DOS Angriff auf Loseseiten

[Moe2001]

ja cool casino ist auch betroffen.. schon seit tagen komm ich nicht drauf..leider...

Also gestern kam ich noch drauf, laggte nur ein bischen und heute gehts gar nicht.

Ja, Cool-Casino.de ist auch betroffen, gestern ging es nur mal ein paar Stunden nachdem ich den Server neu gestartet habe. Heute ist es aber noch "schlimmer" und nach nem Serverneustart geht es nur wenige Sekunden, daher ist der Server erstmal ganz ausgeschalten, bis eine Lösung gefunden ist!

Edit: Mir ist klar, dass der Serverneustart keine Lösung war / ist!! Wollte nur meinen Usern die Möglichkeit geben in der kurzen online Zeit den Adventskalender zu öffnen und / oder Lose auszuzahlen!

 

[MR.BB]

Ja, Cool-Casino.de ist auch betroffen, gestern ging es nur mal ein paar Stunden nachdem ich den Server neu gestartet habe. Heute ist es aber noch "schlimmer" und nach nem Serverneustart geht es nur wenige Sekunden, daher ist der Server erstmal ganz ausgeschalten, bis eine Lösung gefunden ist!

Wieso fragt ihr nichtmal nach woher die IP´s kommen und blockt diese dann?

 

[traxtrax]

Wieso ist eigentlich eine Riesen Seite wie Klammgeil nicht betroffen?

 

[PLUSTERBACKE]

Wieso ist eigentlich eine Riesen Seite wie Klammgeil nicht betroffen?

Das kann man sich ja wirklich fragen???

 

[Benutzer-2472]

Das kann man sich ja wirklich fragen???

Der Service dort ist auch ohne Attacken schlecht genug

 

[PLUSTERBACKE]

Der Service dort ist auch ohne Attacken schlecht genug

Das kommt noch dazu.. vielleicht witrd er deshalb nicht angegrifefen, sondern nur seiten von Webmastern die fair und nett sind... also so sieht es zumindest im moment aus...

 

[wichtel9999]

Punkt 2: ...
Als erste massnahme denke ich sollte mal DDOS Deflate benutzt werden um Hosts die haeufig connected zu blocken (250 Connections/minute sollte mehr als genug sein).

mit 250 Verbindungen ist schon jeder Apache tot!

ich habe jetzt 3 Tage an einem betroffenen Server rumgedoktert und habe es endlich in den Griff bekommen, so das man die Seite nutzen kann und dennoch alles was böse ist geblockt wird und nicht den Apachen lahm legt, den ich ebenso der Situation angepasst habe.

Userbeschwerden gab es noch nicht, von daher scheint es recht zuverlässig zu klappen.

Betreiber mit eigenem Server können sich gerne bei mir melden und bekommen denn ein paar Tipps, wie sie der Sache Herr werden können.

Lieben Gruss

wichtel

 

[netter_mller]

Losegarten und https://www.pzicity.de sind auch beide down,

somit denke ich auch mal das es jemand ist der wirklich nur fun an solchen sachen hat, weil wenn man das ganze hier vergleicht und es wirklich nur einer sein, dann müsste er wirklich Haus und Hof durch die Klammwelt verloren haben

 

[Hardstylemaus]

Losegarten und https://www.pzicity.de sind auch beide down,

somit denke ich auch mal das es jemand ist der wirklich nur fun an solchen sachen hat, weil wenn man das ganze hier vergleicht und es wirklich nur einer sein, dann müsste er wirklich Haus und Hof durch die Klammwelt verloren haben

Vielleicht ist es ja auch so

 

[ABC]

Diese genannte Klickseite hat bestimmt aber nicht einen eigenen Server, die wird wohl eher in Mitleidentschaft gezogen, weil auf dem gleichen Server auf ein anderes Projekt ein Angriff läuft, nicht immer alles so einfach sehen.

Ja kann gut sein. Das kann man ja nicht wissen. Wäre aber auch eine Möglichkeit. Leider weis ich nicht welche Seite genau gemeint ist sonst könnte man das untersuchen.

Wieso ist eigentlich eine Riesen Seite wie Klammgeil nicht betroffen?

Ich finde wir sollten nicht anfangen uns gegenseitig die Schuld zuzuschieben. Einfach einen schuldigen zu suchen wäre nicht fair. Vor allem wenn die Anhaltspunkte dazu fehlen. Unter anderem scheinen auch andere große Seiten noch ohne Probleme zu laufen.

