

Mais pas tous , comme eux qui sont accessible :

/datas/vol2/xxMASKxxtariat.com/
/datas/vol2/xxMASKxxenceverte.com/

A voir pourquoi…

Cagefs a totalement empêché la création de l’attaque complète des serveurs

Le hackeur avait une fonction PHP pour parser /etc/passwd et créer des symlink pour hacker les autres clients

lrwxrwxrwx  1 w4axxxxxx w4axxxxxx 41 27 janv. 11:46 w4axxxxxx .. wp-config.php -> /home/w4axxxxxx /public_html/wp-config.php
lrwxrwxrwx  1 w4axxxxxx w4axxxxxx 45 27 janv. 11:46 w4axxxxxx .. configuration.php -> /home/w4axxxxxx /public_html/configuration.php
lrwxrwxrwx  1 w4axxxxxx w4axxxxxx 43 27 janv. 11:46 w4axxxxxx .. conf_global.php -> /home/w4axxxxxx /public_html/conf_global.php
lrwxrwxrwx  1 w4axxxxxx w4axxxxxx 38 27 janv. 11:46 w4axxxxxx .. config.php -> /home/w4axxxxxx /public_html/config.php
lrwxrwxrwx  1 w4axxxxxx w4axxxxxx 40 27 janv. 11:46 w4axxxxxx .. Settings.php -> /home/w4axxxxxx /public_html/Settings.php

En image :

rapport-de-hack-sur-plusieurs-hebergements-chez-web4all

 Le fichier sql.php du hackeur contient un « phpmyadmin fait maison »

rapport-de-hack-sur-plusieurs-hebergements-chez-web4all

EN DATE DU 30-01-2014

Ci-dessous les logs des sites compromis et/ou des fichiers visités par le hackeur (tout confondu, voir plus bas par extensions)

345 lignes retirées du rapport public.

Actions du côté de Web4all

  • Communication ou pas ? -> effectuée le 06.02.2014 sur le blog
  • Prévenir les clients concernés a minima –> effectué le 01 et 02 février 2014 via le système de tickets
  • S’assurer que le hackeur n’a pas pu avoir accès a des fichiers contenant des mots de passe chez nous, car il a exploré de anciens fichier de web4all –> aucun fichiers préoccupant (les sites de l’association étant sur une infrastructure à part, les fichiers présent ici sont ceux générés par défaut par le manager)
  • Vérifier nos droits sur les fichiers -> correction effectué (voir au dessus l’explication de la faille Securelinks)
  • Effectuer un dépôt de plainte ? En cours de discussions, IP hors de France… peu de chance que cela ait une utilité
Whois IP
Status
ALLOCATED
Contact Email
Registrant
DySetif
ALGERIA
Administrative Contact
Security Departement
Alger
Telephone: 21321911224
Fax: 21321911208
Email:
Technical Contact
Security Departement
Alger
Telephone: 21321911224
Fax: 21321911208
Email:
197.205.98.166 is the IP address you have a ran a report for on January, 31, 2014.

 

SSL EV, Mise à jour du manager et modifications tarifaires

News Web4all décembre 2013Bonjour à toutes et à tous, après un long moment sans article, nous avons le plaisir de publier un petit article sur notre blog. Une mise à jour conséquente du manager IWAL en v1.7 est désormais en ligne : nouveau design, nouvelles fonctionnalités… De nouveaux certificats SSL en place pour certaines de nos interfaces et des modifications tarifaire à l’étude.

Nouveaux certificats SSL : sécurité maximale !

Avez-vous remarqué depuis un peu plus de trois semaines un petit changement… Sur la couche SSL. Web4all a remplacé les certificats SSL dits « standard » de certaines interfaces par un certificat de type « EV » pour Extented Validation.
La différence ? Si vous allez sur un des sites listés plus bas, vous aurez une barre d’adresse verte avec indiqué ASSOCIATION WEB4ALL [FR] comme sur cette image :
News Web4all décembre 2013
Pour bénéficier d’un certificat de type standard il faut compter quelques dizaines d’euros, et il suffit de prouver que l’on a un droit d’utilisation sur le domaine. Cela permet à l’utilisateur (vous) de savoir que les échanges sont cryptés entre son ordinateur et le site qu’il visite mais en aucun cas cela ne lui garantit l’identité du site.
Avec un certificat de type Extented Validation, il faut également prouver le droit d’utilisation sur le domaine mais il y ‘a également une procédure de vérification à suivre (qui dans notre cas n’a pas été des plus simple du fait de notre statut associatif). Vous devez prouver par écrit et fournir tous les documents officiels relatifs à la structure que vous représentez afin que l’organisme de validation atteste que le certificat délivré est bien délivré à la bonne entité. Puis vous devez verser non plus quelques dizaines d’euros mais quelques centaines d’euros…

