Hallo zusammen,
es scheint so, als hätte ich die Lage im Griff 🤩 Ich arbeite noch auf, was genau passiert ist und arbeite auch noch Dinge nach, die bislang nicht gut funktionieren. Aber als Wasserstandsmeldung:
Was ist passiert?
Vor etwa 10 Tagen hat eine Angriffswelle auf zwei meiner Websites begonnen. Sie war meiner Einschätzung nach nicht auf Datenabgriff ausgelegt, sondern einfach auf Lahmlegen / Zerstören der Seiten. Die erste Angriffswelle bestand aus sog. "Slowloris"-Angriffen. Kurz gesagt wird damit der Server mit so vielen, ganz langsamen Anfragen zugemüllt, dass er nicht mehr antworten kann. Stellt euch das ungefähr so vor, als wenn 100 Menschen auf euch einreden, ganz, ganz langsam, und ihr sie nicht abwürgen könnt. Die Lösung bestand darin, den Server so zu konfigurieren, dass er zu langsame Anfragen kappt. Frei nach dem Motto: "Nimm Rücksicht auf andere - fasse dich kurz" 😉 Danach war einige Tage Ruhe.
Vor etwa 3 Tagen kam die zweite Angriffswelle. Sie war ähnlich wie die erste, aber mit schnelleren Anfragen, aber nicht schnell genug, um den Server wieder freizugeben. Stellt euch das wie Laberer vor, die euch den ganzen Abend zutexten, aber ihr kommt nicht weg von ihnen 😉 Die Schwierigkeit besteht darin, dass die Anfragen an sich schon legitim sind, aber eben insgesamt doch zu viele und zu langsam. Das ist eine recht fiese Methode, weil man nicht einfach frei alles sperren kann, denn dann kann niemand mehr aufs Forum zugreifen.
Wieso und was habe ich geändert?
Die Angriffe waren immer nach demselben Muster. Meiner Einschätzung nach entstammen sie "halbgaren" Hacker-Webseiten. Das Prinzip ist so: "Hacker" suchen nach Schwachstellen und stellen sie auf diesen Seiten öffentlich ein. Der Seiteninhaber kann darauf reagieren und dem Hacker Geld für seinen Fund bezahlen. Man kann solche Seiten auch bewusst nutzen, um Schwachstellen zu identifizieren. Ich habe das vor einigen Jahren mal gemacht, um unseren Server abzusichern und zwar so lange, bis alle Schwachstellen beseitigt waren. Leider waren meine Erfahrungen damit - vorsichtig gesagt - "überschaubar". Es gab schon einige faire, brauchbare, ethisch korrekte Gegenüber, aber auch ganz viele Erpresser. So nach dem Motto: "Bezahle mir 100,- $ oder ich mache deine Seite kaputt." Die Quellen waren v. a. aus dem arabischen und asiatischen Raum, sprich, behördlich aussichtslos. Bei den aktuellen Hackingangriffen kamen die Angriffe v. a. aus dem asiatischen Raum. Sie waren ganz offensichtlich darauf ausgelegt, den Server einfach lahmzulegen.
Gemacht habe ich ganz, ganz viel. Ich habe intensiv Performance-Schwachstellen im Forum untersucht und behoben, damit das Forum insgesamt schneller wird. Außerdem habe ich jetzt den Server hinter Cloudflare, einem Content Delivery Network, abgeschottet, sodass er von außen nicht mehr erreichbar ist. Cloudflare ist u. a. auf die Abwehr solcher Angriffe spezialisiert. Abgesehen davon übernimmt es die Aufgabe, bestimmte Inhalte schneller auszuspielen. Dafür habe ich bislang Amazons AWS verwendet und nun komplett auf Cloudflare umgestellt. AWS eignete sich dafür nicht mehr. AWS ist leider ein gerade wieder angelaufenes Jahresabo gewesen, aber so ist es halt. Hauptsache, das Forum läuft 😎
Jedenfalls sieht es seit gestern Morgen gut aus. Unser Server ist wieder ganz entspannt und Cloudflare meldet seit gestern morgen ca. 370.000(!) abgewehrte Anfragen. Das ist meine Art, den Ar******* den Mittelfinger zu zeigen.
Meldungen von Virenscannern
Die Meldung von Avast & Co. zu postimg und dergleichen betreffen nicht unser Forum, sondern das sind Server, von denen jemand Inhalte eingestellt hat - bspw. Bilder im Spaß-Thread. Von unserem Server gehen keine Viren oder Angriffe aus. Ich konnte in meiner Recherche auch keinen Abgriff von Daten feststellen.
Wenn ihr Probleme haben solltet, schreibt mir gerne - ich schaue es mir gerne an.
Bis dahin vielen Dank für euer Verständnis und eure Geduld!
Viele Grüße und ein schönes Wochenende!
Falk
an Falk für seine Bemühungen und erweitert für die Arbeit unserer Mods.