Man sollte auf gar keinen Fall jemanden das in die Schuhe schieben wollen ohne begründete Beweise zu haben. Denn letzt endlich könnte das auch jede andere große Seite sein, die seinen Server auch mal kurz vom Netz nimmt um nicht unter Verdacht zu geraten. Wer kann dies schon kontrollieren?

Was ich aber wirklich erschreckend finde ist, dass eine enorme Anzahl an infizierten Zombis (=Infizierte Rechner) nötig sind um so viele Seiten auf einmal zu attackieren. Dies zeigt mir, dass hier ein rießiges Netzwerk daran schuldig sein muss. Und der Ziel der Attacken hat sicher andere Gründe.

Denn die Attacke überliefert ja nicht die Werbung auf einer anderen Seite aktiv zu werden. Sprich wenn die 20 größten Seiten attackiert werden, wie hätte dann der (böse Konkurrent) die Sicherheit, dass die User die dadurch abspringen ausgerechnet auf seiner von den verbleibenden 500 Seiten spielen gehen? In meinen Augen gibt es effektivere Methoden um an Kunden zu kommen. Diese Methoden sind kostengünstiger wie solche Attacken aufrecht zu erhalten.

Außerdem wissen wir ja, dass wir mit einer Ddos Attacke uns die Konkurrenz nur eine Weile vom Hals schaffen könnten und nicht Dauerhaft. Also wirklich in die Pleite (in die Knie) kann man damit eine Seite nicht zwingen. Klar kann man ihr finanziellen Schaden bereiten aber man kann sie damit nicht abschalten.

Ich denke eines der Beweggründe könnte Macht sein. Und ich denke wir sollten im Paid4 Sektor suchen. Ich könnte mir gut vorstellen, dass die Infizierten Rechner durch den Paid4 Bereich ihre Trojaner gefangen haben.

Wir sollten einfach daran arbeiten unsere Server dagegen abzusichern. Das wäre die beste Waffe. Sich effektiv zu verteidigen. Die Server vom Netz zu nehmen wäre sicherlich falsch. Das ist genau das was der Angreifer damit bewirken möchte.

Ich denke, dass ja immer mehr Seiten attackiert werden, denke ich dass hier irgend jemand über die Paid4 immer mehr User infiziert und so immer mehr Zombis zur Verfügung hat. Wir sehen ja, dass immer mehr Seiten attackiert werden.

Eine gute Möglichkeit wäre, wenn die User ihre Firewall durchlaufen lassen würden. Ich kann mir gut vorstellen, dass jemand damit systematisch versuchen wird die Klammwelt lahm zu legen. Warum diese Person nicht direkt bei Klamm anfängt weis ich nicht. Aber ich denke, dass LK ein ordentliches Cluster hat, wozu man viele Ressourcen brauchen würde um es lahm zu legen. Vorstellbar wäre aber, dass auch bald Klamm.de betroffen sein könnte.

Da aber wie ich denke Klamm.de nicht betroffen ist, denke ich dass der Angreifer potentiell ein anderes Ziel hat als der Klammwelt zu schaden. Und das sind solche Aspekte die man dabei betrachten sollte. Rache wäre also schon möglich gewesen. Vill wird aber der User auch die Webmaster erpressen wollen. Vielleicht spielt hier auch nur ein Kiddi rum.

Wir sollten auf jeden Fall uns Ratschläge einholen wie wir uns am besten davon schützen. Damit würden wir dem Angreifer richtig eine auswischen!

Eigentlich will ich nur sagen. Um solche Attacken von solchem Außmas durchzuführen braucht man ein ordentlich großes Netzwerk. Und das ist sehr Teuer an ein solches Netwerk zu kommen. Deshalb denke ich, die einfachste Lösung wäre die User über den Paid4 Berreich zu infizieren. Das wäre sehr Kostengünstig, und es würde zeigen, dass der Angreifer sich in der Klammwelt auskennt. Dann die Rechner als Zombis missbrauchen um die Attacken fortzuführen.

Würde mir folgendes sagen. Klammgeil ist nicht betroffen weil man dort Banner klickt (sich infizieren könnte?)! Wenn eine Klickseite betroffen ist, kann die wie Icebreaker schon schrieb auch daran liegen, dass die mit auf einem Server liegt. Wenn der Angreifer so vorgehen würde wäre es blöd Seiten abzuschalten, die ihm behilflich sein könnten.