Avec cette barre verte vous avez donc la garantie que vos échanges avec Web4all sont sécurisés mais également et surtout la garantie que le portail que vous visitez est bien celui de Web4all. Alors à compter d’aujourd’hui soyez vigilant, si vous n’avez pas la barre verte sur un de ces sites, c’est qu’il y a un problème et que vous ne devez pas vous identifier sur le site en question ni fournir des informations confidentielles.
Les sites devant afficher la barre verte chez Web4all au 05 décembre 2013 sont :

A gauche un certificat Standard et à droite un certificat « EV »
News Web4all décembre 2013

Mise à jour du manager

Vous l’avez peut-être vu si vous vous êtes connecté au manager depuis moins de quinze jours, la chartre graphique de ce dernier a totalement changée. Mais bien plus que l’aspect visuel, de nombreuses modifications ont été effectuées et des fonctionnalités ont progressivement été déployées ces quinze derniers jours avec un très fort accent sur la sécurité.

Outre des modifications du code assez importante dans certaines parties du manager afin d’accélérer encore un peu le chargement des pages, nous pouvons lister comme modifications conséquentes :

  • Nouvelle chartre graphique uniformisée, cohérente et plus clair pour l’utilisateur
  • Ajout d’informations dans le haut de la page afin de toujours les avoir sous les yeux
  • Ajout d’une section de gestion de la sécurité dans le module utilisateur vous permettant de définir la politique de sécurité devant être appliquée à votre compte utilisateur ainsi que les notifications qui y sont liées. Il est également possible de gérer les systèmes d’authentification à deux facteurs
  • Contrôle des numéros de téléphones totalement modifié afin de pouvoir contrôler le numéro de téléphone que vous indiquez, quelque soit le pays, l’indicatif, les séparateurs que vous mettez !
  • Ajout d’une section Notifications dans le module utilisateur vous permettant de définir quels mails vous souhaitez recevoir ainsi que les jours de réception en ce qui concerne les relances pour les services arrivants à échéance
  • Une présentation des hébergements plus complète dans la partie commande afin de ne pas avoir à aller sur le site pour visualiser les paramètres des différentes offres
  • Une présentation des services plus aéré et allant droit au but
  • Une visualisation des domaines sur hébergement bien plus claire et détaillé
  • Une liste de ces mêmes domaines avec plus d’informations pour ne pas avoir à aller voir chaque fiche domaine
  • Une page d’accueil de la partie gestion Zimbra avec toutes les informations nécessaires à l’utilisation de vos emails
  • La possibilité de gérer énormément de paramètres sur le Zimbra. Nous n’avons pas terminé cette partie et beaucoup d’autres possibilités vont arriver dans les prochaines semaines
  • La visualisation des domaines vous affiche désormais si votre configuration DNS est conforme à celle de Web4all ou non
  • Un formulaire de modification des DNS vous permet de modifier rapidement les DNS du domaine mais également de définir ceux de Web4all en un seul clic sans avoir à remplir le formulaire afin d’aller vite sans risque d’erreur
  • La possibilité de créer des entrées DNS de type SRV, TXT (et donc Spf, Dkim…) et également la possibilité de modifier le TTL d’une entrée DNS
  • La section comptabilité également se voie rajeuni avec un peu moins d’informations afin de ne pas passer à côté de l’essentiel
  • Les bons de commandes et factures vous montre uniquement les informations importantes, seul le PDF contient toutes les informations obligatoires. Le numéro de TVA (du client) est désormais affiché sur tous les bons de commandes et les factures.
  • La prévisualisation en AJAX dans la partie comptabilité a été revue. Elle ne bug plus et est bien plus réactive
  • Les mails ont changé d’apparence et contiennent désormais des informations qui peuvent être utile en cas de soucis. Ils seront plus facile à lire sur les mobiles puisque en responsive 😉

