PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Serenpidity DDOS :(



Sebastian
20.01.2007, 01:46
Durfte ich heute live miterleben :skull:

Serenpidity ist eine Weblog-Software, die den Besitzer über Trackbacks informiert.

Nun geht irgendeine Made hin und lässt ein Script über das Weblog laufen, welches einfach mal wild Meldungen wie die folgende generiert:


Ein neues Trackback für den Blog-Eintrag namens "[hier kommt das Thema des Weblogeintrags rein]" wurde empfangen.

Bewilligung notwendig: Ja (Moderation nach X Tagen)
Link zum Eintrag: http://[URL vom Weblog mit dem entsprechenden Eintrag.html
Weblog Name: bextra
Link zum Remote-Eintrag: http://www.altavista.com/web/results?q=bextra+site:dir.kzn.ru

Auszug:
bextra http://www.altavista.com/web/results?q=bextra+site:dir.kzn.ru bextra bextra bextra

Mehr ist das nicht und komischerweise kommt dies auch rein, wenn man die Benachrichtigungsfunktion der Trackbacks ausschaltet.

Es ist relativ viel Aufwand, um auf eine URL aufmerksam zu machen (im o.g. Fall die http://www.altavista.com/web/results?q=bextra+site:dir.kzn.ru, wobei fett markiertes immer konstant ist und der Rest variabel zu sein scheint..), denn knappe 3.000 Emails des eigenen Systems an den Admin des Weblogs sind nicht zu verachten innerhalb kürzester Zeit.

Wenn dieser Vollpatient also meine Aufmerksamkeit erregen wollte, dann hat er sie bekommen- leider wissen die Russen von abuse-complaints genauso viel wie ich von der Intention des Saboteurs und so bouncen sie schon mal alle Emails, die man ihnen schickt.

Sehr ärgerlich das ganze, da ich die Seite erstmal abklemmen musste:sick:

Ich frage mich dennoch, ob das nicht (wie in einem anderen Forum erwähnt) ein BlogDDOS sein könnte, denn es ist (noch kaum vorstellbar), daß einer sich so viel Mühe gibt, um auf eine dumme URL aufmerksam zu machen- aber:

seit wann sind Spammer denn intelligent? :rolleyes:

actro
20.01.2007, 08:58
warum erdest du ihn nicht per .htaccess?

Sebastian
20.01.2007, 11:17
Weil es für mich keinen Unterschied macht, ob das mit .htaccess geschützt ist oder halt mal für einen Tag offline :)

Nee- im Ernst: manche Sachen sind zu einfach, als daß man aus sie kommen könnte...:D

Karnickelzüchter
20.01.2007, 11:27
Hast Du schon einmal das Plugin "Spamblock" probiert? Ganze IP-Bereiche/Blöcke aussperren hilft auf Dauer leider nicht.

Sebastian
20.01.2007, 14:06
Hat sich erledigt- DAS war der entscheidende Hinweis!

Dankeschön!

exe
20.01.2007, 15:25
Ich blocke einerseits hart auf IPs/Ranges (Dauerkunden). Außerdem hab ich in meinem Webserver eine Rule drin die "Windows; U; Windows NT 5.1; ru;" vor die Türe stellt. Seitdem ist Ruhe im Karton.

Sebastian
20.01.2007, 15:46
Bedeutet, kein Windows User kann die Einträge lesen?

exe
20.01.2007, 16:02
Bedeutet, kein russischer Windows-User kann die Beiträge lesen. ^^

Sebastian
20.01.2007, 17:28
-v pls

Wegen des .ru? Dann würde das doch auch schon ausreichen oder nicht?

exe
22.01.2007, 08:04
Eigentlich schon. Aber der User-Agent wurde von Spammy bis jetzt nicht geändert, darum filtere ich auf den ganzen User-Agent. Ich will ja nicht alle aussperren nur weil sie aus .ru kommen.