 

[d82dennis]

Nur mal so dazwischen gehauen/gefragt, haben nicht die Sponsorennetzwerke und Lose-ver/ankäufer durch solche attacken die grössten schäden?

Durch die ganzen Sponsorenausfälle auf den entsprechenden seiten? Ich meine bei einer seite macht das nicht viel aus aber bei so vielen? Und besonders die Zockseiten werden ja durch Losekäufer bespielt. Loseverkäufer sitzen dann ja mehr oder weniger auf Ihren losen. Wie gesagt bei einer Seite fällt das nicht ins gewicht aber bei so vielen ?

 

[Benutzer-6744]

Nur mal so dazwischen gehauen/gefragt, haben nicht die Sponsorennetzwerke und Lose-ver/ankäufer durch solche attacken die grössten schäden?

Durch die ganzen Sponsorenausfälle auf den entsprechenden seiten? Ich meine bei einer seite macht das nicht viel aus aber bei so vielen? Und besonders die Zockseiten werden ja durch Losekäufer bespielt. Loseverkäufer sitzen dann ja mehr oder weniger auf Ihren losen. Wie gesagt bei einer Seite fällt das nicht ins gewicht aber bei so vielen ?

Sie sind wohl eher nachranging geschädigt... Ziel scheinen wirklich vor allem Zockseiten zu sein..

Würde man Sponsorennetzwerke im großen Stil schaden wollen, könnte man die ja konkret angreifen...

besonders bei den Losehändlern ist das genauso.. deren Seiten werden wohl im Regefall nicht so große Server haben, wie die führenden Zockseiten, welche ja eine viel größere normale Aufrufsbelastung haben

LG

 

[ABC]

Sie sind wohl eher nachranging geschädigt... Ziel scheinen wirklich vor allem Zockseiten zu sein..
LG

Ja eben und vor allem werden es ja scheinbar immer mehr!

 

[Sledgedog]

wie gesagt ist meine Klickseite Loseengel.de auch betroffen
und ich habe einen eigenen DED server !!!

bisher ist der durch ein modul gesichert
und nun mit dem was wichtel mir geschrieben hat
scheint es ganz gut zu gehen

die Seite ging wieder in die Knie, da die Angriffe massiver wurden
nun läuft es aber ganz gut, anscheinen sind die beiden Maßnahmen ganz gut

 

[ABC]

Das wird dann natürlich alle Theorien um. Wozu sollte man eine Klickseite schaden wollen frage ich mich an dieser Stelle?!

 

[wichtel9999]

wie gesagt ist meine Klickseite Loseengel.de auch betroffen
und ich habe einen eigenen DED server !!!

bisher ist der durch ein modul gesichert
und nun mit dem was wichtel mir geschrieben hat
scheint es ganz gut zu gehen

die Seite ging wieder in die Knie, da die Angriffe massiver wurden
nun läuft es aber ganz gut, anscheinen sind die beiden Maßnahmen ganz gut

Ich habe eben mal Deine Seite aufgerufen und sie kam blitzschnell, von daher denke ich das Du nun gut gerüstet bist.

Neben mod_evasive ist auch noch mod_security2 zu empfehlen.

Lieben Gruss

wichtel

 

[Benutzer-6744]

wie gesagt ist meine Klickseite Loseengel.de auch betroffen
und ich habe einen eigenen DED server !!!

Mein server ist auch betroffen... liegt auch nur nen kleines werbenetzwerk + loseshop drauf...

Netzwerk wird man wohl nicht treffen wollen (gibts erst knapp nen monat), also geh ich mal vom shop aus... wobei ich da auch keinen sinn sehe

LG

 

[Entenhausen33]

Mal so eine Theorie :
Kann es sein das jemand jetzt absichtlich diese Angriffe macht, damit die Loseseiten mehr gegen Angriffe dieser Art geschützt sind ?
Wäre ja möglich..

 

[Shampoo]

Mal so eine Theorie :
Kann es sein das jemand jetzt absichtlich diese Angriffe macht, damit die Loseseiten mehr gegen Angriffe dieser Art geschützt sind ?
Wäre ja möglich..

Vll. will ja auch jemand die 0815 Seiten einfach vernichten^^
Die Spreu vom Weizen trennen nennt sich das, glaub ich.

 

[Hamsta]

Dann würde man aber eher die Seitenbetreiber hinweisen und ihnen helfen und nicht eine Straftat begehen und ihnen schaden. Außerdem würde das dann wohl auch nicht so lange andauern..