Schweres Foul durch DDoS-Attacke
Moin. liebe Gemeinde. Es ist 7h02 am Donnerstag morgen und allesaussersport.de wird für einen Testlauf für knapp anderthalb Stunden wieder hochgefahren. Gegen 9Uhr wird das Blog und die Domain(!) wieder runtergefahren.
Hintergrund ist diese Mail die am Dienstag morgen aufschlug:
Your site www.allesaussersport.de will be subjected to DDoS attacks 100 Gbit/s.
Pay 100 btc(bitcoin) on the account […]
Do not reply to this email
Jo, sah natürlich nach anhand von WHOIS-Daten generierter Spam aus… Seit gestern mittag weiß ich: es ist es nicht. Der Server wurde ab ca 13h45 von einem Botnetz abgeschossen. Der Server kam mit der ersten Welle wieder klar, nach dem ich das Blog abgeschalten ließ. Während der zweiten Welle musste dann sogar die Domain aus dem Nameserver ausgetragen werden.
Wie es sich für ein Botnetz gehört, kommen die Anfragen aus den unterschiedlichsten IP-Blöcke. Die meisten User-Agents hatten zwar eine russische Sprachkennung – aber eben nicht alle Bots.
Die Attacke kommt zu einem ungünstigen Zeitpunkt, da gestern und heute weder ich noch meine Kollegin und Server-Mitbesitzerin vor dem eigenen Rechner sitzen und es daher nicht riskieren können, das Blog online zu lassen und einer neuen Attacke auszusetzen – auf dem Webserver sind auch Kunden von uns drauf, die die gestrigen Probleme nicht wirklich witzig fanden. Deswegen muss das Blog und die Domain gegen 9 Uhr noch einmal heruntergefahren werden. Heute abend wollen wir beratschlagen, wie wir weiter verfahren und ob wir es heute nacht riskieren können das Blog wieder online zu lassen.
Dies ist übrigens keine einmalige Erpressungsmail. Ich habe gestern von einem anderen Dienstleister und von einem zweiten Blogger erfahren, die diese Mail auch bekommen haben. Wer nach Stichwörtern googlet, wird schnell herausfinden, dass diese Mail seit einigen Tagen herumschwirrt und auch andere Blogs und Online-Shops abgeschossen hat.
Reaktionen
Moin.
Wie wär’s mit einer kurzfristigen Ausweichdomain? Sagen wir mal publiziert per DMs auf Twitter.
Ich weiß das ist total eigennützig von mir aber auf die Art kannst Du wenistens die ganzen Kommentatoren beisammen halten die Dich brauchen :-)
Echt traurig sowas :-( Das auf dem Server von aas auch Kundenseiten sind, macht die ganze Sache noch schlimmer…
Rote Karte! Aber sowas von.
Ich frage mich ja, wer ernsthaft auf die Erpressung eingeht.
Jedenfalls wünsche ich Dir – natürlich nicht völlig uneigennützig – von Herzen. dass Dir die Sache nicht gar zu viel Zeit und Lebensfreude geraubt hat/ rauben wird.
Trotzdem kann ich nicht umhin, es niedlich zu finden, wie die Überschrift im Sportkontext bleibt.
Was für WXXXXer.
hättest ja mal für http://www.allesaussersport.de folgende A-Records eintragen können:
– 192.168.0.1
– 192.168.178.1
– 127.0.0.1
…
Dann triffs wenigstens nicht deinen Server, sondern vielleicht einen Router.
Viel mehr kannst ja nicht machen.
Willkommen zurück!
Ich dachte bis jetzt ja immer, “Cyberkriminalität” ist so ein hochgepushtes Thema…ist natürlich äußerst bescheiden..
Bei Bitcoin musste ich erst mal bei Wikipedia nach den Wechselkurs schauen…ca. 7 Dollar, da fangen sie mit dem Schutzgeld ja moderat an, aber das sollen dann bestimmt regelmäßige Zahlungen werden.
Mirrors helfen da wohl auch nicht bzw. ist der Aufwand doch recht groß (aber bin da eh Laie)…na hoffen wir mal, die verlieren die Lust..
Dogfood könnte per Twitter die aktuelle ServerIP posten, wenn es wieder passiert.
