Norweger machen mich fertig...

[netbandit]

Hallo,

vielleicht kann mir das jemand erklären, bzw. hat mehr Infos für mich.

Ich habe heute morgen mal die Logfiles bei einem Wordpressportal durchgeschaut und musste feststellen, dass ein kompletter IP-Bereich mehr als die Hälfte an Traffic verursacht.

Insgesamt hatte ich bei dem einen Portal im Juni knapp 50 GB Traffic, Besucher mit den IP-Adressen im 109.239.235er-Bereich haben davon mehr als 30GB verursacht.

Spitzenreiter war hier die 109.239.235.78 mit etwas mehr als 2 GB.

Jetzt habe ich eben mal zum Testen einen davon per htaccess "eingefangen" und auf eine eigene Fehlerseite geleitet und so ein paar Daten gesammelt, hier die letzten 30 min:

109.239.235.218
mehr als 600 Zugriffe
und in dieser Zeit als 8 unterschiedliche UserAgents ausgegeben:

• curl/7.40.0
• Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.131 Safari/537.36
• Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_2) AppleWebKit/537.75.14 (KHTML, like Gecko) Version/7.0.3 Safari/537.75.14
• Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.131 Safari/537.36
• Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.137 Safari/537.36
• Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.114 Safari/537.36
• Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0
• Mozilla/5.0 (X11; Linux x86_64; rv:29.0) Gecko/20100101 Firefox/29.0

Kann mir das vielleicht jemand erklären, bzw. hat jemand auch ein Problem mit diesem IP-Bereich?
Bei mir zieht es sich durch 12 Wordpressinstallationen...

Grüße

 

[Ilse_Schnick]

Ich hatte das seinerzeit auch mal, allerdings weiß ich nicht mehr, welche IP... ich hab die einfach geblockt... kenne keine Leute in Norwegen

 

[lachender_engel]

Wenn bei mir so etwas offensichtlich passiert blocke ich die IPs, Alles andere ist - nach meiner Meinung - zu mühßig.

 

[netbandit]

OK, jetzt sind 4 Stunden rum und ich bin jetzt bei über 5400 Zugriffe von der einen IP.

Was auffällig ist: Es wird nur auf Kategorien zugegriffen, nie auf einzelne Beiträge.
Und die robots.txt wurde 4 Mal aufgerufen, auch die IP-Adresse, hier wurde als UserAgent immer curl/7.40.0 angegeben...

... ist doch irgendwie krank.

 

[rodemund]

Ist auch meine Meinung: einfach blocken, den Mist. Verderben kannst du dabei nicht viel.

 

[afr0kalypse]

Es gibt Bruteforceattacken via Curl und Wordlists. Vielleicht sogar Versuche mit Hashtabellen. Ich vermute, dass da sowas gemacht wird.

 

[Enigmon]

War nicht mal vor kurzem eine Gesetzes-Regelung das man alle Attacken melden muss??

Gruss
Thomas

 

[tr4ze]

Bist du root? Wen ja, schau dir mal
fail2ban
recent
oder DenyHosts an.
Dann ist ganz schnell Ruhe(oder besser gesagt, es wird viel leiser ).

 

[netbandit]

Bist du root?

Nee, ist ein ManagedServer.

Aber so wie ich das sehe geht das schon so seit dem wir den Server haben (Ende 2012), nur die IP-Adressen wechseln alle paar Monate. Traffic war schon immer so hoch - ist jedoch inkl.

Bisher gab es noch keine Ausfälle und beunruhigend langsam waren die Seiten auch noch nicht. Ich schau mir das mal noch ein Weilchen an - wenn es da Problemchen gibt muss ich halt wechseln...

Grüße & Danke euch allen