kleiner (single) DOS aus dem Microsoft-Netz

Neues rund um debianforum.de
Antworten
Benutzeravatar
feltel
Webmaster
Beiträge: 10448
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

kleiner (single) DOS aus dem Microsoft-Netz

Beitrag von feltel » 22.10.2024 20:55:13

Keine Ahnung warum und wieso, aber das Forum stand bis eben unter etwas Last, die von der Source-IP 72.144.140.235 ausging. Die IP gehört Microsoft (aber scheinbar nicht zu Azure) und hat das Forum zugehämmert mit Seitenaufrufen. Und nicht irgendwelche, sondern etwas mit "Hintergedanken":

Code: Alles auswählen

GET /forum/gallery/image/356/%25c0%25ae%25c0%25ae%25c0%25af%25c0%25ae%25c0%25ae%25c0%25af%25c0%25ae%25c0%25ae%25c0%25af%25c0%25ae%25c0%25ae%25c0%25af%25c0%25ae%25c0%25ae%25c0%25af%25c0%25ae%25c0%25ae%25c0%25af%25c0%25ae%25c0%25ae%25c0%25af%25c0%25ae%25c0%25ae%25c0%25afwindows/win.ini HTTP/1.1" 404 5601 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36"
oder

Code: Alles auswählen

GET /forum/gallery/search/2?aid[0]=1&keywords=1&sc=1&sd=a&sf=http://dicrpdbjmemujemfyopp.zzz/yrphmgdpgulaszriylqiipemefmacafkxycjaxjs%3F.jpg&sid=ce82c0e4182a58058909dd605ee8f021&sk=c&st=0&terms=all&user_id[0]=1&username=TWSfSopc HTTP/1.1"
Die IP ist erstmal geblockt und ich behalte die Situation im Auge.

Benutzeravatar
Meillo
Moderator
Beiträge: 9241
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: kleiner (single) DOS aus dem Microsoft-Netz

Beitrag von Meillo » 22.10.2024 21:17:38

Danke fuer die Info. Hoffen wir mal, es kommt nicht mehr.


Btw: Seit wir vor ein paar Jahren mal einen groesseren DOS-Angriff hatten, logge ich jede Stunde die Besucher im Forum mit.

Grafisch aufbereitet findet sich das hier: http://tmp.marmaro.de/dfde/dfde-besucher.png

Vor ein paar Monaten war also auch schon mal mehr los. Ist mir in der Benutzung des Forums aber nicht aufgefallen.

Die kompletten Daten finden sich hier: http://tmp.marmaro.de/dfde/dfde-besucher.log
(Zeitpunkt, Dauer der Abfrage, Anzahl User)

Manchmal ist das Forum nicht erreichbar und mein Script kann keine Daten ermitteln. Zu oft passiert das aber nicht. In diesem Jahr waren es bisher diese Zeitpunkte:

Code: Alles auswählen

2024-02-26 00:00
2024-03-15 15:02
2024-04-05 00:00
2024-04-28 00:00
2024-04-29 13:02
2024-06-02 00:00
2024-06-04 00:00
2024-06-11 00:00
2024-06-17 00:00
2024-06-20 00:00
2024-07-17 00:00
2024-07-20 00:00
2024-07-22 00:00
2024-07-27 00:00
2024-07-28 00:00
2024-08-02 00:00
2024-09-16 00:00
2024-09-20 00:00
2024-09-26 00:00
2024-10-04 00:00
2024-10-09 00:00
2024-10-19 00:00
2024-10-22 00:00
Dass es so oft um Mitternacht ist, koennte an einem Backup oder so liegen. Wird da irgendwas neu gestartet um Mitternacht, Sebastian? Vielleicht sollte ich die Abfrage besser nicht in Minute 0 machen, sondern zu einer anderen Minute jede Stunde. :roll:


Ich wollte einfach eine Moeglichkeit haben, rueckblickend so Angriffe sehen zu koennen. Das ist vielleicht mal interessant und hilfreich.
Use ed once in a while!

katzenfan
Beiträge: 645
Registriert: 19.04.2008 22:59:51

Re: kleiner (single) DOS aus dem Microsoft-Netz

Beitrag von katzenfan » 23.10.2024 06:50:19

Meillo hat geschrieben: ↑ zum Beitrag ↑
22.10.2024 21:17:38
Dass es so oft um Mitternacht ist, koennte an einem Backup oder so liegen.
Nur als Überlegung; Mitternacht bei uns ist in anderen Weltregionen heller Tag, könnte also auch dort die Ursache haben?