Dann kann jeder sich die Domain in die HOSTS-Datei schreiben
———– snip —–
87.106.231.45 http://www.allesaussersport.de
———– snap —–
Dann funktionierts auch ohne DNS :D
http://de.wikipedia.org/wiki/Hosts
natürlich ohne http://
Ich versteh ehrlich gesagt von alledem kein Wort, bin aber froh, dass dieses komische Safari-Dingens meine Startseite wiederfindet:-)
ich kenn mich mit sowas ja auch nicht wirklich aus, aber hier war doch jemamd, der da richtig plan hatte. blafasel? weiss nicht mehr.
auf jeden fall ein seltsames gefühl, wenn man, so rein aus gewohnheit, mehrmals am tag aas aufruft und immer nur eine fehlermeldung kommt. ich drücke sowohl dem chef als auch uns die daumen, dass man das problem ohne grossen aufwand lösen kann. gerade jetzt, kurz vorm wochenende. ;)
Schön. Hatte den ganzen Tag permanent ca. 1k Rechner eingespannt, um endlich diese Seite wieder zu erreichen. Mach sie nieder dogfood!
@McP
1000 Rechner ? Das läuft schon unter DDoS ;)
Auch ein “Buh” von mir für so eine Aktion… Durchhalten
@boecko: das LAN will ich sehen, daß von einem einzelen Zombie abgeschossen werden kann. Gut, wenn da 42 Kisten in einem Netz befallen sind, das nicht vernünfig Bandbreite hat, ist der Admin selber Schuld…
Mich wundert eher, daß die Trottel wirklich so doof sind, den Client selber die DNS-Auflösung machen zu lassen und nicht einfach eine abzuschießende IP liefern. Sachen gibts.
Alternativ kann man ja auch eine CIA/BND/FBI/MI6-IP eintragen und schauen, ob das Botnet so schneller abgedreht wird :-)
btw @dogfood: ich hatte den dDOS jetz nicht sooo wild eingeschätzt, bzw im ersten Moment garnicht vermutet sondern auf eine wie auch immer geartete Datenbankproblematik getippt – denn die “database error”-Meldung kam ja ohne Probleme. Ist es evtl eine WordPress-Eigenart, daß man mit recht wenig Aufwand die dahintersteckende Datenbank abschießen kann?
Das hier ist die einzige Sportseite die mir wirklich fehlt – habe ich heute festgestellt!
@blafasel: die zweite Welle gegen 14h30/14h45 brachte den Server in die Knie, da war allesaussersport durch das Entfernen der WP-config längst von MySQL abgeschnitten. Daher mussten wir den zweiten Schritt gehen und an den Nameserver ran.
Ich habe mir die Access-Dateien angesehen: bei der zweiten Welle war es ein “brute force”: simple Abfragen der Website, teilweise von über 50 IP-Adressen/Rechnern pro Sekunde.
Heute kam die Meldung das gestern auch die Basische Zeitung eine DDoS-Attacke hatte – über Details schweigt man sich dort aus. Ich habe keine Ahnung ob man dort auch eine Erpresser-eMail bekommen hat.
Ich war wohl vor 14 Uhr hier und sah das Datenbankproblem, irgendwann war dann der Host down. Mehr habe ich nicht verfolgt. Die gestrige DNS-Umstellung hat wohl größtenteils mein Cache hier abgefangen.
~50 pro Sekunde ist ja fast wie SuperBowl. Haben die wenigstens mit jeweils 2Gbit gefeuert oder hat der Erpresser hoffnungslos übertrieben?
Deine Sorge um Andere finde ich dann aber übertrieben, ein dDos ist ja ungefähr so selten wie ein Toter im Straßenverkehr: Es gehört leider zum Leben (im Internet) dazu, shit happen – Leben geht weiter.
50/sec? Dann müssen wir beim nächsten Super Bowl Karten ziehen?
Zwei Idioten…
Schön, dass du wieder da bist…
Don Dahlmann hat gestern via Twitter auf eine Liste mit betroffenen Domains verlinkt:
http://www.ax10m.de/minerbot.html
Sieht sehr planlos aus: Wenn man den Angaben trauen kann, haben die Täter auf Dogfood doppelt so viele Bots angesetzt als auf Ackermann.
allesaussersport: 215 bots ermittelt
deutsche-bank.de: 103 bots ermittelt
Ich drück die Daumen, dass es sich damit erledigt hat.
