Besucherrekord (DDOS-Angriff)

[guennid]

Der Besucherrekord liegt bei 15085 Besuchern, die am 18.09.2018 05:52:59 gleichzeitig online waren.

Das war wohl gestern. Der letzte "Rekord" stammte aus 2008, wenn ich nichts überlesen habe. Wie schon damals vermutet wurde, kann es sich kaum um einen echten Rekord handeln, in dem Sinne, dass tatsächlich 15000 individuelle Nutzer zeitgleich das Debianforum besuchten. Neugierig wie ich bin, wüsste ich gerne, was das dann war. Oder kann man das nicht genauer feststellen?

Grüße, Günther

[willy4711]

15085 Besucher um 05:52:59 in einem deutschen Forum ?
Glaub ich nicht. Da ist der Wurm drin

Neugierig wie ich bin, wüsste ich gerne, was das dann war.

Na die Invasion der Russen. Die sind eh an allem Schuld

[eggy]

Hat sich TShirt-Aktion bis ins Ubuntuforum rumgesprochen?

[Meillo]

Moeglicherweise haengt das damit zusammen: Gestern morgen und gerade eben kann ich keine ``Neuen Beitraege'' anzeigen lassen. Es kommt die Meldung:

Sorry but you cannot use search at this time. The server has high load. Please try again later.

Auch sonst reagiert das Forum traege (was klar ist, wenn der Load hoch ist).

DDOS-Angriff?

Gestern tagsueber war aber alles in Ordnung.

[hikaru]

Ich kann Meillos Beobachtungen in allen Punkten bestätigen. (Besucher: 6315)

[feltel]

Auch wenn es mich freuen würde, wenn wir auf einmal eine fünfstellige Anzahl an Usern online hätten, so wird -zumindest in diesem Fall und diese Uhrzeit - wohl die Ursache entweder ein gesteuerter Angriffsversuch oder ein irrlichternder Bot oder sowas in der Art gewesen sein. Aber gut, das der Server soweit Stand gehalten hat.

[feltel]

Im Moment läuft gerade wieder so ein Angriff. Knapp 7000 "User". Hängt das vielleicht mit dem neuen phpBB-Release zusammen und der Suche nach Lücken?

[MSfree]

Hängt das vielleicht mit dem neuen phpBB-Release zusammen und der Suche nach Lücken?

Wenn, dann sucht jemand nach Lücken in Forren, die noch die alte phpBB-Version einsetzen. Diese Angriffe laufen ja schon seit mindestens dem 18.9.2018, als über 15000 Besucher gezählt wurden. Die Software hattest du ja am 20.9.2018 aktualisiert.

[feltel]

Das mit der Suche nach Sicherheitslücken war auch so von mir gemeint, aber etwas blöd formuliert.

[Meillo]

Sind denn die IP-Adressen der Gaeste irgendwie von einheitlicher Art, aus einer geografischen Region z.B.? Ganze Gruppen auszusperren ist immer doof, aber vielleicht koennte man so uebergangsweise etwas Linderung verschaffen. Die Frage ist halt wie distributed der DDOS-Angriff ist. Vielleicht kann man ihn doch in seiner Art von den anderen Nutzungen abgrenzen und dadurch abwehren. Ich habe da keine Praxiserfahrung, denke bloss laut nach. Was gaebe es denn fuer Analysemoeglichkeiten in so Faellen? Oder muss man das aussitzen?

[feltel]

Die Requests kommen aus unterschiedlichsten Netzen, ständig wechselnd. Türkei, Hongkong, Indien, USA, China, Pakistan usw usw. Da man mMn nicht zuverlässig zwischen legitimen Zugriff und Angriff unterscheiden kann, bleibt wohl nix anderes übrig, als abzuwarten bis es vorüber ist.

[guennid]

DF-Nutzung z.Z. nur sehr eingeschränkt möglich:Dauert elend lange bis geladen. Suche nach "aktiven Themen" meldet konstant "Serverüberlastung". Verabschiede mich einstweilen - macht keinen Sinn.

