Seite 1 von 5
DDOS Attacke - Ich habe die Schnauze voll vom Web
Verfasst: 10.12.2014, 11:15
von euroexchange.de
Seit Samstag versuche ich die ganzen Zugriffe aus China, Korea, Türkey, Argentinien, Bulgarien, Polen, Ungarn, Iran u.v.m. in den Griff zu bekommen. Auf allen Projekten war auch Bot-Trap installiert und zusätzlich wurden Besucher mit mehr als x Zugriffen pro x Zeiteinheiten mit einem 403er ausgesperrt.
Mein Eindruck der Attacke war, das immer wenn G* und andere vermehrt zum Indizieren kamen ein Störfeuer aus einem Botnetz kam.
So kamen einige augenscheinlich gezielt, um die möglichen Zugriffe bis zur Sperrung auszuloten und danach halt mehrere die sich zusammen jeweils bis zur Zugriffsgrenze austobten. Immer wieder ging die Prozessorlast in den roten Bereich bis schließlich Port 80 Offline war.
Gestern Abend dachte ich noch ich hätte die Sache einigermaßen im Griff, aber heute Morgen ist der Server nun platt. Platter gehts nicht und keine Domain ist mehr erreichbar, kein Zugriff per FTP mehr möglich und auch Datenbanken lassen sich nicht mehr aufrufen. Alles Platt.
Strato meint, das sie es an das Rechenzentrum weitergeben und es bis zu 48 Stunden dauern kann. Schöne Onlinewelt und ich kann minütlich zusehen was es mich kostet.
Weiß jemand ob Bot-Trab abgeschaltet wurde bzw. ist jemand derzeit von ähnlichen Attacken betroffen und hat evtl. eine Patentlösung dagegen?
Verfasst: 10.12.2014, 11:18
von Alfred Biolek
Entweder Feuer mit Feuer bekämpfen, alternativ:
https://esteq.net
Verfasst: 10.12.2014, 11:35
von drweb
Oder auch einfach CloudFlare vorschalten. Allerdings macht das nur Sinn, solange die eigentliche IP vom Server nicht bekannt ist. Wenn jemand deine Seiten gezielt angreift, dann ist ihm die IP ja bereits bekannt. Eventuell parallel beim Hoster ne neue IP beantragen.
Beste Grüße
Verfasst: 10.12.2014, 12:23
von elmex
Und vielleicht mal darüber nachdenken dass Strato nicht dafür bekannt ist, besonders schnellen und guten Support zu liefern.
Es gibt genug andere Anbieter, die auch sowas handeln können! Möchte jetzt keine Werbung machen, aber mit bissel Mühe findest die leicht...
Verfasst: 10.12.2014, 12:43
von pimpi
ithemes security + Anti Spam Bee und neuerdings um Rublon erweitert ist meine Kombi. Funktioniert sehr gut, Angriffe gehen gegen Null. Gerade bei den Brute Force Angriffen schraube ich lieber das Limit hoch, nach 2 Versuchen gibts 10 Minuten Sperre (kannst du bei ithemes security einstellen).
Verfasst: 10.12.2014, 14:27
von e-fee
pimpi hat geschrieben:ithemes security + Anti Spam Bee und neuerdings um Rublon erweitert ist meine Kombi. Funktioniert sehr gut, Angriffe gehen gegen Null. Gerade bei den Brute Force Angriffen schraube ich lieber das Limit hoch, nach 2 Versuchen gibts 10 Minuten Sperre (kannst du bei ithemes security einstellen).
Erstens ist das jetzt 'ne Lösung exklusiv für Wordpress, zweitens geht die ja im Prinzip auch nur gegen Spam. Gegen DDoS-Angriffe (mit genau der Intention DDoS) hilft sowas jetzt nicht so großartig - wenn die Serveraufrufe erfolgen, dann erfolgen sie. Das läuft auf Serverebene ab und daher kann da auch kein CMS-Plugin irgendwas richten - außer vielleicht ein paar unnötige Datenbankaufrufe zum Aufbau der kompletten Seite einzusparen.
Verfasst: 10.12.2014, 14:38
von pimpi
Ok, ich war mal davon ausgegangen, daß es sich um einen wordpress Blog handelt
Aber egal, falls doch kein wordpress, gibt es doch wahrscheinlich auch eine XML-RPC Schnittstelle. Darüber geht's ja nun fast immer bei wp. Eventuell an der Stelle schauen.