Wo in den USA gerade die Todesstrafe diskutiert wird und Republikaner spontan die Tötung von 243 Menschen in Texas unter Perry beklatschen:
Ich fordere die Todesstrafe für Bots. Und Gulagstrafe für die Botnet-Admins nördlich des Polarkreises. Nötigenfalls auch das komplette Verbot von ungeschützten, nichtgepatchten Windows-Rechnern.
Zu AAS: Hosten lassen bei größeren Anbietern in der Cloud ist keine Option, gerade für Kundensites?
Ich kann chris da nur zustimmen. Wenn aas nicht mehr da ist, hebt das jedesmal wieder meine Welt aus den Angeln und ich werde zum psychischen Wrack.
Also, alles Gute! Helms Klamm darf nicht fallen!
Achja, by the way, wo doch die Rugby-WM ansteht. Hat jemand Empfehlungen für ein bestimmtes Stream-Abo? Ich denke über das von Sport1 nach (http://tv.sport1.de/nutzer/abo_rugby.php), trau dem Laden aber nicht so ganz. Gibt es da noch Alternativen?
NFL Kickoff Saints-Packers @Lambeau besser geht’s nicht :)
dieses wiederholte aufgesetzte epische Gelaber von Bob Costas geht mir gewaltig auf den Sack
Gut, dass es erstmal überstanden ist. Die Liste mit den Hosts ist ja wirklich lustig, aber ob bundesbank.de und bundesgerichtshof.de wirklich so lohnenswerte Ziele waren? Da ist die Strafverfolgung ja noch schneller dran.
Man sollte einfach Windows abschaffen, dann gäbe es weniger Botnets.
sehr interessante Hintergründe zur Attacke:
http://www.ax10m.de/
@dogfood:
Mit einer Liste für iptables sperren wir auf Netzwerkebene alle Rechner außerhalb von de,ch,lu,li,be aus. Auf Netzwerkebene bedeutet, daß der Rechner Null Last durch die gesperrten Anfragen hat, denn die Anfragen erreichen die Serverdienste gar nich, da die Netzwerkkarte die Pakete einfach wegwirft. Diese Liste habe ich für unsere Firma, die ebenfalls von den DDos-Attacken betroffen ist, mit der RIPE Datenbank und countryipblocks.net zusammengebaut. Sie enthält alle vergebenen IP-Blöcke für obige genannten Länder, der Rest wird ausgesperrt (siehe letzte Regel). Die Webserver schnurren fröhlich vor sich hin. Ich empfehle Dir dringend es ebenfalls so zu machen und Dich nicht von Botnetzen in die Knie zwingen zu lassen, wo sollen wir sonst unseren TV-Guide herbekommen :)
Das Aktivieren ist kinderleicht:
Liste von http://fumarium.de/hardlist.ipt holen und abspeichern.
Als root auf dem Terminal:
iptables-restore < hardlist.ipt
und schon ist Ruhe im Karton
Viele Grüße von einem sportverrückten Sysadmin.
Ich kann hier auch nichts Gehaltvolles zum Thema beisteuern, wünsche Dir aber, dass Du das wieder in den Griff bekommst… for your own peace of mind. Schönes Wochenende!
@korncola: dann machen die Bots (sofern sie auch in ausreichender Zahl vorbeikommen) halt den Router vor deinem PC dicht, auch nicht viel zielführender.
Und du haust – neben den Österreichern und Südtirolern – auch mal eben diversen tor-Benutzern, Urlaubern und Emigranten eins in die Fresse. Uncool.
@blafasel
Der Router wird nicht schlapp machen, aber evtl. fällt es dann jemanden auf und die Welt hat einen Bot weniger.
Statt westlichen Geheimdienst würde ich da den FSB oder etwas chinesisches eintragen. Dann klappt es evtl. auch mit dem Gulag.
Da auf dem Server auch etliche Kundenwebsites liegen, kann ich nicht einfach den Rest der Welt per iptables abschneiden.