Voyons plus en détails

La page d’accueil est intégralement refaite et vous affiche les éléments importants. Sont également affichés les liens vers les différentes interfaces que Web4all met à votre disposition et la liste des incidents et maintenance en cours. Enfin, un bloc vous détaille les différentes sections du manager avec une succinte description.News_Web4all_2013_Decembre_01_home


Le haut de la page vous affiche en permanence le nombre de tickets en attente de réponse de votre part (pour lesquels le support vous a répondu donc). Votre identifiant est également affiché et lors du passage de la souris il vous est indiqué l’adresse mail liée à votre compte. Notez que cette partie est en verte par défaut et devient rouge lorsque la partie Sécurité de votre compte est dévérrouillée. Notez également que le menu en haut (Accueil, Utilisateur, Services…) est en rouge sauf l’élément correspondant à l’endroit où vous êtes qui est désormais en noir.News_Web4all_2013_Decembre_02_header


L’accueil utilisateur a hérite, comme tous les modules du manager du nouveau design et d’une présentation plus sobre. Les boutons bleus pour les actions principales, jaune pour les actions risquées et rouge en cas d’action dangeureuse (suppression d’éléments par exemple).News_Web4all_2013_Decembre_03_user_01_home


La nouvelle section Sécurité dans le module Utilisateur vous permet de gérer finement les paramètres d’accès à votre compte : adresses IP autorisées ou interdites, authentification deux étapes (Two Factor) avec QrCode ou SMS (gratuit). Afin de limiter les risques, l’accès à cette section demande un dévérrouillage avec une durée plus limitée que la durée de votre session.News_Web4all_2013_Decembre_03_user_02_security_unlock


La modification du numéro de téléphone peut toujours se faire depuis la fiche utilisateur sauf si vous avez activé la double authentification. Dans ce cas, pour éviter de limiter l’intérêt de cette fonctionnalité, vous serez obligé de venir ici pour modifier le numéro de téléphone.News_Web4all_2013_Decembre_03_user_03_security_home


Le pare-feu vous permet de décider pour chaque adresses IP ou rang d’adresses les paramètres de sécurité : possibiltié de modifier ou non le mot de passe, d’accéder à la section Sécurité, demander la double authentification ou non…News_Web4all_2013_Decembre_03_user_04_security_firewall


Le pare-feu n’est pas bête… il ne vous laissera pas éxécuter une action qui irait à votre encontre de manière immédiate. L’action vous sera alors interdite. Mais attention nous ne pouvons prévoir les adresses IP futures que vous utiliserez. Restez donc prudent 😉News_Web4all_2013_Decembre_03_user_05_security_firewall_protect


Chaque action du pare-feu déclenche l’envoi d’une notification par email : connexion avec succès, en échec, changement de mot de passe… Pour chacune de ces actions, le pare-feu vous permet de définir si vous souhaitez ou non être notifié.News_Web4all_2013_Decembre_03_user_06_security_firewall_notifs


L’activation de la double authentification par SMS est très simple et rassurez vous un contrôle de bon fonctionnement est effectué vous garantissant que l’activation ne sera effectué que si tout fonctionne correctement.News_Web4all_2013_Decembre_03_user_07_security_sms_add


Une fois activé, le manager vous indique que la fonctionnalitée est activée et qu’il ne vous reste plus qu’à définir dans le pare-feu quand cela doit être demandée (ou quand cela ne doit pas l’être).News_Web4all_2013_Decembre_03_user_08_security_sms_view


Comme pour la double authentification par SMS, celle par QrCode vous permet de sécuriser l’accès à votre compte en utilisant une applciation qui génèrera un token. Ces applications sur smartphone sont gratuite alors n’hésitez pas à y recourir !News_Web4all_2013_Decembre_03_user_09_security_qrcode_view


La gestion des notifications du compte utilisateur (en plus des notifications du pare-feu) vous permet de définir quand vous souhaitez être (ou pas) informé par email des services que vous gérez qui arrivent à expiration. Vous pouvez également gérer l’abonnement aux lettres d’informations de Web4all.News_Web4all_2013_Decembre_03_user_10_notification_view


Simple et rapide la modification des abonnements se fait en quelques clics !News_Web4all_2013_Decembre_03_user_11_notification_edit


Les fiches propriétaires aussi héritent du nouveau design.News_Web4all_2013_Decembre_04_proprio_list


La visualisation d’une fiche est plus claire, sa modification également vu que tous les formulaires du manager ont été refait afin d’être plus agréable et moins compliqués. La possibilité d’archiver une fiche non supprimable est prévue, ce sera pour dans quelques semaines 🙂News_Web4all_2013_Decembre_04_proprio_view


