Webshop dauerhaft unter Beschuss – Hilfe

Schlagwörter: , , ,

Dieses Thema enthält 4 Antworten und 2 Teilnehmer. Es wurde zuletzt aktualisiert von  minori 13. Dezember 2015 at 15:44.

Ansicht von 5 Beiträgen - 1 bis 5 (von insgesamt 5)
  • Autor
    Beiträge
  • #44434

    Hallo zusammen,

    ich habe in den vergangen Jahren viel mit falschen Websiteaufrufen zu tun gehabt. Ich betreibe einen Artikelshop mit weit mehr als 30.000 Artikel. (seit 1998, komplett selbst programmiert)

    Damals kamen öfters falsch programmierte Crawler vorbei, die ohne robots.txt alles gesaugt haben und viel Last produzierten. Das habe ich im Griff (seit 2004).

    Doch seit ca. 1 Jahr ärgert mich ein anderes Problem nun. Es wurden ununterbrochen die Artikelseiten heruntergeladen. (ich dachte zuerst an Preisvergleichsportale)

    jedoch waren die Client-IPs normale dynamische IPs mit jedesmal unterschiedlichen UA’s (auch von gleicher IP). Ich habe Mustererkennung (Firewall) programmiert und hatte die Aufrufe wieder im Griff. Danach war Ruhe und nun geht es wieder los…

    Nur eben 100x kranker und richtig aggresiv… Ich habe herausgefunden, dass alle Aufrufe von einem Server aus gesteuert werden müssen, da ich Einfluss auf die Geschwindigkeit nehmen kann. (Verzögerte Seite (3 Sekunden) lässt weitere Aufrufe danach warten. Oder redirect auf Downloadfiles (verzögert auch die Geschwindigkeit)

    Früher kamen die Angriffe von OVH-Server (Firewall sperrt nun OVH komplett). Jetzt ist das gesamte TOR + Proxy + ???? (BotNet???) hinzugekommen.

    Ich habe Aufrufe aus der gesamten Welt und komme kaum hinterher die IPs zu blockieren, damit der Server nicht zusammenbricht (mysql connection limit). Ich vermute, dass der Server gezielt lahm gelegt werden soll. (oder Zugriffszahlen fälschen)

    z.B.
    – 104.156.228.190 (San Jose, California, United States)
    – 1.120.106.216 (Runcorn, Queensland, Australia) Telstra Pty Ltd
    – 154.49.203.26

    und und und….

    Ich habe live die Zugriffe vor mir liegen und weiß nicht was ich dagegen noch machen kann. Selbst aus dem Vodafone Netz kommen die Aufrufe. Habe sogar schon ne FritzBox gefunden (also normal User anscheinend) Viele IPs stellte sich als proxies heraus.

    Ich würde mich riesig freuen, wenn mir jemand einen Tipp geben könnte, wie ich dagegen vorgehen könnte, bzw. noch besser: Wer ist das? Welche Untersuchungen kann ich noch anstellen?

    VG
    Stephan

    #157231

    msi
    Teilnehmer

    Hallo Stephan,

    aus meiner Sicht bist Du bereits sehr bemüht hinter der Sache her.

    Allerdings ist ein DDoS-Angriff der über ein Botnetz kommt, oft gar nicht mehr als Angriff zu erkennen. Zumindest nicht aus der Sicht eines einzelnen Servers. Das liegt einfach daran, dass sich ein Botnetz aus so vielen verschiedenen Systemen zusammensetzt, dass ein Muster mehr dahinter zu erkennen ist.

    Dafür gibt es dann Blacklisten, wie zum Beispiel blocklist.de. Hier kann jeder Serverbetreiber Daten einliefern. Wenn also auf deinem Server eine IP versucht einen FTP-Account zu bruteforcen, dann sendest du das an blocklist.de und über deren Blacklist kann sich dann ein 3. Server schützen ohne vorher angegriffen zu werden.

    Von blocklist.de kann man sich dann die IP-Liste regelmäßig ziehen und die Zugriffe dieser IPs per iptables verhindern. Die Listen gibt es hier: http://www.blocklist.de/en/export.html

    Natürlich gibt es in dem Bereich noch viele andere Anbieter aber blocklist.de ist aus meiner Sicht der größte Community-Betriebene, der sich auf Angriffe und nicht auf Spam spezialisiert hat.

