Von Peg Tech in San Jose
Möglicherweise werden einige unserer Leser selbst Webseiten betreiben und ebenfalls von dieser Problematik betroffen sein. Dementsprechend möchten wir euch unsere Feststellungen in dieser Hinsicht gerne wissen lassen. In der Vergangenheit war ocaholic nunmehr bereits zahlreiche Male Ziel von DDoS Attacken. Zu Beginn hatten diese Attacken 404 Fehler bei ocaholic ausgelöst. Seit wir eine Firewall in Betrieb haben, die beispielsweise F5-Attacken, sprich das x-malige Laden von ocaholic mit einem Bannen der IP Adresse quittiert, ist die Situation etwas besser.
Gestern aber mussten wir aber feststellen, dass unsere Firewall noch nicht ausgereift genug ist, denn einer sogenannten "farmed Attack" mussten wir uns noch nie stellen. Dabei konnten wir beobachten, dass Brute Force Login-Versüche von zahlreichen IP-Adresse gleichzeitig ausgeführt wurden. Darüber hinaus gab es auch Anzeichen für SQL-Injection-Versuche, die aber glücklicherweise ins Leere liefen. Mit der Zeit stellte sich dann heraus, dass die meisten Attacken von 198.200.xxx.xxx und 192.2.xxx.xxx kamen. Tätigt man einen Whois-Lookup, dann sieht man, dass diese beiden B-Blöcke Peg Tech in San Jose zugeordnet sind. Gibt man die Adressen schliesslich direkt bei Google ein, dann findet man ziemlich schnell einen Thread bei Webhostingtalk.com, der zeigt, dass zahlreiche Webseitenbetreiber von diesen Attacken betroffen sind.
Um solchen Attacken entgegen zu wirken, suchen wir normalerweise nach Möglichkeiten, die das Bannen von kompletten Blöcken nicht in Betracht ziehen. Da unsere Firewall die vorliegende Art der Attacken nicht entsprechend bewältigen konnte, sahen wir keine andere Möglichkeit als die beiden B-Blöcke komplett zu bannen.
Sollte man selbst eine Website betreiben und sich fragen weshalb die Seite auf einmal sehr langsam ist oder man aus heiterem Himmel 404-Fehler angezeigt bekommt, dann sollte man überprüfen ob es sich um DDoS-Attacken handelt. Darüber hin aus empfehlen wir an dieser Stelle das Webhostingtalk-Forum sowie auch die Webseite StopForumSpam
Quelle: Eigene (leider)
Gestern aber mussten wir aber feststellen, dass unsere Firewall noch nicht ausgereift genug ist, denn einer sogenannten "farmed Attack" mussten wir uns noch nie stellen. Dabei konnten wir beobachten, dass Brute Force Login-Versüche von zahlreichen IP-Adresse gleichzeitig ausgeführt wurden. Darüber hinaus gab es auch Anzeichen für SQL-Injection-Versuche, die aber glücklicherweise ins Leere liefen. Mit der Zeit stellte sich dann heraus, dass die meisten Attacken von 198.200.xxx.xxx und 192.2.xxx.xxx kamen. Tätigt man einen Whois-Lookup, dann sieht man, dass diese beiden B-Blöcke Peg Tech in San Jose zugeordnet sind. Gibt man die Adressen schliesslich direkt bei Google ein, dann findet man ziemlich schnell einen Thread bei Webhostingtalk.com, der zeigt, dass zahlreiche Webseitenbetreiber von diesen Attacken betroffen sind.
Um solchen Attacken entgegen zu wirken, suchen wir normalerweise nach Möglichkeiten, die das Bannen von kompletten Blöcken nicht in Betracht ziehen. Da unsere Firewall die vorliegende Art der Attacken nicht entsprechend bewältigen konnte, sahen wir keine andere Möglichkeit als die beiden B-Blöcke komplett zu bannen.
Sollte man selbst eine Website betreiben und sich fragen weshalb die Seite auf einmal sehr langsam ist oder man aus heiterem Himmel 404-Fehler angezeigt bekommt, dann sollte man überprüfen ob es sich um DDoS-Attacken handelt. Darüber hin aus empfehlen wir an dieser Stelle das Webhostingtalk-Forum sowie auch die Webseite StopForumSpam
Quelle: Eigene (leider)
News by Luca Rocchi and Marc Büchel - German Translation by Paul Görnhardt - Italian Translation by Francesco Daghini
Previous article - Next article
comments powered by Disqus
comments powered by Disqus