So, also ich bin ja nicht so der Server-Experte aber halt trotzdem in die Lage gekommen, den Sysadmin für einen Server spielen zu müssen...

Ich dachte bisher, da es sich lediglich um eine kostenlose Community von und für ein paar Fans handelt, müsste ich mich zumindest mit so Kram wie DoS-Attacken nicht herumschlagen, was für die letzten 2 Jahre auch so war, aber leider falsch gedacht.

Gestern (1. April, aber kein Aprilscherz) gegen 2 Uhr nachts fing es an. Ich hab erst meinen Augen nicht getraut, aber es handelte sich tatsächlich um einen Botnet-Angriff auf eine unserer Domains. Da ich auf so etwas überhaupt nicht vorbereitet war, hab ich den ganzen Tag über relativ unbeholfen versucht, anhand von Logs, iptables und einem selbstgeschriebenen Python-Script die Angriffe einigermaßen abzuwehren, aber da es eben ein Botnet war, war das leider nicht sehr effektiv.

Nun hab ich nach dem wenig erfolgreichen Rumgestocher endlich ein Muster in den abgerufenen URIs erkannt, dieses per nginx direkt geblockt, und jetzt laden die Seiten wieder flüssig. Bei genauerer Betrachtung ist mir dann aufgefallen, dass es sogar nur eine bestimmte URI ist, die immer wieder abgerufen wird, und zwar:

/index.php?title=MediaWiki:Extra-Editbuttons.js&action=raw&ctype=text/javascript

(Es handelt sich um ein Wiki). Sogar der Referrer ist immer gleich, und zwar ist es immer die gleiche Seite von einer unserer Domains, aber interessanterweise nicht von der Domain, die angegriffen wurde.

Ich bin gerade einfach nur verwirrt... kann sich jemand einen Reim darauf machen, warum gerade dieser Request benutzt wurde? Ist es einfach Zufall? Suchen Botnetze sich vielleicht einfach irgendeine zufällige URI raus, die sie auf der Seite finden?

Ich hätte eigentlich damit gerechnet, dass wenigstens ein paar verschiedene URIs aufgerufen werden... deswegen bin ich auch erst gar nicht auf die Idee gekommen, es auf diese Weise zu blocken.

Oder hat der Angreifer (Mensch) einfach die erstbeste URL genommen, die ihm einfiel?

[edit]wenn ihr meint[/edit]

Ich würde keine Vermutungen äußern, so etwas kann ganz schnell auf eine Verleumdungsklage hinauslaufen ....

Zitat von Bummi:

Ich würde keine Vermutungen äußern, so etwas kann ganz schnell auf eine Verleumdungsklage hinauslaufen ....

Ich äußere ja auch nichts. Trotzdem habe ich so meine Vermutungen, da niemand sonst einen Grund hätte, sowas zu tun...

Zitat von NamenLozer:

Zitat von Bummi:

Ich würde keine Vermutungen äußern, so etwas kann ganz schnell auf eine Verleumdungsklage hinauslaufen ....

Ich äußere ja auch nichts. Trotzdem habe ich so meine Vermutungen, da niemand sonst einen Grund hätte, sowas zu tun...

Doch, hast du. Und es wäre ratsam deinen ersten Beitrag zu editieren ... bevor es jemand anderes machen muss

... OK

Kann da keine Äußerung erkennen. Ich könnte mich nicht mal verplappern, da ich seinen Namen gar nicht kenne... und ich hab hier noch nicht mal die Domain genannt, um die es geht. Aus dem Post sind überhaupt keine Rückschlüsse möglich.

Ich wollte damit eigentlich eh nur zeigen, dass es ein Motiv gäbe, damit nicht zwanzig Leute kommen und schreiben „War doch bestimmt gar kein DDoS sondern einfach nur mehr Traffic“, aber das war definitiv nicht der Fall. Also beißt euch jetzt bitte nicht daran fest.

