DDoS-Attacke auf Soccer-Fans.de!

Dieses Thema im Forum "Fragen & Probleme" wurde erstellt von André, 7 Mai 2015.

  1. André

    André Foren-Capo Administrator

    Beiträge:
    45.046
    Likes:
    2.894
    Nach Hinweisen einiger User (@Rupert , @derblondeengel ) in Dilbert´s Thread, dass Soccer-Fans.de teilweise nicht oder nur schwer zu erreichen sei, habe ich mir direkt mal die Serverlogs angeschaut.

    Serverlast:

    systemlastindex.jpg

    MYSQL-Verbindungen:

    mysql-verbindungen.jpg
    Man sieht deutlich dass die Anfragen seit gestern abend 20 Uhr deutlich angestiegen sind. Ein Anruf beim Hoster brachte schnell Klarheit.

    Ein DDoS Angriff irgendwelcher Hacker mit einer IP aus der Ukraine. Wir haben die IP jetzt für 24 Stunden gesperrt und schauen dann mal wie es weiter geht.

    Notfalls könnte ich auch alle IP´s aus der Ukraine, Japan, China etc. sperren. Problem ist dann nur wenn da mal jemand im Urlaub fährt kann er SF nicht erreichen. Mal schauen, es sollte jetzt zumindest besser werden.

    Falls ihr immer noch Probleme habt, bitte hier melden.

    Danke!
     
    Zuletzt bearbeitet: 7 Mai 2015
    theogBVB und Holgy gefällt das.
  2. Anzeige für Gäste


    um diese Anzeige auszublenden!.
  3. Rupert

    Rupert Je suis soleil

    Beiträge:
    38.130
    Likes:
    3.457
    Merci für's Nachschauen, André - mir kam's nämlich echt seltsam vor, dass immer wieder die graue Seite kam mit: "Server nicht erreichbar".

    PS: Gerade passierte es wieder.
     
    André gefällt das.
  4. André

    André Foren-Capo Administrator

    Beiträge:
    45.046
    Likes:
    2.894
    Ja sehe ich auch an den Logs, vermutlich haben die nun die IP gewechselt. Werde mich nochmal mit dem Hoster in Verbindung setzen.
     
  5. Holgy

    Holgy PTL-Meister 2011/12 Moderator

    Beiträge:
    46.069
    Likes:
    2.992
    Hacker aus der Ukraine? Kein Wunder bei den vielen Pro-Russland-postings im Ukraine-thread! ;)
     
  6. André

    André Foren-Capo Administrator

    Beiträge:
    45.046
    Likes:
    2.894
    Das habe ich mir auch schon gedacht. ;)

    So der Hoster hat mir soeben 5 IP´s mitgeteilt, welche für die Angriffe verantwortlich sind. Diese habe ich nun alle über die htaccess dauerhaft gesperrt. Ich habe die Logs weiter im Auge, bisher kommen die Wellen ca. im 30 Minutentakt. Mal sehen ob jetzt Ruhe ist.
     
  7. Holgy

    Holgy PTL-Meister 2011/12 Moderator

    Beiträge:
    46.069
    Likes:
    2.992
    Ich hatte übrigens noch keine Probleme.
     
  8. odie

    odie Zeitzeuge

    Beiträge:
    2.571
    Likes:
    2
    Ich hatte vor 2 Minuten Probleme.
    Muss aber nix heissen.
     
    André gefällt das.
  9. Rupert

    Rupert Je suis soleil

    Beiträge:
    38.130
    Likes:
    3.457
    Problem besteht immer noch
     
    André gefällt das.
  10. André

    André Foren-Capo Administrator

    Beiträge:
    45.046
    Likes:
    2.894
    Ja habe jetzt wieder neue Ip´s bekommen auch aus Russland. Habe jetzt mal ganze Bereiche ausgeschlossen. In ca. 30 Minuten sollte die nächste Welle kommen, mal sehen ob die IP Sperren wirken, ansonsten muss ich noch weiter aussperren.
     
  11. Oldschool

    Oldschool Spielgestalter Moderator

    Beiträge:
    16.554
    Likes:
    2.687
    Kam gestern abend gg. 23.00 Uhr nicht mehr auf die Seite, habe das aber nicht gemeldet, weil ich den Fehler zunächst bei mir gesucht habe,
     
    André gefällt das.
  12. André

    André Foren-Capo Administrator

    Beiträge:
    45.046
    Likes:
    2.894
    Ich habe mir jetzt die Logs angesehen, die Anfragen sind zwar noch da, aber werden direkt gebloggt. Zumindest der Großteil davon.

    Das sollte jetzt eigentlich langen dass der Server nicht mehr in die Knie geht. Falls doch noch mal was hängt bitte melden. Ich werde aber auch weiter die Logs auswerten und die Sperren evtl. auf andere IP-Bereiche ausweiten.
     