La partie commandes a peu changée, en revanche lorsque vous commandez un hébergement vous avez désormais une description complète des offres proposées à la vente pour vous éviter de devoir aller sur le site de Web4all à chaque fois.News_Web4all_2013_Decembre_05_order


Le module de gestion des services n’échappe pas au nouveau design. Nous avons considérablement modifié cette page sur la partie backend également, elle devient plus rapide à charger pour les personnes qui ont beaucoup de services (des lenteurs existaient au delà de 100-150 services pour certains clients).News_Web4all_2013_Decembre_06_service_01_list


La visualisation d’un hébergement devient plus complète et vous affiche un récapitulatif complet de l’utilisation de votre hébergement à l’instant où vous visualisez la page. Les actions possible sur le service sont en haut à droite avec les fameux boutons de couleurs. Un point important aussi : le menu de gauche présent sur les différentes parties du manager a complètement été refait et vous informe désormais de la partie dans laquelle vous vous trouvez en étant coloré.News_Web4all_2013_Decembre_06_service_02_view_hosting


La synthèse d’un domaine évolue en vous affichant les informations qui sont utiles et en mettant en avant les actions possibles. Cette partie doit encore être améliorée sous peu 🙂News_Web4all_2013_Decembre_06_service_03_view_hosting_domain


La liste des domaines montés sur un hébergement est modifiées, il est désormais affiché la version de PHP, la copie des logs activée ou non, la redirection éventuelle du site… Là aussi un très gros travail d’optimisation a été fait. Les hébergements avec plus de 100 domaines connassaient des lenteurs au chargement, cela devrait aller bien mieux.News_Web4all_2013_Decembre_06_service_04_view_hosting_domain_list


La partie Zimbra vous indique tout ce que vous avez besoin de savoir pour utiliser vos comptes emails.News_Web4all_2013_Decembre_06_service_05_view_hosting_zimbra_home


Beaucoup d’actions deviennent possible sur les comptes emails et d’autres ne tarderont pas à arriver 🙂News_Web4all_2013_Decembre_06_service_06_view_hosting_zimbra_account


La visualisation d’un nom de domaine vous affiche en temps réel la configuration DNS de votre domaine. Si le domaine n’est pas correctement configuré pour Web4all vous en serez informé !News_Web4all_2013_Decembre_06_service_10_view_domain_home


Un formulaire pour modifier les DNS, plus propre, plus aéré. Et si les DNS ne sont pas ceux de Web4all, un encart vous le signale et vous permet de corriger cela en un clic, sans même remplir le formulaire !News_Web4all_2013_Decembre_06_service_11_view_domain_dns_server


Il est désormais possible d’ajouter et modifier les enregsitrements DNS de TXT et donc de gérer les SPF, DKIM… le TTL devient également modifiable 😉News_Web4all_2013_Decembre_06_service_12_view_domain_dns_entry


Toujours dans les DNS, vous pouvez ajouter et modifier des entrées de types SRV 🙂News_Web4all_2013_Decembre_06_service_13_view_domain_dns_entry


L’accueil de la comptabilité est allégé, il est désormais possible de télécharger le RIB de Web4all afin de ne plus avoir à en faire la demande au support.News_Web4all_2013_Decembre_07_compta_01_home


Les factures et bons de commandes affichent l’état de la commande : vert si OK, rouge si erreur. Lien direct vers les services en question. Numéro de TVA sur les factures et BC (si un numéro de TVA a été spécifié).News_Web4all_2013_Decembre_07_compta_02_orderform


La prévisualisation des factures et bons de commandes fonctionne à nouveau et elle est bien plus rapide 🙂News_Web4all_2013_Decembre_07_compta_03_orderformAjax


Les emails changent, chaque emails que vous recevrez contient désormais des informations relatives au support afin de ne pas vous perdre 🙂News_Web4all_2013_Decembre_10_email