bed
24.02.2007, 14:34
Hallo exe, hallo Forenmember :)
Ich bin in den letzten Tagen Opfer von trackbackspam geworden. Mein Blog Zockertown.de/s9y/ habe ich als Notfallmassnahme auf https://zockertown.de/s9y/ umgestellt. Auf der Originaladresse ist das Blog abgeschaltet und durch htmlseiten ersetzt worden. Mittlerweile sind die Attacken abgeflacht und man kann den Server wieder erreichen.
Ich wollte auch durch konfigurieren der .htaccess die spammer ausgrenzen, doch leider haben die bei mir überhaupt keine Gemeinsamkeiten, ausser, das gar kein useragent angegeben ist. Im Nachhinein überlegt ist das ja schon etwas. Ich habe aber den Weg mit dem umschalten des Blog beschritten.
Keine Ahnung, ob ich demnächst nicht wieder zugemüllt werde, aber so habe ich erst mal eine Verschnaufpause. Die von exe empfohlene firewall kann ich nicht einsetzen, weil dem virtuozzo kernel die entsprechenden optionen im kernel fehlen.
ps: blogsoftware ebenfalls serendipity

exe
24.02.2007, 15:54
Willkommen an Board. ^^

Ich hab mittlerweile wieder Ruhe, allerdings musste ich die Filterung auf andere User-Agents ausdehnen. Ich habe auch beobachten können, dass von den Spamm0rn scheinbar fast nie die gleiche IP doppelt benutzt wurde. Das deutet zumindest in meinem Fall auf ein Botnet hin. Ist natürlich ganz schlecht. :(

Bei dir scheint ja wirklich was Amok gelaufen zu sein wenn der Apache schon die Last nicht mehr aushalten kann. Gut, die meisten vServer sind auch ein ziemliches Spielzeug (ich hatte selbst ja auch mal einen). Vor allem der RAM geht diesen Büchsen sehr schnell aus. Eventuell würde auch eine Umstellung auf Lighttpd ein wenig Luft bringen?

Vielleicht solltest du dir aber auch einen kleineren Provider suchen. Ich habe die Erfahrung gemacht, dass insbesondere die Ranges der vServer-Anbieter deutlich heftigere Angriffe abbekommen als die kleinerer Provider. Scheinbar hofft Spammy dort schlechter gesicherte Büchsen zu finden (was leider oft auch stimmt).

bed
24.02.2007, 16:58
Willkommen an Board. ^^

Vielleicht solltest du dir aber auch einen kleineren Provider suchen. Ich habe die Erfahrung gemacht, dass insbesondere die Ranges der vServer-Anbieter deutlich heftigere Angriffe abbekommen als die kleinerer Provider. Scheinbar hofft Spammy dort schlechter gesicherte Büchsen zu finden (was leider oft auch stimmt).

Ja, vermutlich richtig. Ich war vorher bei vdserver.de Da istr man wirklich gut aufgehoben, nur hat man dort ERHEBLICH weniger Arbeitsspeicher, deshalb bin ich zu strato gewechselt. Ich liebäugele ja mit manitu. Nur müsste ich auch mehrere Arbeitskollegen mitnehmen, um die Sache preiswert zu halten. momentan kostet mich der rootserver nur 3.- pro Monat. Ohne Attacken ist der mehr als ausreichend. Schnell ist er ja auch und immer verfügbar. Tja will alles richtig bewdacht werden. server4you bieten auch eine stateful firewall an für ihre grösseren angebote, wird dann aber auch schon wieder teuerer. Und ich möchte auf jeden fall werbefrei bleiben

actro
24.02.2007, 17:06
server4you kannst du getrost vergessen..ich habe schon mehrere vserver dort forensisch nachbehandeln muessen.. so ein geprassel hast du noch nicht erlebt..garantiert..die stehen unter dauerbeschuss..

exe
24.02.2007, 19:25
Server4You hatte ich auch mal. Die Standard-Konfig von der der Kiste war der blanke Wahn, kein Wunder das die Dinger am laufenden Band angegriffen wurden. Gut aufgehoben fühlte ich mich bei "vanager.com".