Die Logfiles sind ausgewertet und das Ergebnis steht fest. Es war keine DDOS Attacke welche den Blog lahmgelegt hat, sondern eine Kommentarspam Attacke.
Innerhalb von 8 Minuten wurde die Webseite von 179 verschiedenen Adressen beglückt. Der Grossteil der “Besucher” sind Systeme mit offenen Proxies drauf die ausserdem richtig potent sind (verglichen mit Proxies die man sonst so auf Online Listen findet). Die eine hälfte dieser Zugriffe waren reine Aufrufe von Artikeln, die andere hälfte versuchte sich im platzieren von Kommentaren. Wahrscheinlich wollte der Spammer durch die normalen Zugriffe ein gewisses “rauschen” erzeugen.
Der Grund waum das ganze diesem Ansturm nicht standgehalten hat, waren falsche Settings in der Mysql sowie Apache Konfiguration. Da mein System lediglich 512MB hat wurden zuviele Apache Instanzen geöffnet, welche nach und nach den ganzen RAM weggefressen haben. Ich hoffe nun, dass die gemachten Änderungen das nächste mal mehr als 8 Minuten durchhalten.
10:25 Uhr. Ich will mich auf dem Blog einloggen und den Spam löschen, als ich stutzig werde. Die Verbindung ist heute aber auch lahm… komisch. Als ich nach vollen zwei Minuten immer noch keine Verbindung habe, versuche ich es über einen Anonymisierer. Und siehe da, auch der kriegt keine Verbindung.
10:32 Uhr. Irgendwas ist in der Zwischenzeit passiert. Ich komme auf die Hauptseite, kann da aber den Blog auch nicht anwählen.
10:33 Uhr. Jetzt passiert schon mehr. Sobald ich den Blog anwähle erscheint die Fehlermeldung, dass keine Verbindung zum Datenbankserver hergestellt werden konnte. Und so bleibt es dann auch den ganzen Tag.
19:00 Uhr. Eine erste Analyse zeigt, dass irgendwas (Apache? Mysql?) gehörig Cores erzeugt hat und der Datenbank Server nicht mehr läuft. Hurtig alles wegdumpen um es später in ruhe anschauen zu können, dann werden die Dienste wieder aktiviert.
19:10 Uhr. Aha. Hunderte von Zugriffen auf so ziemlich alle verfügbaren Artikel dieses Blogs innerhalb von Sekunden. Da kann der Server nur in die Knie gehen. Es was also eine Distributed Denial of Service (DDOS) Attacke irgend eines Bot Netzes. Die Hauptfrage ist nun, wozu? Wollte jemand ein neues Bot-Netz ausprobieren, bevor er “richtig” zuschlägt? Hat man während der Attacke versucht den Server zu kompromitieren (Loganalyse am Weekend, sigh!) und die Attacke genutzt um Hinweise darauf im Rauschen untergehen zu lassen? Oder ist der Egger Blog für gewisse Kreise ene Bedrohung 
Updates werden folgen…
Update (5. Januar 2008 – 22:50 Uhr): Die Sicherheitslücke bei der Kapo Zürich wurde mittlerweile geschlossen. Die Kapo Bern braucht wohl noch einen Moment. Wahrscheinlich feiern deren Informatiker, wie meine Wiener, Arbeitskollegen morgen die heligen drei Könige und haben darum eine Brücke gemacht
Auf das neue Jahr hin sind die Eggers unter die Hacker gegangen. Nachdem der “Hack” auf die Kapo Zürich und Kapo Bern einen solchen medialen Wirbel verursacht hat, haben wir uns gedacht die Methode ebenfalls einzusetzen um Werbung für unsere Seite zu machen.
Hier also Screenshots der von uns gehackten Webseiten der Kantonspolizei Zürich und Bern.
Eggers Beweisbild des Kapo ZH Hacks
Eggers Beweisbild des Kapo BE Hacks
Und zum Beweis, dass es sich um keine Fotomontage handelt, finden sich hier direkt die Links zu den gehackten Webseiten:
Link zur gehackten Webseite der Kantonspolizei Zürich
Link zur gehackten Webseite der Kantonspolizei Bern
Ich hoffe die tagelangen Recherchen, stundenlangen Diskussionen mit angetrunkenen Hackern und das bezahlen einiger tausender hat sich gelohnt und unsere Webseite schnellt nun medial in andere Hemisphären.
Mehr…
Letzte Kommentare