@blafasel: Das halten Router schon aus, vorallem die in Rechenzeintren, weiß ich aus eigener Erfahrung.
Österreicher sperrt man mit der Liste nicht aus, die sind drin, genau wie alle anderen Länder in denen Deutsch Amtssprache ist: de, at, ch, li, lu, be :) (ich weiß dk fehlt…) Und es ist immer noch besser ein paar Südtiroler (die einene kleinen Prozentsatz der Nutzer ausmachen dürften) auszusperren, als alle auszusperren, weil die Seite down ist.
@dogfood: wenn du Kunden hast, die auf Nutzer außerhalb des deutschsprachigen Raumes angewiesen ist, ist das natürlich blöd. Schade wollt nur einen kleinen Beitrag leisten bzw. eine Idee aufzeigen.
Viel Glück beim aufrechterhalten der Webstie, falls du sonst irgendwie Hilfe brachst kannst dich gerne bei meiner beigefügten Mailadresse melden.
Bei uns ist ebenfalls wieder Ruhe eingekehrt.
Das Problem beim iptabales Skript ist auch, der Traffic kommt ja dennoch an deinem Interface an. Diese ddos Attacke wurde angeblich mit bis zu 7Gbit/s gefahren. Wenn die Leitung zu ist, ist sie zu. Vom Traffic den dein Provider ggf noch für dich berechnet mal ganz abgesehen.
Besser als auf Applikationsebene zu filtern ist es aber allemal.
Wenn die Leitungen halten und nur der Webserver oder die DB in die Knie geht wäre eine lokale caching lösung ggf möglich.
Ggf wäre die Nutzung irgendeines CDN machbar. Ausreichend Leitung werden die ja wohl haben…
Und bevor man die halbe Welt aussperrt könnte man es ggf auch Fallbezogen machen: http://forums.alliedmods.net/showthread.php?t=106378
Trotzdem danke für die Liste korncola!
Schön, dass Du wieder on bist. :)
@korncola: Daß Router 50 requests/sekunde aushalten – kein Thema. Aber wenn dann wirklich 100gbit/s einprasseln, hilft es halt nicht mehr viel, daß erst dein (mit 1gbit angebundener?) Server die Daten verwirft. Es kommt trotzdem so gut wie nix mehr an.
Die Österreicher hattest du oben halt nicht aufgezählt (die einzelnen IP-Blöcke habe ich nicht durchgeschaut) und ohne die würde uns hier ja schon viel Spaß entgehen. Außerdem halte ich Protektionismus aller Ausprägungen im Internet für das letzte, was man machen will. Während dem ddos starten mag helfen, aber “vorsichtshalber” alle raussprerren?
@blafasel und andere: ihr unterhaltet euch über cricket, oder? ich bin bei aas und versteh kein wort, also muß es cricket sein.
@blafasel: du glaubst doch nicht ernsthaft, daß die 100Gbit/s zur Verfügung haben, wenn das Gepose stimmen würde, würd ich aber mehr als 100 btc verlangen :)
Große Rechenzentrenbetreiber (in unserem Falle Hetzner) habe ne Erkennung für sowas und selbst wenn die nicht greift, wird dort per Hand großflächig der halbe Globus gesperrt, während so ein Angriff läuft, vorallem wenn es SYN-Flood-Attacken sind. Das hat auch nichts mit Protektionismus zu tun, es geht ja nur darum während einer Attacke den eigenen Service wenigstens für die Hauptzielgruppe verfügbar zu halten.
Genug zum Thema Cricket :) denn ich freu mich grade so richtig, daß der TV-Guide fürs Wochenende online ist! Schnell als Text für alle Fälle abgespeichert. Diese WE hält mit Fußball, Rugby, Formel 1 und NASCAR echt viel bereit, wat freu ik mir!
Ah, nennt man den Ball beim Cricket also bot. Wieder was gelernt für die 1 mio EUR Frage. :)
Vielleicht liegts an meinem Provider, aber ich komme immer noch nicht auf die Hauptseite, nur über Deeplinks klappt es.
Folgende Seite erscheint stets:
http://alicesuchedns.aol.de/aol/afe_x?s_it=500error_alice&query=www.allesaussersport.de
Hat sich erledigt! Layer8-Fehler…