Besucherrekord (DDOS-Angriff)

Schreibt hier die Kategorien und Themen rein, die euch momentan hier noch fehlen.
guennid

Besucherrekord (DDOS-Angriff)

Beitrag von guennid » 19.09.2018 11:50:01

debianforum hat geschrieben:Der Besucherrekord liegt bei 15085 Besuchern, die am 18.09.2018 05:52:59 gleichzeitig online waren.
Das war wohl gestern. Der letzte "Rekord" stammte aus 2008, wenn ich nichts überlesen habe. Wie schon damals vermutet wurde, kann es sich kaum um einen echten Rekord handeln, in dem Sinne, dass tatsächlich 15000 individuelle Nutzer zeitgleich das Debianforum besuchten. Neugierig wie ich bin, wüsste ich gerne, was das dann war. :wink: Oder kann man das nicht genauer feststellen?

Grüße, Günther
Zuletzt geändert von Meillo am 21.09.2018 09:43:59, insgesamt 1-mal geändert.
Grund: Titel ergaenzt

willy4711

Re: Besucherrekord

Beitrag von willy4711 » 19.09.2018 12:02:20

15085 Besucher um 05:52:59 in einem deutschen Forum ? :facepalm:
Glaub ich nicht. Da ist der Wurm drin 8O
Neugierig wie ich bin, wüsste ich gerne, was das dann war.
Na die Invasion der Russen. Die sind eh an allem Schuld :mrgreen:

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: Besucherrekord

Beitrag von eggy » 19.09.2018 12:48:12

Hat sich TShirt-Aktion bis ins Ubuntuforum rumgesprochen? :mrgreen:

Benutzeravatar
Meillo
Moderator
Beiträge: 8782
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: Besucherrekord

Beitrag von Meillo » 20.09.2018 08:28:12

Moeglicherweise haengt das damit zusammen: Gestern morgen und gerade eben kann ich keine ``Neuen Beitraege'' anzeigen lassen. Es kommt die Meldung:
Sorry but you cannot use search at this time. The server has high load. Please try again later.
Auch sonst reagiert das Forum traege (was klar ist, wenn der Load hoch ist).

DDOS-Angriff?

Gestern tagsueber war aber alles in Ordnung.
Use ed once in a while!

Benutzeravatar
hikaru
Moderator
Beiträge: 13559
Registriert: 09.04.2008 12:48:59

Re: Besucherrekord

Beitrag von hikaru » 20.09.2018 08:51:59

Ich kann Meillos Beobachtungen in allen Punkten bestätigen. (Besucher: 6315)

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: Besucherrekord

Beitrag von feltel » 20.09.2018 18:45:38

Auch wenn es mich freuen würde, wenn wir auf einmal eine fünfstellige Anzahl an Usern online hätten, so wird -zumindest in diesem Fall und diese Uhrzeit :wink:- wohl die Ursache entweder ein gesteuerter Angriffsversuch oder ein irrlichternder Bot oder sowas in der Art gewesen sein. Aber gut, das der Server soweit Stand gehalten hat.

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: Besucherrekord

Beitrag von feltel » 21.09.2018 07:50:12

Im Moment läuft gerade wieder so ein Angriff. Knapp 7000 "User". Hängt das vielleicht mit dem neuen phpBB-Release zusammen und der Suche nach Lücken?

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Besucherrekord

Beitrag von MSfree » 21.09.2018 08:56:26

feltel hat geschrieben: ↑ zum Beitrag ↑
21.09.2018 07:50:12
Hängt das vielleicht mit dem neuen phpBB-Release zusammen und der Suche nach Lücken?
Wenn, dann sucht jemand nach Lücken in Forren, die noch die alte phpBB-Version einsetzen. Diese Angriffe laufen ja schon seit mindestens dem 18.9.2018, als über 15000 Besucher gezählt wurden. Die Software hattest du ja am 20.9.2018 aktualisiert.