Vielleicht habe ich deine Frage falsch verstanden und von DDoS Angriffen verstehe ich überhaupt nichts, aber sollte ich die Frage verstanden haben, weiß ich von eine Trick. Wie gesagt, ich hab nur Kenntnis davon, ich weiß nicht wie das funktioniert. Aber so wie ich den Trick verstanden habe müssen bei z. B. 100 Rechnern (mal als Hausnummer) die an dem Angriff teilnehmen, nicht unbedingt 100 Rechner infiziert sein. Vielmehr wird hier sozusagen über Bande gespielt. Es werden Anfragen an 100 Rechner verschickt, allerdings eine falsch Rückantwort-Adresse gegeben. Die 100 Rechner schicken somit Antworten an deinen Server, obwohl der gar nichts angefordert hat.

Zitat von Sir Rufo:

Und es wäre ratsam deinen ersten Beitrag zu editieren ... bevor es jemand anderes machen muss

In den Postings von NamenLozer konnte ich (auch vor seinem Edit) keinerlei Hinweise entdecken, die auf die Identität des Verdächtigten schließen lassen: Kein Name, nicht einmal der Realname von NamenLozer, keine vollständige URL und somit auch kein Hinweis auf die entsprechenden Seiten bzw. auf den Verdächtigten ... Wo soll da eine Verleumdung formuliert worden sein?

@NamenLozer: Davon abgesehen sollten Verdächtige statt öffentlich besser den Ermittlungsbehörden genannt werden, denn diese Äußerung wäre strafrechtlich absolut nicht relevant und könnte u.U. sogar zur Ermittlung des Täters führen. Denn eigentlich kann dir hier niemand wirklich weiterhelfen, du solltest daher besser zur Polizei gehen und Anzeige erstatten. Die Beamten werden dich dann vermutlich von sich aus fragen, ob du Feinde oder jemanden in Verdacht hast.

Zitat von NamenLozer:

Ich dachte bisher, da es sich lediglich um eine kostenlose Community von und für ein paar Fans handelt, müsste ich mich zumindest mit so Kram wie DoS-Attacken nicht herumschlagen, was für die letzten 2 Jahre auch so war, aber leider falsch gedacht.

DDoS-Attacken gibt es mittlerweile von der Stange:

Zitat von krebsonsecurity.com:

Booter sites are perhaps most popular among online gaming enthusiasts, who like to use them to knock opponents offline; but they are frequently also used to launch debilitating attacks on Web sites.

Anscheinend so günstig, das es sich für Gamer lohnt

Zitat von NamenLozer:

Ist es einfach Zufall? Suchen Botnetze sich vielleicht einfach irgendeine zufällige URI raus, die sie auf der Seite finden?

Vermutlich werden Requests genutzt, die serverseitig viel kosten.
Vielleicht wird das nicht gecached oder irgendetwas in der Art

Zitat von Perlsau:

@NamenLozer: Davon abgesehen sollten Verdächtige statt öffentlich besser den Ermittlungsbehörden genannt werden, denn diese Äußerung wäre strafrechtlich absolut nicht relevant und könnte u.U. sogar zur Ermittlung des Täters führen. Denn eigentlich kann dir hier niemand wirklich weiterhelfen, du solltest daher besser zur Polizei gehen und Anzeige erstatten. Die Beamten werden dich dann vermutlich von sich aus fragen, ob du Feinde oder jemanden in Verdacht hast.

Grundsätzlich hast du recht, allerdings glaube ich nicht, dass man damit sehr gute Erfolgsaussichten hat, schon gar nicht, wenn man keine Firma ist, die einen finanziellen Verlust beziffern kann. Wenn das jetzt wirklich über lange Zeit so weitergehen sollte (gehe ich aber nicht von aus), können wir es uns dennoch überlegen, aber gerade ist mir wichtiger, dass die Seite wieder erreichbar ist. Inzwischen habe ich es ja im Griff, es geht wieder alles so schnell wie vorher. Ich hoffe, dass es so bleibt... aber deswegen auch meine Frage, denn ich wollte die Attacke besser verstehen, damit ich die richtigen, technischen Gegenmaßnahmen ergreifen kann.

