DDoS-Attacke auf Soccer-Fans.de!

Dieses Thema im Forum "Fragen & Probleme" wurde erstellt von André, 7 Mai 2015.

  1. André

    André Foren-Capo Administrator

    Beiträge:
    43.797
    Likes:
    2.728
    Nach Hinweisen einiger User (@Rupert , @derblondeengel ) in Dilbert´s Thread, dass Soccer-Fans.de teilweise nicht oder nur schwer zu erreichen sei, habe ich mir direkt mal die Serverlogs angeschaut.

    Serverlast:

    systemlastindex.jpg

    MYSQL-Verbindungen:

    mysql-verbindungen.jpg
    Man sieht deutlich dass die Anfragen seit gestern abend 20 Uhr deutlich angestiegen sind. Ein Anruf beim Hoster brachte schnell Klarheit.

    Ein DDoS Angriff irgendwelcher Hacker mit einer IP aus der Ukraine. Wir haben die IP jetzt für 24 Stunden gesperrt und schauen dann mal wie es weiter geht.

    Notfalls könnte ich auch alle IP´s aus der Ukraine, Japan, China etc. sperren. Problem ist dann nur wenn da mal jemand im Urlaub fährt kann er SF nicht erreichen. Mal schauen, es sollte jetzt zumindest besser werden.

    Falls ihr immer noch Probleme habt, bitte hier melden.

    Danke!
     
    Zuletzt bearbeitet: 7 Mai 2015
    theogBVB und Holgy gefällt das.
  2. Anzeige für Gäste


    um diese Anzeige auszublenden!.
  3. Rupert

    Rupert Je suis soleil

    Beiträge:
    36.123
    Likes:
    3.165
    Merci für's Nachschauen, André - mir kam's nämlich echt seltsam vor, dass immer wieder die graue Seite kam mit: "Server nicht erreichbar".

    PS: Gerade passierte es wieder.
     
    André gefällt das.
  4. André

    André Foren-Capo Administrator

    Beiträge:
    43.797
    Likes:
    2.728
    Ja sehe ich auch an den Logs, vermutlich haben die nun die IP gewechselt. Werde mich nochmal mit dem Hoster in Verbindung setzen.
     
  5. Holgy

    Holgy PTL-Meister 2011/12 Moderator

    Beiträge:
    43.730
    Likes:
    2.753
    Hacker aus der Ukraine? Kein Wunder bei den vielen Pro-Russland-postings im Ukraine-thread! ;)
     
  6. André

    André Foren-Capo Administrator

    Beiträge:
    43.797
    Likes:
    2.728
    Das habe ich mir auch schon gedacht. ;)

    So der Hoster hat mir soeben 5 IP´s mitgeteilt, welche für die Angriffe verantwortlich sind. Diese habe ich nun alle über die htaccess dauerhaft gesperrt. Ich habe die Logs weiter im Auge, bisher kommen die Wellen ca. im 30 Minutentakt. Mal sehen ob jetzt Ruhe ist.
     
  7. Holgy

    Holgy PTL-Meister 2011/12 Moderator

    Beiträge:
    43.730
    Likes:
    2.753
    Ich hatte übrigens noch keine Probleme.
     
  8. odie

    odie Zeitzeuge

    Beiträge:
    2.571
    Likes:
    2
    Ich hatte vor 2 Minuten Probleme.
    Muss aber nix heissen.
     
    André gefällt das.
  9. Rupert

    Rupert Je suis soleil

    Beiträge:
    36.123
    Likes:
    3.165
    Problem besteht immer noch
     
    André gefällt das.
  10. André

    André Foren-Capo Administrator

    Beiträge:
    43.797
    Likes:
    2.728
    Ja habe jetzt wieder neue Ip´s bekommen auch aus Russland. Habe jetzt mal ganze Bereiche ausgeschlossen. In ca. 30 Minuten sollte die nächste Welle kommen, mal sehen ob die IP Sperren wirken, ansonsten muss ich noch weiter aussperren.
     
  11. Oldschool

    Oldschool Spielgestalter Moderator

    Beiträge:
    15.496
    Likes:
    2.489
    Kam gestern abend gg. 23.00 Uhr nicht mehr auf die Seite, habe das aber nicht gemeldet, weil ich den Fehler zunächst bei mir gesucht habe,
     
    André gefällt das.
  12. André

    André Foren-Capo Administrator

    Beiträge:
    43.797
    Likes:
    2.728
    Ich habe mir jetzt die Logs angesehen, die Anfragen sind zwar noch da, aber werden direkt gebloggt. Zumindest der Großteil davon.

    Das sollte jetzt eigentlich langen dass der Server nicht mehr in die Knie geht. Falls doch noch mal was hängt bitte melden. Ich werde aber auch weiter die Logs auswerten und die Sperren evtl. auf andere IP-Bereiche ausweiten.
     