    Jetzt kann man natürlich sagen, dass ist ja schön und gut, aber die Zugriffe kommen ja dann doch erstmal beim Server an. Das ist richtig. Der Server entscheidet ja dann anhand der iptables was mit einer Verbindung passiert. Wenn das schon zu viel für den Server ist, dann sollte man einen Dienst davor schalten. Cloudflare, Akamai, Incapsula, Link11 und wie sie alle heißen sind alles Anbieter die mit DDoS-Schutz werben. Die Anbieter haben ebenfalls den Vorteil, dass Ihnen Daten mehrere Systeme zur Verfügung stehen und ein Angriff damit eher erkennbar ist, als auf einem Einzelsystem. Außerdem greifen die Dienste schon ein, bevor der Zugriff auf Deinem Server ist.

    Ich persönlich würde erst einmal Versuchen mit verschiedenen Blacklisten zu arbeiten und wenn das nichts hilft mal in eine Testphase eines solchen CDN-Anbieters zu gehen.

    Viele Grüße,
    MSI

    #157233

    Hallo msi,

    vielen Dank bzgl. backlist.de. Das ist wirklich eine sinnvolle Idee, dort mit externen Listen zusammenzuarbeiten. bei 4 IPs habe ich schon 1 IP dort gefunden. Ich sollte diese Liste regelmäßig in meine Backlist überführen.

    Meine eigene Blacklist ist mittlerweile bei 73.000 IP angelangt. Aber mit der Synchronisierung wäre das auf alle Fälle ne gute Idee.

    Ein extra Gerät ist bereits vor den Server geschaltet worden, da damals aus dem OVH Netzwerk der Server schon mal lahm gelegt wurde. Dieser muss aber eben mit IP’s gefüllt werden. Und dort gibt man eher Ranges an, als einzelne böse Server. (das wäre unsere Nothilfe, falls es wieder kracht)

    Ich finde echt viele IPs wieder, die auch auf blacklist.de gelistet sind. Und wenn ich automatisch bei jedem Aufruf es gleich weiterleite, dann sehen die anderen auch sofort, was Phase ist.

    Vielen Dank für den Tipp… ich werde das gleich umsetzen.

    Stephan

    #157234

    Hallo Leute,

    leider habe ich es nicht wirklich mit der Lösung über blockist.de schaffen können. zu 95% der Aufrufe kommenvon IPs, welche nicht in der blockist-DB vorhanden waren. Ich importiere diese aber dennoch, da ja vlt. irgendwann vielleicht mal wieder was anderes kommt.

    Der Angreifer, welcher dauerhaft den Shop belastet ist immer noch da und er hat nachgearbeitet. Er scheint jetzt einen so großen Pool an HTTP-IP-Proxy’s zu besitzen, dass er nun nur eine IP aller 48 verwenden muss. Es ist der Hammer wie viele solcher verseuchten Server im Netz vorhanden sind, die für diesen zentral gesteuerten Aufruf unterwegs sind.

    Hier mal die IP’s der letzten 2min (weltweit verstreut).

