Schreibt hier die Funktionen, Kategorien und Themen rein, die euch momentan hier noch fehlen.
-
guennid
Beitrag
von guennid » 19.09.2018 11:50:01
debianforum hat geschrieben:Der Besucherrekord liegt bei 15085 Besuchern, die am 18.09.2018 05:52:59 gleichzeitig online waren.
Das war wohl gestern. Der letzte "Rekord" stammte aus 2008, wenn ich nichts überlesen habe. Wie schon damals vermutet wurde, kann es sich kaum um einen echten Rekord handeln, in dem Sinne, dass tatsächlich 15000 individuelle Nutzer zeitgleich das Debianforum besuchten. Neugierig wie ich bin, wüsste ich gerne, was das dann war.
Oder kann man das nicht genauer feststellen?
Grüße, Günther
Zuletzt geändert von
Meillo am 21.09.2018 09:43:59, insgesamt 1-mal geändert.
Grund: Titel ergaenzt
-
willy4711
Beitrag
von willy4711 » 19.09.2018 12:02:20
15085 Besucher um 05:52:59 in einem deutschen Forum ?
Glaub ich nicht. Da ist der Wurm drin
Neugierig wie ich bin, wüsste ich gerne, was das dann war.
Na die Invasion der Russen. Die sind eh an allem Schuld
-
eggy
- Beiträge: 3334
- Registriert: 10.05.2008 11:23:50
Beitrag
von eggy » 19.09.2018 12:48:12
Hat sich TShirt-Aktion bis ins Ubuntuforum rumgesprochen?
-
Meillo
- Moderator
- Beiträge: 9241
- Registriert: 21.06.2005 14:55:06
- Wohnort: Balmora
-
Kontaktdaten:
Beitrag
von Meillo » 20.09.2018 08:28:12
Moeglicherweise haengt das damit zusammen: Gestern morgen und gerade eben kann ich keine ``Neuen Beitraege'' anzeigen lassen. Es kommt die Meldung:
Sorry but you cannot use search at this time. The server has high load. Please try again later.
Auch sonst reagiert das Forum traege (was klar ist, wenn der Load hoch ist).
DDOS-Angriff?
Gestern tagsueber war aber alles in Ordnung.
Use ed once in a while!
-
hikaru
- Moderator
- Beiträge: 13911
- Registriert: 09.04.2008 12:48:59
Beitrag
von hikaru » 20.09.2018 08:51:59
Ich kann Meillos Beobachtungen in allen Punkten bestätigen. (Besucher: 6315)
-
feltel
- Webmaster
- Beiträge: 10448
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Beitrag
von feltel » 20.09.2018 18:45:38
Auch wenn es mich freuen würde, wenn wir auf einmal eine fünfstellige Anzahl an Usern online hätten, so wird -zumindest in diesem Fall und diese Uhrzeit
- wohl die Ursache entweder ein gesteuerter Angriffsversuch oder ein irrlichternder Bot oder sowas in der Art gewesen sein. Aber gut, das der Server soweit Stand gehalten hat.
-
feltel
- Webmaster
- Beiträge: 10448
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Beitrag
von feltel » 21.09.2018 07:50:12
Im Moment läuft gerade wieder so ein Angriff. Knapp 7000 "User". Hängt das vielleicht mit dem neuen phpBB-Release zusammen und der Suche nach Lücken?
-
MSfree
- Beiträge: 11605
- Registriert: 25.09.2007 19:59:30
Beitrag
von MSfree » 21.09.2018 08:56:26
feltel hat geschrieben: 21.09.2018 07:50:12
Hängt das vielleicht mit dem neuen phpBB-Release zusammen und der Suche nach Lücken?
Wenn, dann sucht jemand nach Lücken in Forren, die noch die alte phpBB-Version einsetzen. Diese Angriffe laufen ja schon seit mindestens dem 18.9.2018, als über 15000 Besucher gezählt wurden. Die Software hattest du ja am 20.9.2018 aktualisiert.
