Blog Attacke: Nachtrag

Die Logfiles sind ausgewertet und das Ergebnis steht fest. Es war keine DDOS Attacke welche den Blog lahmgelegt hat, sondern eine Kommentarspam Attacke.

Innerhalb von 8 Minuten wurde die Webseite von 179 verschiedenen Adressen beglückt. Der Grossteil der «Besucher» sind Systeme mit offenen Proxies drauf die ausserdem richtig potent sind (verglichen mit Proxies die man sonst so auf Online Listen findet). Die eine hälfte dieser Zugriffe waren reine Aufrufe von Artikeln, die andere hälfte versuchte sich im platzieren von Kommentaren. Wahrscheinlich wollte der Spammer durch die normalen Zugriffe ein gewisses «rauschen» erzeugen.

Der Grund waum das ganze diesem Ansturm nicht standgehalten hat, waren falsche Settings in der Mysql sowie Apache Konfiguration. Da mein System lediglich 512MB hat wurden zuviele Apache Instanzen geöffnet, welche nach und nach den ganzen RAM weggefressen haben. Ich hoffe nun, dass die gemachten Änderungen das nächste mal mehr als 8 Minuten durchhalten.




Und weg war der Blog: DDOS

10:25 Uhr. Ich will mich auf dem Blog einloggen und den Spam löschen, als ich stutzig werde. Die Verbindung ist heute aber auch lahm… komisch. Als ich nach vollen zwei Minuten immer noch keine Verbindung habe, versuche ich es über einen Anonymisierer. Und siehe da, auch der kriegt keine Verbindung.

10:32 Uhr. Irgendwas ist in der Zwischenzeit passiert. Ich komme auf die Hauptseite, kann da aber den Blog auch nicht anwählen.

10:33 Uhr. Jetzt passiert schon mehr. Sobald ich den Blog anwähle erscheint die Fehlermeldung, dass keine Verbindung zum Datenbankserver hergestellt werden konnte. Und so bleibt es dann auch den ganzen Tag.

19:00 Uhr. Eine erste Analyse zeigt, dass irgendwas (Apache? Mysql?) gehörig Cores erzeugt hat und der Datenbank Server nicht mehr läuft. Hurtig alles wegdumpen um es später in ruhe anschauen zu können, dann werden die Dienste wieder aktiviert.

19:10 Uhr. Aha. Hunderte von Zugriffen auf so ziemlich alle verfügbaren Artikel dieses Blogs innerhalb von Sekunden. Da kann der Server nur in die Knie gehen. Es was also eine Distributed Denial of Service (DDOS) Attacke irgend eines Bot Netzes. Die Hauptfrage ist nun, wozu? Wollte jemand ein neues Bot-Netz ausprobieren, bevor er «richtig» zuschlägt? Hat man während der Attacke versucht den Server zu kompromitieren (Loganalyse am Weekend, sigh!) und die Attacke genutzt um Hinweise darauf im Rauschen untergehen zu lassen? Oder ist der Egger Blog für gewisse Kreise ene Bedrohung 😉

Updates werden folgen…