Modifications tarifaires à l’étude

L’année 2013 aura été importante pour Web4all avec le projet housing et l’acquisition de notre propre infrastructure. Nous ne regrettons pas l’investissement –financier comme humain- et autant ne rien vous cacher nous revivons depuis quelques temps tant l’infrastructure a retrouvé de la stabilité que nous avions du mal à conserver en ce début d’année.
La période 13 juillet – 13 d’août aura certes été très dur, pour certains d’entre vous et pour nous, mais une fois les réglages de l’infrastructure réalisé, nous ne regrettons rien.
Nous avons de plus en plus de monde qui vient chez Web4all pour notre qualité de service, pour les services que nous proposons (tailles de bases de données, tailles des boites emails, mise à disposition de Zimbra pour la messagerie, sauvegardes, performance…).
Cela ne peut que nous faire plaisir.
Nous avions lors de l’acquisition de l’infrastructure pris un peu de marge. La partie stockage des fichiers de vos sites est loin d’être utilisée. En revanche certains éléments sont bien plus utilisés que nous ne l’avions prévu ! Et oui, tout juste six mois après.
Nous savions que nous n’aurions pas une énorme marge de manœuvre et étions limités financièrement. Il nous fallait d’abord acheter la base de l’infrastructure avant de pouvoir acquérir tout le matériel nous permettant d’être tranquille durablement.

Aujourd’hui nous prévoyons des besoins en acquisition de matériels (stockage et serveurs de virtualisation) que nous sommes dans l’incapacité de réaliser rapidement. Si les choses vont trop vite (utilisation de l’infrastructure qui augmente un peu tous les jours) nous risquons d’arriver à un moment où nous serons en limite de ressources et n’aurons pu acquérir le matériel.
Nous travaillons donc actuellement à étudier les différentes manières pour que l’association puisse engendre plus de bénéfice chaque mois afin de pouvoir prévoir ces investissements.
Pour le moment nous n’avons rien décidé, une communication officielle sera faite sous peu et nous aborderons alors la ou les solutions retenues.

Aurélien PONCINI

Président Fondateur de Web4all

Gestion de l’antispam et de l’antivirus sur Zimbra

Gestion de l'antispam et de l'antivirus sur ZimbraBonjour à toutes et à tous, 

comme vous avez pu le constater depuis samedi 26 octobre de nombreux mails sont marqués en SPAM au lieu d’être délivrés dans vos boites de réceptions.

Nous avons effectué plusieurs modifications suite à de nombreuses remontées d’utilisateurs ces derniers mois se plaignant que l’anti-spam n’était pas assez sévère.

La modification effectuée samedi 26 rend l’anti-spam un peu plus sévère mais nous nous retrouvons dans une nouvelle phase d’apprentissage ce qui implique qu’il peut classer des mails SPAM à tord, et vice-versa durant les premiers jours / semaines.

Devant cette problématique, des utilisateurs nous ont indiqués qu’ils souhaitaient pouvoir désactiver l’anti-spam sur leurs comptes afin d’effectuer manuellement un tri (ou avec des logiciels de leur choix). Le but étant que l’utilisateur garde pleinement la main sur sa messagerie. Cette demande a été remontée sur les forums http://forums.web4all.fr/topic/9026-fs-209-de-nombreux-mails-sont-marques-en-spam et nous avons au départ annoncé qu’il ne nous était pas possible de permettre d’activer ou non les outils (AntiSpam et AntiVirus) par domaine ou par compte mails.

Après de nombreuses recherches et quelques heures de développement nous avons mis à jour le manager et vous proposons la possibilité de désactiver pour les comptes mails de votre choix :

  • la fonctionnalité Anti-Spam
  • la fonctionnalité Anti-Virus

Pour le moment l’action est à effectuer individuellement pour chacun de vos comptes. Nous ajouterons prochainement la possibilité de gérer cela pour l’ensemble d’un domaine sur votre hébergement.

Soucieux de toujours répondre à vos attentes nous avons mis le maximum pour apporter cette solution rapidement. Notre refus initial n’était pas dans le seul but de répondre défavorablement mais bien car nous pensions que cela n’était pas possible à mettre en place aussi rapidement.

Nous espérons que cette fonctionnalité vous sera utile, vous la trouverez sur la page de gestion du compte mail dans le manager 🙂

Et bon anniversaire à Web4all qui fête ses 7 ans en cette fin Octobre 2013 😉

 

En route pour le housing : ça stocke !