-
feltel
- Webmaster
- Beiträge: 10448
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Beitrag
von feltel » 21.09.2018 09:22:07
Das mit der Suche nach Sicherheitslücken war auch so von mir gemeint, aber etwas blöd formuliert.
-
Meillo
- Moderator
- Beiträge: 9241
- Registriert: 21.06.2005 14:55:06
- Wohnort: Balmora
-
Kontaktdaten:
Beitrag
von Meillo » 21.09.2018 09:41:20
Sind denn die IP-Adressen der Gaeste irgendwie von einheitlicher Art, aus einer geografischen Region z.B.? Ganze Gruppen auszusperren ist immer doof, aber vielleicht koennte man so uebergangsweise etwas Linderung verschaffen. Die Frage ist halt wie distributed der DDOS-Angriff ist. Vielleicht kann man ihn doch in seiner Art von den anderen Nutzungen abgrenzen und dadurch abwehren. Ich habe da keine Praxiserfahrung, denke bloss laut nach. Was gaebe es denn fuer Analysemoeglichkeiten in so Faellen? Oder muss man das aussitzen?
Use ed once in a while!
-
feltel
- Webmaster
- Beiträge: 10448
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Beitrag
von feltel » 21.09.2018 09:46:17
Die Requests kommen aus unterschiedlichsten Netzen, ständig wechselnd. Türkei, Hongkong, Indien, USA, China, Pakistan usw usw. Da man mMn nicht zuverlässig zwischen legitimen Zugriff und Angriff unterscheiden kann, bleibt wohl nix anderes übrig, als abzuwarten bis es vorüber ist.
-
guennid
Beitrag
von guennid » 21.09.2018 09:47:29
DF-Nutzung z.Z. nur sehr eingeschränkt möglich:Dauert elend lange bis geladen. Suche nach "aktiven Themen" meldet konstant "Serverüberlastung". Verabschiede mich einstweilen - macht keinen Sinn.
Grüße, Günther
-
willy4711
Beitrag
von willy4711 » 21.09.2018 09:56:48
Gibt es denn soviel Forenmitglieder (auch Gäste) außerhalb - sagen wir mal - der EU ?
Wäre es vielleicht möglich andere IPs - (EU- Ausländer) temporär zu sperren ?
Sonst sitzen wir noch zu Weihnachten und "freuen" uns über die Besucherzahlen.
-
feltel
- Webmaster
- Beiträge: 10448
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Beitrag
von feltel » 21.09.2018 11:10:57
-
MSfree
- Beiträge: 11605
- Registriert: 25.09.2007 19:59:30
Beitrag
von MSfree » 21.09.2018 11:16:40
Läßt sich so eine Attacke nicht auch mit fail2ban abmildern?
-
feltel
- Webmaster
- Beiträge: 10448
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Beitrag
von feltel » 21.09.2018 11:18:36
Ich wüsste nicht wie. Es sind ja bloß HTTP-Requests, nur halt ziemlich viele von ziemlich unterschiedlichen IPs. Es ist ja nicht so, das hier eine einzelne IP viele Requests macht oder sonstwie auffällig wäre.
-
MSfree
- Beiträge: 11605
- Registriert: 25.09.2007 19:59:30
Beitrag
von MSfree » 21.09.2018 11:57:10
feltel hat geschrieben: 21.09.2018 11:18:36
Ich wüsste nicht wie.
Ich ehrlich gesagt auch nicht, zumindest ncht spontan.
Trotz vieler verschiedener IP-Adressen sollte es aber möglich sein, festzustellen, welche Hosts auffällig viele HTTP-Requests pro Zeiteinheit verursachen. Als normaler Forumsteilnehmer verursacht man ja relativ weniger Requests pro Zeiteinheit.
-
guennid
Beitrag
von guennid » 22.09.2018 08:19:59
Es ist schon wieder soweit. Kann es sein, dass die Uhrzeit relevant ist?