    Oldschool gefällt das.
  13. Pumpkin

    Pumpkin Heimatlos und viel zu Hause Moderator

    Beiträge:
    9.419
    Likes:
    1.795
    Kam vorhin zweimal kurzzeitig nicht ins Board. Dauerte jeweils aber nur wenige Sekunden...
     
  14. huelin

    huelin Quite clear, no doubt, somehow

    Beiträge:
    30.139
    Likes:
    3.964
    Jo, ging mir ähnlich.
     
  15. André

    André Foren-Capo Administrator

    Beiträge:
    45.046
    Likes:
    2.894
    Kann sein. Ich habe die htaccess aktualisiert, da war für 2 Sekunde Pause. Aber die Peaks sind immer nmoch da. Zwar deutlich weniger, und weniger häufig aber sie kommen noch durch.

    Habe jetzt nochmal den Hoster kontaktiert, mir die IP´s rauszusuchen dann kann ich diese auch noch sperren.
     
  16. André

    André Foren-Capo Administrator

    Beiträge:
    45.046
    Likes:
    2.894
    Das könnte es gewesen sein. Seit 14 Uhr gab es bisher keinen Peak mehr. Falls bei Euch nochmal was hängt, bitte melden. Danke!
     
  17. derblondeengel

    derblondeengel master of desaster

    Beiträge:
    5.193
    Likes:
    1.921
    Keine Firewall vorhanden???
     
  18. André

    André Foren-Capo Administrator

    Beiträge:
    45.046
    Likes:
    2.894
    Doch, aber leider habe ich da keinen Zugriff. Oder andersrum, wir haben einen managed Server, die Verwaltung und Konfiguration der Firewall übernimmt der Hoster. Ich könnte die auch selbst übernehmen, aber dann liegt die haftung auch bei mir. Das will ich nicht unbedingt zumal wir bisher jetzt auch seit paar Jahren so super gefahren sind.

    Aber ich werde da nochmal nachhaken, da sollte sich ja eine Regel festlegen lassen damit sowas in Zukunft nicht mehr passiert.
     
    derblondeengel gefällt das.
  19. Oldschool

    Oldschool Spielgestalter Moderator

    Beiträge:
    16.554
    Likes:
    2.687
    btw der sich drehende Halbkreis ist wieder ein Thema, die Seite wird zwar angezeigt, aber nie komplett geladen. Das Problem taucht nur bei sf auf und nur beim chrome browser, nie bei Mozilla oder IE :weißnich:
    -> nochmal der screenshot von damals, gleiches Problem
     
  20. André

    André Foren-Capo Administrator

    Beiträge:
    45.046
    Likes:
    2.894
    @Oldschool kann ich auch heute nicht nachvollziehen oder reproduzieren. Steht unten links im Browser nicht was da geraade laden soll?

    Die Attacke ist nun endgültig abgewehrt seit gestern 14 Uhr gab es keinen einzigen Peak mehr und der Server läuft wieder wie eine 1.
     
    huelin gefällt das.
  21. Oldschool

    Oldschool Spielgestalter Moderator

    Beiträge:
    16.554
    Likes:
    2.687
    @André
    Hat sich inzwischen auch wieder erledigt, ich hänge nochmals den gleichen screenshot an, bei dem der sich drehende Halbkreis nicht mehr auftritt. Der Ladestatus wird ersetzt duch das graugrüne soccer Fans Symbol. Danke nochmals für Deine Mühe ! :top:
     

    Anhänge:

    André gefällt das.
  22. HoratioTroche

    HoratioTroche Zuwanderer

    Beiträge:
    18.017
    Likes:
    1.390
    Wenn man das vorher weiss...

    Aber bevor du die Schweiz sperrst, sag Bescheid!
     
  23. Dilbert

    Dilbert Pils-Legende

    Beiträge:
    17.305
    Likes:
    1.184
    Ich hätte nicht gedacht, dass unsere Biertests jetzt schon Gauner aus Osteuropa auf den Plan rufen.

    Wenn ich bei denen irgendwo mal ein "Lunk lunk lunk" lese werden die verklagt!
     
  24. theogBVB

    theogBVB Drachmenbesitzer

    Beiträge:
    1.092
    Likes:
    283
    Griechenland frei halten...:fress:
     
  25. Rupert

    Rupert Je suis soleil

    Beiträge:
    38.130
    Likes:
    3.457
    Heute um 0:05 war wieder mal was mit der DB.

    upload_2015-6-9_0-36-30.png
     
    André gefällt das.
  26. André

    André Foren-Capo Administrator

    Beiträge:
    45.046
    Likes:
    2.894
    War das einmal kurz und beim neu laden ging es wieder? In den Logs sehe ich auf Anhieb nichts von einem Fehler oder einer Downtime.
     
  27. Rupert

    Rupert Je suis soleil

    Beiträge:
    38.130
    Likes:
    3.457
    Dauerte so 5 Minuten.
     
    André gefällt das.