    127.255.255.255 106.221.128.136 127.255.255.255 127.255.255.255 80.220.194.112 101.100.182.137 31.30.58.142 127.255.255.255 2.110.53.177 46.208.165.152 127.255.255.255 94.99.111.86 71.43.251.130 80.117.56.87 127.255.255.255 46.227.170.75 72.50.52.27 36.74.23.85 64.141.6.120 127.255.255.255 127.255.255.255 2.40.130.104 121.210.159.64 66.223.130.233 127.255.255.255 90.190.199.145 49.206.7.103 60.226.18.112 92.239.56.33 58.7.191.7 94.204.212.80 127.255.255.255 60.244.69.18 127.255.255.255 95.185.30.238 127.255.255.255 127.255.255.255 99.254.87.58 116.12.162.100 88.102.110.5 90.191.238.7 127.255.255.255 46.99.20.210 115.113.126.97 119.104.48.84 80.101.95.211 82.46.245.9 70.69.38.82 88.9.74.79 94.206.157.163 127.255.255.255 73.131.187.41 94.192.25.31 86.191.243.192 38.98.151.131 107.9.247.1 127.255.255.255 97.80.224.92 127.255.255.255 127.255.255.255 86.134.60.166 27.6.137.188 85.254.74.156 89.154.38.232 85.8.43.215 104.137.55.36 127.255.255.255 94.145.7.162 89.23.246.178 116.231.138.101 121.166.159.149 27.44.6.89 127.255.255.255 66.199.8.147 94.206.157.163 81.99.78.245 127.255.255.255 127.255.255.255 127.255.255.255 93.137.232.18 113.53.171.94 46.195.167.168 89.162.115.212 127.255.255.255 127.255.255.255 127.255.255.255 46.23.36.185 127.255.255.255 127.255.255.255 89.155.237.122 127.255.255.255 86.10.44.178 24.137.71.251 94.205.123.147 127.255.255.255 127.255.255.255 77.181.54.230 109.79.199.171 86.46.108.47 89.11.189.254 62.61.159.141 2.108.219.105 50.24.55.249 91.127.47.231 127.255.255.255 90.193.249.215 5.80.184.78 127.255.255.255 83.89.207.30 24.107.96.23 87.55.112.141 92.153.193.74 127.255.255.255 127.255.255.255 127.255.255.255 127.255.255.255 80.223.169.232 94.204.212.80 82.183.6.165 127.255.255.255 127.255.255.255 112.134.80.50 127.255.255.255 118.163.177.218 61.231.103.178 95.20.89.142 92.57.31.116 127.255.255.255 105.105.5.128 87.19.93.42 27.143.247.18 127.255.255.255 90.149.70.71 127.255.255.255 80.219.48.85 127.255.255.255 74.233.129.110 87.100.18.195 79.36.130.41 86.59.151.182 127.255.255.255 94.204.212.80 76.21.169.164 84.124.151.180 46.162.97.48 87.249.145.211 127.255.255.255 127.255.255.255 94.101.213.30 92.25.139.107 127.255.255.255 99.231.240.24 89.157.222.106 81.231.116.177 93.81.33.152 127.255.255.255 80.95.88.1 36.84.67.143 93.161.89.38 127.255.255.255 84.120.227.74 62.203.213.103 88.70.1.128 68.148.72.174 86.159.1.156 5.29.176.47 82.236.122.117 111.184.31.26 117.20.217.8 27.109.23.141 70.158.73.34 121.32.5.26 24.71.137.240 84.74.112.248 127.255.255.255 127.255.255.255 127.255.255.255 119.72.192.100 127.255.255.255 115.87.202.192 127.255.255.255 86.45.16.193 5.149.172.114 127.255.255.255 127.255.255.255 87.104.173.212 88.112.76.73 85.240.68.210 122.161.2.192 127.255.255.255 79.12.152.239 60.224.41.139 81.200.20.41 88.104.37.213 93.43.105.212 127.255.255.255 127.255.255.255 127.255.255.255 127.255.255.255 2.110.112.135

    Ich habe jetzt die Header-Signatur + diverse andere Merkmale (newSession, etc.) mit einem RegEx mir vorgenommen und kann diesen nun sehr gut eindeutig identifizieren. Somit sammle ich nun still und heimlich die ganzen Quellen.

    Hat irgendjemand eine Idee, welches Botnetz dahinter liegt? Welches Netzwerk nutzt er, um diese vielen IP’s für sich als Proxy verwenden zu können (vorwiegend DHCP Netze -> also ganz normale Surfer müssten das sein)? Gern würde ich auf einen solchen Proxy mal mitscheiden wollen, um die QuellIP ermitteln zu können.

    Hat jemand Erfahrungen auf diesem Gebiet? Wir sind auch bereit, für gute Ergebnisse uns erkenntlich zu zeigen. (PM schreiben) Aber ansonsten bin ich auch für jeden Tipp dankbar, den Ihr habt. Bis dato sammle ich fleißig die IP’s denn daraus kann man ja am Ende auch schlussfolgern, welche IP vlt. verseucht ist.

    VG

    #157232

    Ich habe bereits über 60.000 verschiedene IP’s sammeln können, welche quasi infizierten Rechnern oder Botnetze sind. Eigentlich eine gute Basis, um gegen solche Netze vorzugehen. Habe auch mal Mail an Botfrei gesendet. Aber hier scheint man sich zumindest dafür nicht zu interessieren. Habe dort noch keine Rückmeldung bekommen.