Zitat von Popov:

Vielleicht habe ich deine Frage falsch verstanden und von DDoS Angriffen verstehe ich überhaupt nichts, aber sollte ich die Frage verstanden haben, weiß ich von eine Trick. Wie gesagt, ich hab nur Kenntnis davon, ich weiß nicht wie das funktioniert. Aber so wie ich den Trick verstanden habe müssen bei z. B. 100 Rechnern (mal als Hausnummer) die an dem Angriff teilnehmen, nicht unbedingt 100 Rechner infiziert sein. Vielmehr wird hier sozusagen über Bande gespielt. Es werden Anfragen an 100 Rechner verschickt, allerdings eine falsch Rückantwort-Adresse gegeben. Die 100 Rechner schicken somit Antworten an deinen Server, obwohl der gar nichts angefordert hat.

Ich glaube, das geht aber nur auf niedrigeren Schichten, also konkret auf TCP-Ebene. Bei uns ist es aber HTTP-Spam, wodurch der Apache-Server überlastet wurde. War auch nicht ganz meine Frage, aber trotzdem Danke für die Info

Zitat von BUG:

Zitat von NamenLozer:

Ist es einfach Zufall? Suchen Botnetze sich vielleicht einfach irgendeine zufällige URI raus, die sie auf der Seite finden?

Vermutlich werden Requests genutzt, die serverseitig viel kosten.
Vielleicht wird das nicht gecached oder irgendetwas in der Art

Hätte ich auch gedacht, aber die URI scheint mir nicht besonders „teuer“ zu sein. Da gäbe es eigentlich effektivere Möglichkeiten, z.B. kann man bei MediaWiki einfach an die URL hinten &action=purge anhängen und so erzwingen, dass der Cache umgangen wird.

Ich habe das Rätsel aber jetzt halb gelöst – anscheinend ist das, was ich gefunden habe, tatsächlich nur der Nebenrequest eines anderen Seitenaufrufs, und zwar von der Seite, die auch im Referrer angegeben war. Weil diese von einer anderen Domain kommt, habe ich das im Log nicht gleich gesehen. Allerdings enthält die Verursacher-URL zufällig das gleiche Muster, auf das ich in nginx matche und dann blockiere. D.h. ich hatte ein bisschen Glück beim Schreiben des RegEx

Sieht für mich nun so aus, als hätte wirklich jemand einfach die erstbeste URL als Ziel eingegeben...

Zitat von Perlsau:

@NamenLozer: Davon abgesehen sollten Verdächtige statt öffentlich besser den Ermittlungsbehörden genannt werden, denn diese Äußerung wäre strafrechtlich absolut nicht relevant und könnte u.U. sogar zur Ermittlung des Täters führen. Denn eigentlich kann dir hier niemand wirklich weiterhelfen, du solltest daher besser zur Polizei gehen und Anzeige erstatten. Die Beamten werden dich dann vermutlich von sich aus fragen, ob du Feinde oder jemanden in Verdacht hast.

Mit solchen Beschuldigungen sollte man mehr als vorsichtig sein. Damit kann man schnell mal jemandem die Existenz ruinieren. Stell dir mal vor jemand behauptet Du wärest Urheber einer solchen Attacke und zeigt dich an. Die daraus entstehende Beschlagnahmung der Rechner kann gerade Selständigen schnell das Genick brechen.

Also wenn man nicht weiß woher es kommt, sollte man sich tunlichst zurück halten. Auch gerade, weil sich die Ermittlungsbehörden in der BRD nicht gerade mit Ruhm bekleckern, wenn es um solche Fälle geht.