Blogspam: Denial of Service? distributed?

VonHelmi 7. Juni 200724. Mai 2018

Heute hat’s den ersten richtigen Einschlag beim Blogspam-Projekt gegeben. Um ca. 18 Uhr ist der Server (auf dem auch die meisten anderen Projekte von mir laufen) unter der Last der Spammer zusammengebrochen. Binnen weniger Minuten sind mehrere Tausend Spamversuche auf einmal eingeprasselt, was letztendlich Web- und Datenbankserver gekillt hat.

Glücklicherweise war ich nicht weit weg vom Rechner und konnte direkt eingreifen.

So sahen die Requests der Spammer aus:

xxxxxx - - [07/Jun/2007:18:48:42 +0200] "POST /2007-04/spam-comment-spam-und-trackback-spam/ HTTP/1.0" 200 5002070 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)"

Keine IP-Adresse war soweit ich es überblicken konnte mehr als einmal vorhanden. Sie scheinen als in diesem Fall mit einem Trojaner zu arbeiten, der weltweit seine Dienste auf ungeschützten Rechnern verrichtet und auf Kommando loslegt. Anders ist der schlagartige Anstieg von 0 auf 100 nicht zu erklären. Da stellt sich natürlich die Frage ob Spam der primär Zweck dieser Aktion ist., oder ob’s unterm Strich doch eine dDOS-Attacke sein soll. Eines der Hauptprobleme war sicherlich, dass es sich um einen Artikel handelt, der schon 2000+ Kommentare zu dem Zeitpunkt hatte.

Glücklicherweise gab sich dieser Trojaner gleich via Useragent zu erkennen und so hat ein einfaches:

SetEnvIfNoCase User-Agent "Maxthon" spammer=yes order deny,allow deny from env=spammer

in der .htaccess gereicht um die Request im Logfile danach so aussehen zu lassen:

xxxxxx - - [07/Jun/2007:19:55:28 +0200] "POST /2007-04/spam-comment-spam-und-trackback-spam/ HTTP/1.0" 403 1503 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)"

für die Laien unter den Lesern. im zweiten Request steht „403“ was kennzeichnet, dass der Aufruf nur ein „forbidden“ gesehen hat im Gegensatz zum Beispiel oben (Status Code 200 für erfolgreich).

Zum Schluß bleibt noch festzuhalten, dass keiner dieser Requests in einem Kommentar geendet ist. Warum weiß ich aktuell selber noch nicht – jemand Ideen?

P.S.: Ganz dickes sorry an die SimpleSnip-User die so zu Beginn gleich einen Ausfall des Dienstes in Kauf nehmen mussten.

Nachtrag: Bleibt noch zu vermerken, dass die Serverlast zwischendurch bei 158 angekommen war. Der Normalwert liegt unter 1. Mittlerweile ist sie wieder auf 1.5 gesunken. Die Requests dauern aber an. Die Trojaner sind offenbar dumm genug um selbst wenn sie ausgesperrt werden nicht den Blog/Server zu wechseln.

Nachtrag 2: So sah das dann im Apache-Status Frontend aus – das war aber schon nachdem alles im Griff war.

Dell: Einen Gang zurück mit Vista
VonHelmi 23. April 200719. Januar 2025

CNet zufolge hat der Computer-Hersteller und -Distributor Dell nun erkannt, dass Vista noch nicht so richtig reif für den Markt ist. Eigentlich nichts neues bei einem Microsoft-Betriebssystem. Ab sofort will man – vor allem im Businessbereich – wieder Windows XP als Vorinstalliertes Betriebssystem bei den ausgelieferten Rechner anbieten.

Weiterlesen Dell: Einen Gang zurück mit Vista
Einladungen für „The Venice Project“
VonHelmi 11. Januar 200710. Februar 2018

Für TVP habe ich nun zwei Einladungen zum Betatest zur Verfügungen. Kurze Info: The venice project ist ein IPTV-Projekt von den Skype- und Kazaa-Machern und befindet sich derzeit im geschlossenen Beta-Stadium. Das heisst man kommt nur mit Einladung rein. Nur tröpfelnd bekommt man diese Kontingente als User zur Verfügung gestellt. Mir stehen derzeit 2 zur…

Weiterlesen Einladungen für „The Venice Project“
SpON über Kniepers Abmahnwanhn
VonHelmi 1. Mai 2007

Danke, Spiegel Online. Solche Artikel [via Gerald] braucht’s um die breite Masse zu erreichen. Ein wenig mehr Links für Leute die gerne mehr lesen und nachforschen, würden dennoch nicht schaden (z.B. Google Blogsuche oder technorati mit entsprechenden Suchbegriffen), aber das kann man von Verlagshäusern bekanntermaßen ja nicht wirklich verlangen ;)