    93.57.230.36 95.63.36.89 195.91.229.33 94.207.163.163 95.29.21.148 80.219.17.116 197.231.221.211 189.197.160.61 212.251.147.30 101.178.239.137 83.249.24.114 202.204.48.151 202.116.30.20 178.25.205.169 89.173.117.19 85.131.74.144 31.10.145.76 88.222.137.10 80.6.71.218 94.145.21.169 83.102.57.9 86.169.253.254 187.246.111.184 86.21.72.156 145.108.145.76 114.244.2.127 81.13.254.124 95.21.169.119 193.46.206.1 88.149.170.70 81.9.166.128 82.227.248.12 130.25.148.90 95.61.43.223 2.80.162.75 87.201.101.168 84.209.135.230 174.6.86.146 92.221.213.182 91.226.113.118 5.145.210.24 83.231.120.60 89.178.70.85 217.71.206.121 92.158.19.85 189.101.200.90 189.124.130.47 93.147.74.171 36.235.195.156 201.17.48.249 85.26.44.55 165.123.233.190 187.67.163.31 82.178.8.214 70.40.38.118 1.36.229.223 203.220.31.149 5.158.37.121 84.213.210.142 178.162.124.41 186.237.62.22 83.209.65.18 153.206.13.148 171.98.186.226 189.244.110.97 111.94.93.11 103.16.201.21 94.162.228.41 93.102.135.128 218.26.181.236 186.109.113.159 184.162.91.53 14.199.118.235 89.74.144.190 202.204.48.151 84.211.74.98 46.2.162.166 122.104.33.179 84.95.1.41 220.245.19.51 212.110.76.6 201.131.14.4 59.189.76.85 79.176.106.189 179.219.155.44 72.143.21.38 37.189.11.27 175.33.29.178 77.46.81.28 108.7.61.110 134.3.254.78 82.82.243.109 14.201.13.12 89.98.5.184 84.105.176.225 79.246.228.22 82.239.0.71 5.147.71.26 90.194.63.159 177.17.242.244 219.79.205.71 179.34.67.125 187.36.228.204 2.220.138.137 37.60.68.122 80.192.202.173 89.180.186.72 109.49.39.67 83.205.194.109 5.158.37.121 82.141.234.65 85.177.80.225 220.253.133.191 67.164.72.109 14.201.145.250 187.250.174.236 24.77.41.17 86.191.157.17 46.226.59.161 81.167.76.109 201.80.41.242 184.156.57.234 123.201.59.189 118.92.150.252 188.244.213.146 87.16.35.17 109.79.140.182 5.41.201.166 96.54.172.87 86.21.203.1 70.55.14.5 174.21.229.95 92.234.33.18 79.49.180.158 95.226.216.191 217.12.59.204 101.188.27.213 109.152.22.156 221.161.151.122 212.214.212.17 5.246.191.201 115.70.159.205 109.64.183.152 86.90.65.161 85.136.77.18 60.251.231.2 89.10.223.27 142.113.229.131 221.15.243.139 90.42.232.192 84.127.23.82 90.47.176.150 181.229.123.29 95.90.227.123 89.93.59.211 187.84.58.158 60.248.246.9 78.24.10.212 178.140.238.121 122.31.72.234 128.69.38.245 109.156.173.138 79.92.231.123 88.90.153.167 12.182.253.11 78.235.165.77 72.223.62.199 81.141.106.244 70.50.142.11 62.107.150.68 84.155.39.74 58.174.8.220 197.231.221.211 195.142.141.164 185.21.66.233 93.164.5.85 191.190.253.229 194.44.30.202 181.113.154.168 201.183.163.169 78.0.113.54 177.32.136.196 81.183.177.241 99.226.168.163 84.50.35.73 200.152.98.231 82.131.22.178 42.61.241.172 5.147.124.207 94.127.122.28 109.79.56.181 80.21.203.16 46.148.74.200 46.9.80.248 197.231.221.211 85.167.165.33 122.49.216.230 186.177.186.186 110.22.88.152 46.159.60.245

Ansicht von 5 Beiträgen - 1 bis 5 (von insgesamt 5)

Du musst angemeldet sein, um auf dieses Thema antworten zu können.