Botnetz unterwegs

    Moin,
    seit gestern beobachte ich ein Botnetz. Es sind quasi alle Server betroffen und das auch auf unterschiedliche Weise und natürlich wie es sich für ein Botnetz gehört auch mit vielen Ip´s.
    Diese versuchen sich auf verschiedenen Ports bzw Dienste anzumelden ( werden nach 5 Versuchen gesperrt über IpTables bzw Fail2Ban ) aber auch auf der Software Schicht wird probiert. ( Brute Force Attacken )

    Selbst dort wird nach 5 Versuchen ein 403 für 24h ausgeworfen. Leider sind es massen an Ip´s da kann ich leider gar nix machen, ausser zu warten das es aufhört. Es ist kein "intelligenter Angriff" ( Admin-passwort etc in diese Richtung geht es ) trotzdem wollte ich darauf hinweisen das ich das beobachte und alarmiert bin.

    wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.

    - nun stolz rauchfrei - Ich denke also Bing ich!

    Support 24h Bereitschaft 0173 6107465 - NUR Für Kunden von SEO NW!

    Das habe ich bei mir schon häufiger gehabt. Mein Verdacht war immer, dass das gar nicht direkt gegen mich geht, sondern gegen den Hoster. Also bzw. nicht Hoster an sich, aber dessen Range.

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    Hmm ja schön wärs... Es penetriert ja auch alle Logins aktuell seit mittlerweile vorgestern. Aber gut das dann ein 403 kommt bei so nem Mist. Doof auch bei so vielen Ip´s. Klar werden die gesperrt, aber mich nerven die Emails die ich bekomme die nicht aufhören wollen. ( Hab ich so eingerichtet... das ich die bekomme)

    Haben jetzt halb 1 und ich bin immer noch nach einem Muster am Suchen. Da gibt es keines. Server sind aber gesund, also alles gut.

    wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.

    - nun stolz rauchfrei - Ich denke also Bing ich!

    Support 24h Bereitschaft 0173 6107465 - NUR Für Kunden von SEO NW!

    Aktuell sieht es auf Software Ebene so aus:

    • SQLiShield protection against SQL injection attacks
    • Malicious User Agent block (MUAShield)
    • CSRF/Anti-spam form protection (CSRFShield)
    • Remote File Inclusion block (RFIShield)
    • Remote PHP protocol block (PHPShield)
    • Direct File Inclusion shield (DFIShield)
    • Uploads scanner (UploadShield)
    • PHP session data poisoning protection (SessionShield)
    • Anti-spam filtering based on Bad Words list

    Dann noch ein paar "Überraschungen", das doofe ist aber das nix sicher ist. Ich kenne das leider aus meiner eigenen Vergangenheit.

    Es ist immer die Sache: Ist das jetzt ein Script Kiddy oder was ernstes? Selbst der Script Kiddy kann gefährlich sein, wenn er den neusten Exploit hat und weiss wie man mit bestimmten Tools umgeht.

    wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.

    - nun stolz rauchfrei - Ich denke also Bing ich!

    Support 24h Bereitschaft 0173 6107465 - NUR Für Kunden von SEO NW!

    Ja Alex, das ist scheiße, um das mal so direkt zu sagen. Abfangen kannste da gar nichts, ausser IP für IP. Aber genau das kenne ich. In der Regel ist das nur allgemein und nicht spezifisch. Du sagst ja selbst "Es ist kein "intelligenter Angriff"". Also nur Deppen, die was versuchen. So lange der Server damit zurecht kommt, und das muss er per iptables oder eben 403 ja nicht unbedingt (DDoS), dann ist noch alles ok. Kommt er ins straucheln, dann wird es ein echtes Problem, das hoffe ich nun mal nicht. Strato hatte mir mal meinen Port abgestellt, weil ein DDoS drauf war, das war heftig. Hoffe nicht, dass das bei Dir ist.

    Wenn Du Hilfe brauchst, Du weißt, ich bin da, auch wenn nur so halb. Kann auch Hardware bereitstellen, die das Filtern und das Routing übernimmt. Musste nur sagen, dauert aber mehrere Stunden, denn ich muss dann meine Hosts umziehen.

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    Nein ein DDos ist es ja zum Glück nicht. Die Server langweilen sich noch, also alles gut.
    Danke Synonym für dein Angebot, das ist aber nicht notwendig.

    wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.

    - nun stolz rauchfrei - Ich denke also Bing ich!

    Support 24h Bereitschaft 0173 6107465 - NUR Für Kunden von SEO NW!

    Sodele, seit etwas mehr als 24h ist es eigentlich wieder normal. Von den Ip´s her waren es tausende, ich habe auch schon eine Strategie wie sowas auch vorher abgefangen werden kann. Geht dann auch über Ip Tables und einer neuen "Schutzschicht" welche die Logs ausliest. Auch DDos Attacken können so besser gehandelt werden.

    wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.

    - nun stolz rauchfrei - Ich denke also Bing ich!

    Support 24h Bereitschaft 0173 6107465 - NUR Für Kunden von SEO NW!