Grüße, Günther

[willy4711]

Gibt es denn soviel Forenmitglieder (auch Gäste) außerhalb - sagen wir mal - der EU ?
Wäre es vielleicht möglich andere IPs - (EU- Ausländer) temporär zu sperren ?
Sonst sitzen wir noch zu Weihnachten und "freuen" uns über die Besucherzahlen.

[feltel]

https://twitter.com/debianforum_de/stat ... 2486252544

[MSfree]

Läßt sich so eine Attacke nicht auch mit fail2ban abmildern?

[feltel]

Ich wüsste nicht wie. Es sind ja bloß HTTP-Requests, nur halt ziemlich viele von ziemlich unterschiedlichen IPs. Es ist ja nicht so, das hier eine einzelne IP viele Requests macht oder sonstwie auffällig wäre.

[MSfree]

Ich wüsste nicht wie.

Ich ehrlich gesagt auch nicht, zumindest ncht spontan.

Trotz vieler verschiedener IP-Adressen sollte es aber möglich sein, festzustellen, welche Hosts auffällig viele HTTP-Requests pro Zeiteinheit verursachen. Als normaler Forumsteilnehmer verursacht man ja relativ weniger Requests pro Zeiteinheit.

[guennid]

Es ist schon wieder soweit. Kann es sein, dass die Uhrzeit relevant ist?

Grüße, Günther

[feltel]

Mit ein paar zusätzlichen Einstellungen und Filtern sind die Angriffe jetzt nicht mehr so wirksam. Ich bleibe aber dran das sie ganz aufhören. Sie scheinen wie @guennid richtig bemerkt, zeitgesteuert abzulaufen.

[Meillo]

Zum Thema Zeitabhaengigkeit: Ich habe gestern ein kleines Script geschrieben und als Cronjob aufgesetzt, das die Anzahl der Benutzer im Forum und die Antwortzeit fuer die Abfrage der Seite stuendlich loggt. Die Ergebnisse findet ihr hier:
http://tmp.marmaro.de/dfde/dfde-besucher.log

Das Script:

Code: Alles auswählen

#!/bin/sh

start=`date +%s`
datum="`date +%F\ %H:%M`"
besucher="`w3m -dump https://debianforum.de/forum/index.php 2>/dev/null |
        egrep -o '[0-9]+ Besucher online'`"
end=`date +%s`
duration=`expr $end - $start`

printf "%s\t%s\t%s\n" "$datum" "$duration s" "$besucher"

Ich werde das Script einfach mal laufen lassen. Auch abgesehen von den Angriffen kann man dann darueber mal nette Grafiken erzeugen. (Ich erzeuge die auch fuer euch, wenn mir jemand ein Gnuplot-Script o.ae. liefert.)

[feltel]

https://debianforum.de/forum/index.php, das spart einen Redirect. Verantwortungsvoll mit Ressourcen umgehen.

[Meillo]

https://debianforum.de/forum/index.php, das spart einen Redirect. Verantwortungsvoll mit Ressourcen umgehen.

Wie gewuenscht geaendert.

[feltel]

Was immer die auch immer da machen, aber seit ein paar Stunden gibt es keine entsprechenden Requests mehr, die dem Muster entsprechen. Mal sehen, ob es morgen früh wieder anfängt, um dann gegen Mittag/Nachmittag abzuebben.

[Meillo]

Ich wuerde sagen, deine Einstellungen waren erfolgreich ... oder die Angreifer haben schlichtweg aufgehoert. Jedenfalls gibt es keine Auffaelligkeiten mehr, siehe: http://tmp.marmaro.de/dfde/dfde-besucher.log

[feltel]

... die machen fleissig weiter. Wir sind heute schon um diese Uhrzeit bei der hälfte der Aufrufversuche, die von gestern früh halb sieben bis zum heutigen Logrotate um früh halb sieben stattgefunden haben. Also es geht wohl verstärkt weiter.

An der Erhöhung der Aufrufzeiten um die paar Sekunden sieht man aber doch einen kleinen Effekt der Angriffe. Aber damit kann ich zumindest besser leben als mit einer geDDoSten Seite.