Re: DDOS Attacke - Ich habe die Schnauze voll vom Web
Verfasst: 10.12.2014, 15:06
von dreamy
Braucht du den den Traffic aus:
euroexchange.de hat geschrieben:Zugriffe aus China, Korea, Türkey, Argentinien, Bulgarien, Polen, Ungarn, Iran u.v.m
?
Wenn nicht könntest du doch die entsprechenden IP Bereiche per .htaccess (zumindest erstmal) sperren.
Verfasst: 10.12.2014, 15:06
von euroexchange.de
Vielen Dank für Eure Infos. Es ist kein Wordpress. Alles PHP-Eigenentwicklung.
Zeitraum 10.12.2014 00:00 - 15:05
Probleme 1
Kritisch 100,00%
5h 0m 15s
Unbekannt
Der Server ist immer noch platt, mittlerweile managed Strato seit geschlagenen 5h 0m 15s den Totalausfall.
Habe schon beim Hoster All-Ink nachgeschaut. Die sind sehr gut aber verdammt teuer. Derzeit kann ich selbst nichts tun, weil ich nicht einmal per ftp an den Server komme.
Ich gehe davon aus, das hier gezielt und bezahlt der Index frei gemacht wird für das Weihnachtsgeschäft. Aus reinem Spaß tut doch sowas kein Mensch - auch keine kleinen Chinesen.
Verfasst: 10.12.2014, 15:15
von euroexchange.de
Bei der Attacke viel mir auf:
Die IP mit 100.ten Zugriffen pro Sekunde - im gigantisch großen Logfile der sich mit Texteditoren nicht mehr öffnen lässt - war für Stunden immer die gleiche bevor diese gewechselt wurde. Die IPs die dann letztendlich in der Sperre landeten waren ganz andere.
Die jeweils auffällige IP aus dem Logfile kam in der Sperrdatenbank aber nie an. Evtl. ist es die IP des Mastercomputers der die ganzen Zombibots steuert?
Verfasst: 10.12.2014, 16:29
von jhansen
Mensch, wende dich an einen kleinen Hoster aus deiner Stadt. Einen mit Know How und Erfahrung. Das kostet evtl. monatlich 5 EUR mehr - aber in so einem Fall wird er dir deine Probleme lösen und dein Partner sein - so wie man es sich vorstellt.
Verfasst: 10.12.2014, 16:52
von dreamy
Kannst du nicht bei strato die Domain ins leere laufen lassen? Das sollte doch die Serverlast reduzieren, dass du wieder per ftp darauf zugreifen kannst.
Verfasst: 10.12.2014, 16:53
von euroexchange.de
Nach über 6 Stunden Offlinestatus und ohne Rückmeldung musste ich Strato einfach nochmal anrufen. Hat sich gelohnt ...
Der Servicemitarbeiter liest mir aus seinem Report vor ...
Durch armselige Programmierung ... nun stockt er kurz ... ähm ähm das war nicht für Sie ... ist der Server nun so oft den Reset durchlaufen das es die Hardware gehimmelt hat und die defekten Komponenten des Servers ausgetauscht werden müssen.
Den Kleinanzeigenmarkt gibt es seit 1999 bei Strato.
Verfasst: 10.12.2014, 18:06
von Pompom
Was haben die denn für armselige Server, so etwas habe ich ja noch nie gehört.
Verfasst: 10.12.2014, 18:10
von e-fee
euroexchange.de hat geschrieben:Bei der Attacke viel mir auf:
Die IP mit 100.ten Zugriffen pro Sekunde - im gigantisch großen Logfile der sich mit Texteditoren nicht mehr öffnen lässt - war für Stunden immer die gleiche bevor diese gewechselt wurde. Die IPs die dann letztendlich in der Sperre landeten waren ganz andere.
Die jeweils auffällige IP aus dem Logfile kam in der Sperrdatenbank aber nie an. Evtl. ist es die IP des Mastercomputers der die ganzen Zombibots steuert?
Klingt mir eher nach amoklaufendem Script, sei es von eurer oder dritter Seite aus.
Hab auch irgendwann mal beim Experimentieren mit 'nem versehentlich in Endlosschleife weiterlaufendem PHP-Script die Logfiles (Dateigröße > 10GB) zugemüllt, bis die Platte aus allen Nähten platzte und der Server stand (und die Ursache musste erstmal gesucht werden). War mir eine Lehre.