Grüße, Günther
-
feltel
- Webmaster
- Beiträge: 10448
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Beitrag
von feltel » 24.09.2018 06:55:03
Mit ein paar zusätzlichen Einstellungen und Filtern sind die Angriffe jetzt nicht mehr so wirksam. Ich bleibe aber dran das sie ganz aufhören. Sie scheinen wie @guennid richtig bemerkt, zeitgesteuert abzulaufen.
-
Meillo
- Moderator
- Beiträge: 9241
- Registriert: 21.06.2005 14:55:06
- Wohnort: Balmora
-
Kontaktdaten:
Beitrag
von Meillo » 24.09.2018 09:16:49
Zum Thema Zeitabhaengigkeit: Ich habe gestern ein kleines Script geschrieben und als Cronjob aufgesetzt, das die Anzahl der Benutzer im Forum und die Antwortzeit fuer die Abfrage der Seite stuendlich loggt. Die Ergebnisse findet ihr hier:
http://tmp.marmaro.de/dfde/dfde-besucher.log
Das Script:
Code: Alles auswählen
#!/bin/sh
start=`date +%s`
datum="`date +%F\ %H:%M`"
besucher="`w3m -dump https://debianforum.de/forum/index.php 2>/dev/null |
egrep -o '[0-9]+ Besucher online'`"
end=`date +%s`
duration=`expr $end - $start`
printf "%s\t%s\t%s\n" "$datum" "$duration s" "$besucher"
Ich werde das Script einfach mal laufen lassen. Auch abgesehen von den Angriffen kann man dann darueber mal nette Grafiken erzeugen. (Ich erzeuge die auch fuer euch, wenn mir jemand ein Gnuplot-Script o.ae. liefert.)
Zuletzt geändert von
Meillo am 24.09.2018 13:22:21, insgesamt 1-mal geändert.
Grund: s/http:/https:/
Use ed once in a while!
-
feltel
- Webmaster
- Beiträge: 10448
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Beitrag
von feltel » 24.09.2018 09:54:59
http
s://debianforum.de/forum/index.php, das spart einen Redirect. Verantwortungsvoll mit Ressourcen umgehen.
-
Meillo
- Moderator
- Beiträge: 9241
- Registriert: 21.06.2005 14:55:06
- Wohnort: Balmora
-
Kontaktdaten:
Beitrag
von Meillo » 24.09.2018 13:21:58
feltel hat geschrieben: 24.09.2018 09:54:59
http
s://debianforum.de/forum/index.php, das spart einen Redirect. Verantwortungsvoll mit Ressourcen umgehen.
Wie gewuenscht geaendert.
Use ed once in a while!
-
feltel
- Webmaster
- Beiträge: 10448
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Beitrag
von feltel » 24.09.2018 14:54:22
Was immer die auch immer da machen, aber seit ein paar Stunden gibt es keine entsprechenden Requests mehr, die dem Muster entsprechen. Mal sehen, ob es morgen früh wieder anfängt, um dann gegen Mittag/Nachmittag abzuebben.
-
Meillo
- Moderator
- Beiträge: 9241
- Registriert: 21.06.2005 14:55:06
- Wohnort: Balmora
-
Kontaktdaten:
Beitrag
von Meillo » 25.09.2018 08:13:26
Ich wuerde sagen, deine Einstellungen waren erfolgreich ... oder die Angreifer haben schlichtweg aufgehoert. Jedenfalls gibt es keine Auffaelligkeiten mehr, siehe:
http://tmp.marmaro.de/dfde/dfde-besucher.log
Use ed once in a while!
-
feltel
- Webmaster
- Beiträge: 10448
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Beitrag
von feltel » 25.09.2018 08:29:00
... die machen fleissig weiter. Wir sind heute schon um diese Uhrzeit bei der hälfte der Aufrufversuche, die von gestern früh halb sieben bis zum heutigen Logrotate um früh halb sieben stattgefunden haben. Also es geht wohl verstärkt weiter.
An der Erhöhung der Aufrufzeiten um die paar Sekunden sieht man aber doch einen kleinen Effekt der Angriffe. Aber damit kann ich zumindest besser leben als mit einer geDDoSten Seite.