Benutzeravatar
feltel
Webmaster
Beiträge: 10448
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: kleiner (single) DOS aus dem Microsoft-Netz

Beitrag von feltel » 23.10.2024 08:46:14

Das wird wohl ein cronjob sein oder Logrotate vom Apachen. Ich muss mal schauen, ich hab die Zeiten nicht im Kopf. Ein individueller Job von mir dürfte es nicht sein, ich lege da immer krumme Minutenwerte fest.

Benutzeravatar
Meillo
Moderator
Beiträge: 9241
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: kleiner (single) DOS aus dem Microsoft-Netz

Beitrag von Meillo » 23.10.2024 09:40:22

feltel hat geschrieben: ↑ zum Beitrag ↑
23.10.2024 08:46:14
Das wird wohl ein cronjob sein oder Logrotate vom Apachen. Ich muss mal schauen, ich hab die Zeiten nicht im Kopf. Ein individueller Job von mir dürfte es nicht sein, ich lege da immer krumme Minutenwerte fest.
Dann aendere ich meine Abfragezeit mal auf eine andere Minute und schaue, ob das etwas aendert.
Use ed once in a while!

uname
Beiträge: 12406
Registriert: 03.06.2008 09:33:02

Re: kleiner (single) DOS aus dem Microsoft-Netz

Beitrag von uname » 23.10.2024 12:30:29

Etwas interessant ist windows/win.ini in der URL. Einerseits bei Linux etwas unsinnig. Anderesseits gab es das wohl nur bei Windows 9x. Die KI meint, dass es evtl. mit CVE-2024-4577 zusammenhängen könnte. Aber ich denke Debianforum ist weder Windows, kein Windows 9x und nutzt auch kein PHP CGI.

Benutzeravatar
feltel
Webmaster
Beiträge: 10448
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: kleiner (single) DOS aus dem Microsoft-Netz

Beitrag von feltel » 23.10.2024 15:03:46

Da wurden alle möglichen URLs abgefragt. Man müsste die mal mindestens teilweise decodieren, denn wirklich lesbar sind die nicht. Auf jeden Fall nix legitimes. Was mich wundert, das das aus dem Microsoft-Netz kam.

Benutzeravatar
MSfree
Beiträge: 11605
Registriert: 25.09.2007 19:59:30

Re: kleiner (single) DOS aus dem Microsoft-Netz

Beitrag von MSfree » 23.10.2024 15:14:35

feltel hat geschrieben: ↑ zum Beitrag ↑
23.10.2024 15:03:46
Was mich wundert, das das aus dem Microsoft-Netz kam.
Woran kannst du das erkennen?
nslookup liefert bei mir überhaupt nichts zurück und traceroute liefert nur bis zum 8. Hop lesbare Domainnames, danach nur noch Sternchen. OK, da ist dann auch msn darunter, aber das dürfte nur eine Zwischenstation nach Weitwegistan sein.

Benutzeravatar
heisenberg
Beiträge: 4123
Registriert: 04.06.2015 01:17:27
Lizenz eigener Beiträge: MIT Lizenz

Re: kleiner (single) DOS aus dem Microsoft-Netz

Beitrag von heisenberg » 23.10.2024 15:28:31

MSfree hat geschrieben: ↑ zum Beitrag ↑
23.10.2024 15:14:35
feltel hat geschrieben: ↑ zum Beitrag ↑
23.10.2024 15:03:46
Was mich wundert, das das aus dem Microsoft-Netz kam.
Woran kannst du das erkennen?

Code: Alles auswählen

whois 72.144.140.235

NetRange:       72.144.0.0 - 72.147.255.255
CIDR:           72.144.0.0/14
NetName:        MSFT
NetHandle:      NET-72-144-0-0-1
Parent:         NET72 (NET-72-0-0-0-0)
NetType:        Direct Allocation
OriginAS:       
Organization:   Microsoft Corporation (MSFT)
RegDate:        2019-12-11
Updated:        2019-12-11
Ref:            https://rdap.arin.net/registry/ip/72.144.0.0

Benutzeravatar
cosinus
Beiträge: 4202
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: kleiner (single) DOS aus dem Microsoft-Netz

Beitrag von cosinus » 23.10.2024 19:40:42

Naja, auch Rechner, die eine "Microsoft-IP" haben sind ja nicht unverwundbar und können infiziert oder Teil eines Botnetzes sein.

Antworten