En route pour le housing : ça ping !Bonjour à toutes et à tous, déjà près de 4 semaines se sont écoulés depuis notre article En route pour le housing : ça ping ! soit presque 10 semaines depuis l’article En route pour le housing : objectif atteint ! et nous ne pensions vraiment pas que cela serait aussi long. Je pourrais même commencer cet article comme le précédent : « nous en avons parcouru du chemin, résolu des problèmes, fait des kilomètres, passé des nuits à -ne pas- dormir… Un jolie chemin parsemé d’embûches plus énervantes les unes que les autres. De bonnes doses de stress vous amenant par moment à vous poser la question « Non mais qu’est-ce qui nous a pris de nous lancer là dedans ?! » Sans parler des problèmes qui amènent à des dépenses totalement imprévues… heureusement que votre générosité à toutes et tous nous a permit d’avoir un peu de trésorerie de côté pour ne pas avoir en plus à se soucier (trop) de l’aspect financier… » car c’est à peu près le même discours que nous pouvons tenir ce jour.

Mais avec tout de même une différence -considérable- : tout est en place et la migration va commencer !

Avant de vous donner le récit de ces 4 dernières semaines donc, je vous informe que nous allons effectivement débuter la migration cette semaine (première semaine du mois de juillet). Nous aurions aimé pouvoir prévenir longtemps à l’avance mais nous avons rencontré tellement de petits problèmes auxquels se sont accumulés beaucoup d’incidents sur l’infrastructure actuellement utilisée par vos sites que nous allons devoir procéder rapidement, pour ne pas dire dans l’urgence… 🙁

Rassurez vous, vous n’aurez rien à faire et les opérations seront quasiment transparente et la plupart seront effectuées la nuit. Sachez d’ailleurs qu’Aurélien PONCINI (moi-même donc) a prit deux semaines de congés qui seront intégralement dédiées à Web4all. De même Benoit GEORGELIN (résidant au Canada) a également prit deux semaines de congés et rentre spécialement en France pour procéder à la migration des données et à la prise en main de tout ce qui a été fait ces dernières semaines.

Vous voyez, malgré que Web4all ne soit uniquement composée de bénévoles, nous faisons tout pour que le service soit le meilleur possible.

La migration se déroulera ainsi :

  • 01-02 juillet : Migration du portail Web4all : site, forums, outils interne… afin de valider le fonctionnement de l’infrastructure
  • 02-03 juillet : Migration des serveurs DNS ns1.web4all.fr / ns2.web4all.fr Ne vous inquiétez pas, aucun impact de votre côté et aucune modification à effectuer !
  • 04-05 juillet : Migration de la plate-forme de stockage + FTP + HTTP + MySQL : tous les sites internet devraient basculer. Aucune modification n’est à effectuer de votre côté. Seuls les clients qui n’utilisent pas les DNS de Web4all auront des modifications à faire, ils seront individuellement prévenus. Web4all met des solutions en place pour que ces derniers n’aient pas de coupure de service
  • Après le 05 juillet : Migration Zimbra : en attente pour le moment

Comme vous le voyez, vous n’avez aucune modification de votre côté à effectuer. La coupure de service pour la bascule FTP/HTTP/MySQL ne devrait pas excéder 60 minutes (que nous tenterons de réduire).

L’architecture de production actuelle rencontre de sérieux problèmes et il est temps de la mettre à la retraite. Pour ne rien vous cacher le Filer qui contient les fichiers commence à faiblir. Aucun risque de perte de données car nous avons des répliquas mais en cas de casse il faudra alors procéder à une migration dans l’urgence ce qui serait encore moins agréable…

Voilà, nous allons désormais vous raconter ce qu’il s’est passé ces 4 dernières semaines. Les photos servant à illustrer l’aventure ont été prises sur le coup, tel que nous avons vécu l’événement, sans forcément avoir le temps de prendre la pose… alors pardonnez nous pour la médiocre qualité de certaines photos.

Certains d’entre vous ont pu suivre en quasi temps réel cet événement puisque nous avions relayé cela sur les réseaux sociaux. A ce sujet, je vous rappelle que vous pouvez suivre l’actualité de Web4all sur les différents réseaux FacebookTwitter et Google+

Perception du matériel de stockage…

Le dernière article avait été publié juste avant que nous recevions la dernière partie du matériel, dédiée au stockage.
Cette partie est composée de :
– 1 SAN pour le stockage des machines virtuelles
– 1 serveur de backups
– 2 serveurs pour publier les données des sites internet (publient le NFS pour les serveurs HTTP)
– 1 DAS qui stocke les disques dur pour les deux serveurs sus-cités (reçu juste avant la rédaction du précédent article)

Des cartons, encore des cartons... La dernière livraison est enfin là !Des cartons, encore des cartons… La dernière livraison est enfin là !