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: Besucherrekord

Beitrag von feltel » 21.09.2018 09:22:07

Das mit der Suche nach Sicherheitslücken war auch so von mir gemeint, aber etwas blöd formuliert.

Benutzeravatar
Meillo
Moderator
Beiträge: 8782
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: Besucherrekord

Beitrag von Meillo » 21.09.2018 09:41:20

Sind denn die IP-Adressen der Gaeste irgendwie von einheitlicher Art, aus einer geografischen Region z.B.? Ganze Gruppen auszusperren ist immer doof, aber vielleicht koennte man so uebergangsweise etwas Linderung verschaffen. Die Frage ist halt wie distributed der DDOS-Angriff ist. Vielleicht kann man ihn doch in seiner Art von den anderen Nutzungen abgrenzen und dadurch abwehren. Ich habe da keine Praxiserfahrung, denke bloss laut nach. Was gaebe es denn fuer Analysemoeglichkeiten in so Faellen? Oder muss man das aussitzen?
Use ed once in a while!

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: Besucherrekord (DDOS-Angriff)

Beitrag von feltel » 21.09.2018 09:46:17

Die Requests kommen aus unterschiedlichsten Netzen, ständig wechselnd. Türkei, Hongkong, Indien, USA, China, Pakistan usw usw. Da man mMn nicht zuverlässig zwischen legitimen Zugriff und Angriff unterscheiden kann, bleibt wohl nix anderes übrig, als abzuwarten bis es vorüber ist.

guennid

Re: Besucherrekord (DDOS-Angriff)

Beitrag von guennid » 21.09.2018 09:47:29

DF-Nutzung z.Z. nur sehr eingeschränkt möglich:Dauert elend lange bis geladen. Suche nach "aktiven Themen" meldet konstant "Serverüberlastung". Verabschiede mich einstweilen - macht keinen Sinn. :wink:

Grüße, Günther

willy4711

Re: Besucherrekord (DDOS-Angriff)

Beitrag von willy4711 » 21.09.2018 09:56:48

Gibt es denn soviel Forenmitglieder (auch Gäste) außerhalb - sagen wir mal - der EU ?
Wäre es vielleicht möglich andere IPs - (EU- Ausländer) temporär zu sperren ?
Sonst sitzen wir noch zu Weihnachten und "freuen" uns über die Besucherzahlen. :facepalm:

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: Besucherrekord (DDOS-Angriff)

Beitrag von feltel » 21.09.2018 11:10:57


Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Besucherrekord (DDOS-Angriff)

Beitrag von MSfree » 21.09.2018 11:16:40

Läßt sich so eine Attacke nicht auch mit fail2ban abmildern?

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: Besucherrekord (DDOS-Angriff)

Beitrag von feltel » 21.09.2018 11:18:36

Ich wüsste nicht wie. Es sind ja bloß HTTP-Requests, nur halt ziemlich viele von ziemlich unterschiedlichen IPs. Es ist ja nicht so, das hier eine einzelne IP viele Requests macht oder sonstwie auffällig wäre.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Besucherrekord (DDOS-Angriff)

Beitrag von MSfree » 21.09.2018 11:57:10

feltel hat geschrieben: ↑ zum Beitrag ↑
21.09.2018 11:18:36
Ich wüsste nicht wie.
Ich ehrlich gesagt auch nicht, zumindest ncht spontan.

Trotz vieler verschiedener IP-Adressen sollte es aber möglich sein, festzustellen, welche Hosts auffällig viele HTTP-Requests pro Zeiteinheit verursachen. Als normaler Forumsteilnehmer verursacht man ja relativ weniger Requests pro Zeiteinheit.

guennid

Re: Besucherrekord (DDOS-Angriff)

Beitrag von guennid » 22.09.2018 08:19:59

Es ist schon wieder soweit. Kann es sein, dass die Uhrzeit relevant ist?