Weiterlesen SpON über Kniepers Abmahnwanhn
Kaspersky avp.exe 100% CPU Load
VonHelmi 14. Februar 2007

In den letzten Tagen klaut mir die avp.exe vom Kaspersky Virenscanner ständig meine CPU-Load (~100%). Nur ein kurzes deaktivieren des Schutzes hilft dabei. Nachdem das Kaspersky-Forum nun tagelang down war, konnte ich es heute endlich erreichen und habe direkt eine offenbar passende Lösung gefunden. Werde das gleich ausprobieren. Falls jemand ähnliche Probleme hat und der…

Weiterlesen Kaspersky avp.exe 100% CPU Load
NoMouseOver – der neue Designtrend?
VonHelmi 8. Dezember 2006

MouseOver ist jedem Webdesigner ein Begriff. Beim „berühren“ eines Links mit der Maus, beim „überfahren“ eines Buttons mit dem Zeiger ändert sich etwas. Dieses etwas hat in den letzten Jahren vielerelei Gestalt angenommen: Textlinks unterstreichen sich selbst oder ändern ihre Farbe, grafische Buttons scheinen zu leuchten oder drehen den Farbverlauf im Hintergrund um. In erster…

Weiterlesen NoMouseOver – der neue Designtrend?
Es nervt: links for $date
VonHelmi 24. Januar 2007

Vielleicht geht’s ja auch nur mir so, aber das dieses „links for 2007-01-26“ nervt. Ein Teil der Blogs in meinem Reader – glücklicherweise sind’s nicht all zu viele. Postet täglich die bei delicious abgelegten Links ohne weitere Kommentare. Vermutlich ist das ein Feature des hiesigen Bookmarkdienstes. Mister Wong hat sowas nicht und ich brauchs auch…

Weiterlesen Es nervt: links for $date

8 Kommentare

Farlion sagt:

7. Juni 2007 um 20:32 Uhr

Enthielten die Requests denn auch Text? Ich bin mir jetzt nicht sicher, aber wenn der Spam ohne Kommentartext gesendet wird, dürfte er normalerweise auch nicht in den Kommentaren landen.

Antworten
Frank Helmschrott sagt:

7. Juni 2007 um 20:51 Uhr

Keine Ahnung – die Inhalte von POST-Requests erscheinen ja nicht im Log. Und ich hatte jetzt keine Nerv mehr extra ein Script aufzusetzen, dass die Requests annimmt ;)

Antworten
Markus sagt:

7. Juni 2007 um 21:41 Uhr

wenn wirklich nur auf einen Artikel geschossen wurde, dann tippe ich drauf, dass ein Spammer sein Botnet auf dich losgelassen hat. Resultat ist dann diese dDoS-Attacke.
Dafür spricht auch, dass nur einfache Verbindungen aufgebaut wurden und keine Kommentare abgeliefert wurden. Der Server sollte einfach nur jede Menge Daten ausliefern und belastet werden. Ein typischer DoS

Antworten
Frank Helmschrott sagt:

8. Juni 2007 um 11:51 Uhr

sorry. irgendwie hab ich den Beitrag versehentlich auf Privat gesetzt gestern. Er war daher ein paar Stunden nicht erreichbar.

Antworten
Shitza sagt:

8. Juni 2007 um 12:08 Uhr

Wenn selbst im User-Agent etwas auffällig ist, dann wird es ja wohl kaum ein erfahrener Spammer gewesen sein. Möglicherweise sollte es aber auch nur ein Test sein :o

Antworten
Sebastian Deißner sagt:

24. Dezember 2007 um 01:28 Uhr

Ich nutze für meinen Mailserver fail2ban – das geht aber auch für den Apache Webserver – eigentlich für alle Dienste, welche Logfiles schreiben.

Einfach die Hosts in der Firewall aussperren und gut ist.

Antworten
Dante sagt:

12. Mai 2008 um 23:11 Uhr

habe auf der seite *url entfernt* seit ein paar daten auch jeden tag so zwichen 22:30 23 uhr bis so 12 uhr am anderen tag ddos attacken wie würde da ein sicheres HTACCESS aussehen? gerne per mail

EDIT by admin: URL entfernt.

Antworten
Dante sagt:

12. Mai 2008 um 23:14 Uhr

ach ja ich weiß das es damit zu tun hat das ich einigen stress mit dem admin von *irgendeinedomain* (die haben sich auf meiner board icq nummer gemeldet und mir auch gedroht und um zahlung gebeten, da dort was von dieser url stand habe ich nich damal anmeldet was wie wohl gemerkt habe da ich dort wegen der ddos attacken eine pn bekommen habe (das war vor dem angriff)) kann man durch das HTACCESS die ddos attacken auch zurück leiten?

EDIT by admin: URL entfernt

Antworten

Ähnliche Beiträge

8 Kommentare

Schreibe einen Kommentar Antwort abbrechen