L'arrière du SAN DELL MD3620i. Equipé de double contrôleurs 10 GB.L’arrière du SAN DELL MD3620i. Equipé de double contrôleurs 10 GB.

L'avant du SAN DELL MD3620i. Equipé de 24 disques de 900GB SAS 10k 2.5L’avant du SAN DELL MD3620i. Equipé de 24 disques de 900GB SAS 10k 2.5

Serveurs pour le cluster ZFS. Double cartes 10GB. 256GB de ram. Cartes SAS à ajouter.Serveurs pour le cluster ZFS. Double cartes 10GB. 256GB de ram. Cartes SAS à ajouter.

Serveurs pour le cluster ZFS avec leur baie de disques. Les fichiers des sites seront là !Serveurs pour le cluster ZFS avec leur baie de disques. Les fichiers des sites seront là !

Avant du serveur de backup. 6HDD de 4ToAvant du serveur de backup. 6HDD de 4To

Arrière du serveur de backup. 6 cartes 1GB (deux sont inutilisables car de marques Broadcom donc incompatibles avec Nexenta, d'où l'ajout de 4 cartes Intel).Arrière du serveur de backup. 6 cartes 1GB (deux sont inutilisables car de marques Broadcom donc incompatibles avec Nexenta, d’où l’ajout de 4 cartes Intel).

On amène le SAN et le serveur de backup au datacenter…

Oui pour le moment nous n’amenons pas le cluster ZFS car il reste du travail à faire dessus… il reste donc dans le salon d’Aurélien PONCINI… :/

Encore une fois, la voiture se retrouve bien chargée... heureusement qu'on ne paye pas les trajets au poids...Encore une fois, la voiture se retrouve bien chargée… heureusement qu’on ne paye pas les trajets au poids…

Il faut connecter le SAN 10GB sur ces ports, à l'arrière des switchs 24 ports. Assez difficile d'accès car cela n'est ni à l'avant de la baie, ni à l'arrière maisau millieu du fait de la faible profondeur des switchs...Il faut connecter le SAN 10GB sur ces ports, à l’arrière des switchs 24 ports. Assez difficile d’accès car cela n’est ni à l’avant de la baie, ni à l’arrière maisau millieu du fait de la faible profondeur des switchs…

On a un petit peu oublié de préparer les repères sur les câbles. Donc on fait sur place. Heureusement Web4all a sa petite Dymo portable :)On a un petit peu oublié de préparer les repères sur les câbles. Donc on fait sur place. Heureusement Web4all a sa petite Dymo portable 🙂

Câbles 10GB pour le SAN...Câbles 10GB pour le SAN…

Le SAN est dans la place !!!Le SAN est dans la place !!!

Chantal QUINQUIS participe également, et pas juste pour la photoChantal QUINQUIS participe également, et pas juste pour la photo

A nouveau Chantal :)A nouveau Chantal 🙂

Au tour d'Aurélien PONCINI...Au tour d’Aurélien PONCINI…

Ça commence a se remplir. Il manque encore 2 serveurs et un DAS. #avantDeLaBaieÇa commence a se remplir. Il manque encore 2 serveurs et un DAS. #avantDeLaBaie

Ça commence a se remplir. Il manque encore 2 serveurs et un DAS. #arrièreDeLaBaieÇa commence a se remplir. Il manque encore 2 serveurs et un DAS. #arrièreDeLaBaie

Configuration du Cluster ZFS à la maison…

Il faut désormais s’occuper du cluster ZFS qui va stocker les fichiers des sites internet.
Ce dernier devra assurer la publication des données en NFS pour les serveurs Web de manière rapide et permanente. Si tout se passe correctement nous devrions donc sur cette partie de l’infrastructure bénéficier d’un fort avantage comparé à aujourd’hui. En effet nous aurons désormais un cluster et non un serveur tout seul qui, en cas de défaillance, ne publie plus rien… et nous passons de 8 HDD à 24.. le RAID devrait aller plus vite… beaucoup plus vite 🙂

Il faut alors ajouter les cartes HBA dans les serveurs, configurer le tout, faire quelques essais et pour le coup on vous a même fait une petite vidéo… Juste pour que vous voyez le bruit que cela peut faire dans mon salon durant la phase de configuration 🙂

A côté, le bruit des switchs juste derrière le canapé était relativement faible…

Mais avant cela nous avons dû commander deux modules de stacking pour les swicths 48 ports afin d’unifier le tout en un switch 96 ports… Merci à la société Ineonet qui nous aura permis d’être livré dans la journée ! Et merci à Autolib’ qui nous aura encore une fois bien dépanné… ce jour là, il aura tout de même fallu 1H45 pour faire 5 kms en région parisienne… de quoi devenir fou 🙁

Ca y est, on a les cartons des stack !Ca y est, on a les cartons des stack !