Grüße, Günther

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: Besucherrekord (DDOS-Angriff)

Beitrag von feltel » 24.09.2018 06:55:03

Mit ein paar zusätzlichen Einstellungen und Filtern sind die Angriffe jetzt nicht mehr so wirksam. Ich bleibe aber dran das sie ganz aufhören. Sie scheinen wie @guennid richtig bemerkt, zeitgesteuert abzulaufen.

Benutzeravatar
Meillo
Moderator
Beiträge: 8782
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: Besucherrekord (DDOS-Angriff)

Beitrag von Meillo » 24.09.2018 09:16:49

Zum Thema Zeitabhaengigkeit: Ich habe gestern ein kleines Script geschrieben und als Cronjob aufgesetzt, das die Anzahl der Benutzer im Forum und die Antwortzeit fuer die Abfrage der Seite stuendlich loggt. Die Ergebnisse findet ihr hier:
http://tmp.marmaro.de/dfde/dfde-besucher.log

Das Script:

Code: Alles auswählen

#!/bin/sh

start=`date +%s`
datum="`date +%F\ %H:%M`"
besucher="`w3m -dump https://debianforum.de/forum/index.php 2>/dev/null |
        egrep -o '[0-9]+ Besucher online'`"
end=`date +%s`
duration=`expr $end - $start`

printf "%s\t%s\t%s\n" "$datum" "$duration s" "$besucher"
Ich werde das Script einfach mal laufen lassen. Auch abgesehen von den Angriffen kann man dann darueber mal nette Grafiken erzeugen. (Ich erzeuge die auch fuer euch, wenn mir jemand ein Gnuplot-Script o.ae. liefert.)
Zuletzt geändert von Meillo am 24.09.2018 13:22:21, insgesamt 1-mal geändert.
Grund: s/http:/https:/
Use ed once in a while!

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: Besucherrekord (DDOS-Angriff)

Beitrag von feltel » 24.09.2018 09:54:59

https://debianforum.de/forum/index.php, das spart einen Redirect. Verantwortungsvoll mit Ressourcen umgehen. :THX: :mrgreen:

Benutzeravatar
Meillo
Moderator
Beiträge: 8782
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: Besucherrekord (DDOS-Angriff)

Beitrag von Meillo » 24.09.2018 13:21:58

feltel hat geschrieben: ↑ zum Beitrag ↑
24.09.2018 09:54:59
https://debianforum.de/forum/index.php, das spart einen Redirect. Verantwortungsvoll mit Ressourcen umgehen. :THX: :mrgreen:
Wie gewuenscht geaendert. :-)
Use ed once in a while!

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: Besucherrekord (DDOS-Angriff)

Beitrag von feltel » 24.09.2018 14:54:22

Was immer die auch immer da machen, aber seit ein paar Stunden gibt es keine entsprechenden Requests mehr, die dem Muster entsprechen. Mal sehen, ob es morgen früh wieder anfängt, um dann gegen Mittag/Nachmittag abzuebben.

Benutzeravatar
Meillo
Moderator
Beiträge: 8782
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: Besucherrekord (DDOS-Angriff)

Beitrag von Meillo » 25.09.2018 08:13:26

Ich wuerde sagen, deine Einstellungen waren erfolgreich ... oder die Angreifer haben schlichtweg aufgehoert. Jedenfalls gibt es keine Auffaelligkeiten mehr, siehe: http://tmp.marmaro.de/dfde/dfde-besucher.log

:-)
Use ed once in a while!

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: Besucherrekord (DDOS-Angriff)

Beitrag von feltel » 25.09.2018 08:29:00

... die machen fleissig weiter. Wir sind heute schon um diese Uhrzeit bei der hälfte der Aufrufversuche, die von gestern früh halb sieben bis zum heutigen Logrotate um früh halb sieben stattgefunden haben. Also es geht wohl verstärkt weiter.

An der Erhöhung der Aufrufzeiten um die paar Sekunden sieht man aber doch einen kleinen Effekt der Angriffe. Aber damit kann ich zumindest besser leben als mit einer geDDoSten Seite.

Antworten