    Oldschool gefällt das.
  13. Pumpkin

    Pumpkin Heimatlos und viel zu Hause Moderator

    Beiträge:
    8.940
    Likes:
    1.649
    Kam vorhin zweimal kurzzeitig nicht ins Board. Dauerte jeweils aber nur wenige Sekunden...
     
  14. huelin

    huelin Quite clear, no doubt, somehow

    Beiträge:
    29.001
    Likes:
    3.749
    Jo, ging mir ähnlich.
     
  15. André

    André Foren-Capo Administrator

    Beiträge:
    43.797
    Likes:
    2.728
    Kann sein. Ich habe die htaccess aktualisiert, da war für 2 Sekunde Pause. Aber die Peaks sind immer nmoch da. Zwar deutlich weniger, und weniger häufig aber sie kommen noch durch.

    Habe jetzt nochmal den Hoster kontaktiert, mir die IP´s rauszusuchen dann kann ich diese auch noch sperren.
     
  16. André

    André Foren-Capo Administrator

    Beiträge:
    43.797
    Likes:
    2.728
    Das könnte es gewesen sein. Seit 14 Uhr gab es bisher keinen Peak mehr. Falls bei Euch nochmal was hängt, bitte melden. Danke!
     
  17. derblondeengel

    derblondeengel master of desaster

    Beiträge:
    4.539
    Likes:
    1.731
    Keine Firewall vorhanden???
     
  18. André

    André Foren-Capo Administrator

    Beiträge:
    43.797
    Likes:
    2.728
    Doch, aber leider habe ich da keinen Zugriff. Oder andersrum, wir haben einen managed Server, die Verwaltung und Konfiguration der Firewall übernimmt der Hoster. Ich könnte die auch selbst übernehmen, aber dann liegt die haftung auch bei mir. Das will ich nicht unbedingt zumal wir bisher jetzt auch seit paar Jahren so super gefahren sind.

    Aber ich werde da nochmal nachhaken, da sollte sich ja eine Regel festlegen lassen damit sowas in Zukunft nicht mehr passiert.
     
    derblondeengel gefällt das.
  19. Oldschool

    Oldschool Spielgestalter Moderator

    Beiträge:
    15.496
    Likes:
    2.489
    btw der sich drehende Halbkreis ist wieder ein Thema, die Seite wird zwar angezeigt, aber nie komplett geladen. Das Problem taucht nur bei sf auf und nur beim chrome browser, nie bei Mozilla oder IE :weißnich:
    -> nochmal der screenshot von damals, gleiches Problem
     
  20. André

    André Foren-Capo Administrator

    Beiträge:
    43.797
    Likes:
    2.728
    @Oldschool kann ich auch heute nicht nachvollziehen oder reproduzieren. Steht unten links im Browser nicht was da geraade laden soll?

    Die Attacke ist nun endgültig abgewehrt seit gestern 14 Uhr gab es keinen einzigen Peak mehr und der Server läuft wieder wie eine 1.
     
    huelin gefällt das.
  21. Oldschool

    Oldschool Spielgestalter Moderator

    Beiträge:
    15.496
    Likes:
    2.489
    @André
    Hat sich inzwischen auch wieder erledigt, ich hänge nochmals den gleichen screenshot an, bei dem der sich drehende Halbkreis nicht mehr auftritt. Der Ladestatus wird ersetzt duch das graugrüne soccer Fans Symbol. Danke nochmals für Deine Mühe ! :top:
     

    Anhänge:

    André gefällt das.
  22. HoratioTroche

    HoratioTroche Zuwanderer

    Beiträge:
    16.441
    Likes:
    1.246
    Wenn man das vorher weiss...

    Aber bevor du die Schweiz sperrst, sag Bescheid!
     
  23. Dilbert

    Dilbert Zynischer Querulant

    Beiträge:
    16.184
    Likes:
    989
    Ich hätte nicht gedacht, dass unsere Biertests jetzt schon Gauner aus Osteuropa auf den Plan rufen.

    Wenn ich bei denen irgendwo mal ein "Lunk lunk lunk" lese werden die verklagt!
     
  24. theogBVB

    theogBVB Drachmenbesitzer

    Beiträge:
    1.085
    Likes:
    273
    Griechenland frei halten...:fress:
     
  25. Rupert

    Rupert Je suis soleil

    Beiträge:
    36.123
    Likes:
    3.165
    Heute um 0:05 war wieder mal was mit der DB.

    upload_2015-6-9_0-36-30.png
     
    André gefällt das.
  26. André

    André Foren-Capo Administrator

    Beiträge:
    43.797
    Likes:
    2.728
    War das einmal kurz und beim neu laden ging es wieder? In den Logs sehe ich auf Anhieb nichts von einem Fehler oder einer Downtime.
     
  27. Rupert

    Rupert Je suis soleil

    Beiträge:
    36.123
    Likes:
    3.165
    Dauerte so 5 Minuten.
     
    André gefällt das.