Voilà les fameux modules de stack avec leurs câbles 40GBVoilà les fameux modules de stack avec leurs câbles 40GB

Les cartes HBA pour que nos serveurs se connectent aux disques dans la baie de stockage.Les cartes HBA pour que nos serveurs se connectent aux disques dans la baie de stockage.

Cartes insérées dans le support...Cartes insérées dans le support…

Cartes en place dans les serveurs !Cartes en place dans les serveurs !

Parrallèlement à tout cela, nous avons commencé à répliquer les serveurs de sauvegardes pour bénéficier des données au sein de la baie 🙂

Allez on tire un peu sur le filer de backupsAllez on tire un peu sur le filer de backups

On tire un peu sur le Transit @NeoTelecoms pour début de migration. Ca marche très bien...et on est qu'à 1/3On tire un peu sur le Transit @NeoTelecoms pour début de migration. Ca marche très bien…et on est qu’à 1/3

Cluster Nexenta en cours d'install ! Et on a même le JBOD affiché ! (pas d'origine ^^) Ca en fait du disque ! Cluster Nexenta en cours d’install ! Et on a même le JBOD affiché ! (pas d’origine ^^) Ca en fait du disque !

Yeah \o/ Ca prend forme ! nmc@zfs-clu-01a:/$ zpool iostat & nmc@zfs-clu-01a:/$ zpool statusYeah \o/ Ca prend forme ! nmc@zfs-clu-01a:/$ zpool iostat & nmc@zfs-clu-01a:/$ zpool status

Et comme promi, une petite vidéo :

On amène le Cluster ZFS au datacenter !

Les fameux modules de stack mis en place avec leur câbles 40GB en RING (on assure ainsi la redondance)Les fameux modules de stack mis en place avec leur câbles 40GB en RING (on assure ainsi la redondance)

Allez pour changer... encore un petit chargement dans la voiture ? Promis, c'est le dernier !Allez pour changer… encore un petit chargement dans la voiture ? Promis, c’est le dernier !

A un moment, la lumière s'est éteinte... et là ca clignote de partout...A un moment, la lumière s’est éteinte… et là ca clignote de partout…

Il faut monter les racks de la MD3060e / Un peu galère !Il faut monter les racks de la MD3060e / Un peu galère !

Puis on amène le monstre, duquel on a retiré les disques, alim, controleur, ventilation... Trop Lourd :/Puis on amène le monstre, duquel on a retiré les disques, alim, controleur, ventilation… Trop Lourd :/

Maintenant il faut remettre alims, ventilos et contrôleurs à l'arrière de la MD3060eMaintenant il faut remettre alims, ventilos et contrôleurs à l’arrière de la MD3060e

On rack, on rack...On rack, on rack…

MD3060e remontée (pour la partie arrière) !MD3060e remontée (pour la partie arrière) !

Et maintenant on passe à la partie avant. Il faut mettre les HDDEt maintenant on passe à la partie avant. Il faut mettre les HDD

Et voilà la baie remplie (avec quelques câbles non rangés car temporaires) !Et voilà la baie remplie (avec quelques câbles non rangés car temporaires) !

Le haut de la baie... difficile d'avoir toute la baie d'un coup en raison du manque de recul :(Le haut de la baie… difficile d’avoir toute la baie d’un coup en raison du manque de recul 🙁

La partie Stockage au complet !!! La partie Stockage au complet !!!

Et voilà, petite photo devant la baie complète (avec des câbles à retirer et à ranger !!!)Et voilà, petite photo devant la baie complète (avec des câbles à retirer et à ranger !!!)

Voilà maintenant on passe à la configuration et peu de photo à montrer de cela…

Un article à notre sujet a été publié sur le site de Neo-Telecoms 🙂 http://www.neotelecoms.com/fr/actualites/paris-bienvenue-lhebergeur-web4all

Merci, merci et encore merci !

Aurélien PONCINI

Président Fondateur de Web4all