Angriff gestern? 1 IP - 5 Visits - 58.567 Hits - 2,6GB Datentransfer

uwe.h · 12.06.2005, 18:46

Hallo zusammen,

gestern hatte ich seltsamen Besuch:

Die IP 84.149.0.111 bzw. p5495006f.dip0.t-ipconnect.de hat mich im Laufe des Tages 5 x Besucht, 58.567 Hits erzeugt, 52.307 Files mit rund 2,6 GB an Daten angefordert

Folgen: Kaputt ist nix; hab zumindest nix bemerkt, außer dass lt. meinen eigenen Statistiken des AdServers bei den Bannern zu viele Klicks (in einer Zone "0", die es gar nicht gibt) generiert wurden. In den Affilinet Statistiken sind die jedoch - zum Glück - nicht "angekommen". Auch waren die Google-Anzeigen davon nicht betroffen.

WAS WAR DAS?
Hmm ... ist ja ne Sauerrei ... und offensichtlich eine deutsche IP.
Soll ich einfach mal eine Anzeige gegen Unbekannt machen. Wegen "..." tja, wegen was? Ein Schaden ist ja nicht entstanden (auch die 26 GB Datentransfer sind bei mir incl.), außer dass ich stundenlang recherchiert habe, die falschen Klicks aus dem AdServer manuell löschen musste.

Trotzden sollte an sowas ja irgendwas strafbar sein. "Versuchter ..."?

Uwe

Tobias · 12.06.2005, 21:06

Na, vielleicht reicht es zunächst auch erst einmal aus, T-Online zu informieren.
Die verstehen bei solchen Dingen nämlich überhaupt keinen Spaß.

uwe.h · 12.06.2005, 21:21

Hi,

ich habe zwar kein Vertrauen in t-... , habe denen aber trotzdem mal gemailt.
Nur was wollen die machen, ohne Anzeige eines "Geschädigten"? Da können die wohl "nur" den Zugang kündigen. Aber an neue Zugänge zu kommen ist ja kein Problem

Aber WAS WAR DAS?
Kennt jemand solche "Angriffe"?

Uwe

ArneE · 13.06.2005, 14:28

Hallo Uwe,

ein leidiges Thema, ja

Kommt drauf an, was es für Hits waren. Ob reine HTML-Files, PHP-Files, Download-Files, etc. - könnte z.B. auch ein sogenannter "Webdownloader" an einer dicken Leitung sein.

Wie nennt man das Phänomen? ggf. Denial of Service (DoS)

Tobias · 13.06.2005, 14:45

Die hohe Datenmenge spricht für eine DoS-Attacke.
Auch möglich, aber halte ich eher für unwahrscheinlich, dass jemand ein wenig mit wget herumgespielt hat.

uwe.h · 13.06.2005, 15:01

Hi,

ein "normaler" Download war es wohl nicht, dafür gab es zu viele errors in der log-datei wegen "unsinniger" Anforderungen. Hier ein paar Beispiele:

[code]
[Sat Jun 11 15:10:05 2005] [error] [client 84.149.0.111] File does not exist: /is/htdocs/37639/www.carving-ski.de/phpBB/[u][i][b]50/
[Sat Jun 11 15:10:05 2005] [error] [client 84.149.0.111] File does not exist: /is/htdocs/37639/www.carving-ski.de/phpBB/[u][i][b]50/50[/
[Sat Jun 11 15:10:05 2005] [error] [client 84.149.0.111] File does not exist: /is/htdocs/37639/www.carving-ski.de/phpBB/[u][i]50/50[/
[Sat Jun 11 15:10:05 2005] [error] [client 84.149.0.111] File does not exist: /is/htdocs/37639/www.carving-ski.de/phpBB/[u]50/50[/
[Sat Jun 11 15:10:05 2005] [error] [client 84.149.0.111] File does not exist: /is/htdocs/37639/www.carving-ski.de/phpBB/50/50
[Sat Jun 11 15:10:05 2005] [error] [client 84.149.0.111] File does not exist: /is/htdocs/37639/www.carving-ski.de/phpBB/[url][img][list][list][code][quote][u][i][b]50/
[Sat Jun 11 15:10:05 2005] [error] [client 84.149.0.111] File does not exist: /is/htdocs/37639/www.carving-ski.de/phpBB/[url][img][list][list][code][quote][u][i][b]50/50[/
[Sat Jun 11 15:10:06 2005] [error] [client 84.149.0.111] File does not exist: /is/htdocs/37639/www.carving-ski.de/phpBB/[url][img][list][list][code][quote][u][i]50/50[/
[Sat Jun 11 15:10:06 2005] [error] [client 84.149.0.111] File does not exist: /is/htdocs/37639/www.carving-ski.de/phpBB/[url][img][list][list][code][quote][u]50/50[/
[Sat Jun 11 15:10:06 2005] [error] [client 84.149.0.111] File does not exist: /is/htdocs/37639/www.carving-ski.de/phpBB/[url][img][list][list][code][quote]50/50[/
[Sat Jun 11 15:10:06 2005] [error] [client 84.149.0.111] File does not exist: /is/htdocs/37639/www.carving-ski.de/phpBB/[url][img][list][list]

Code:


	Zitat:
	
	
		
			
				50/50
			
		
	
	
[/
[Sat Jun 11 15:10:06 2005] [error] [client 84.149.0.111] File does not exist: /is/htdocs/37639/www.carving-ski.de/phpBB/[url][img][list][list]
	Code:
	
	Zitat:
	
	
		
			
				50/50
			
		
	
	

[/
[Sat Jun 11 15:10:06 2005] [error] [client 84.149.0.111] File does not exist: /is/htdocs/37639/www.carving-ski.de/phpBB/[url][img][list]
	Code:
	
	Zitat:
	
	
		
			
				50/50
			
		
	
	


[/
[Sat Jun 11 15:10:06 2005] [error] [client 84.149.0.111] File does not exist: /is/htdocs/37639/www.carving-ski.de/phpBB/[url][img]
	Code:
	
	Zitat:
	
	
		
			
				50/50
			
		
	
	



[/
[Sat Jun 11 15:10:06 2005] [error] [client 84.149.0.111] File does not exist: /is/htdocs/37639/www.carving-ski.de/phpBB/[url][img]
	Code:
	
	Zitat:
	
	
		
			
				50/50
			
		
	
	



[/img][/
[Sat Jun 11 15:10:07 2005] [error] [client 84.149.0.111] File does not exist: /is/htdocs/37639/www.carving-ski.de/phpBB/http://[img]<ul><li><ul><li><div.../ul>[/img]
[Sat Jun 11 15:10:07 2005] [error] [client 84.149.0.111] File does not exist: /is/htdocs/37639/www.carving-ski.de/phpBB/Bild einf\xfcgen: [img]http:/
[Sat Jun 11 15:10:07 2005] [error] [client 84.149.0.111] File does not exist: /is/htdocs/37639/www.carving-ski.de/phpBB/Bild einf\xfcgen: [img]http://
[Sat Jun 11 15:10:07 2005] [error] [client 84.149.0.111] File does not exist: /is/htdocs/37639/www.carving-ski.de/phpBB/Bild einf\xfcgen: [img]http://URL_des_Bildes[/
[Sat Jun 11 15:10:07 2005] [error] [client 84.149.0.111] File does not exist: /is/htdocs/37639/www.carving-ski.de/phpBB/Bild einf\xfcgen:  (alt+p)
[Sat Jun 11 15:10:07 2005] [error] [client 84.149.0.111] File does not exist: /is/htdocs/37639/www.carving-ski.de/phpBB/mozilla/
[Sat Jun 11 15:10:07 2005] [error] [client 84.149.0.111] File does not exist: /is/htdocs/37639/www.carving-ski.de/phpBB/mozilla/4.0 (compatible; msie 6.0; windows nt 5.1)
[Sat Jun 11 15:10:08 2005] [error] [client 84.149.0.111] File does not exist: /is/htdocs/37639/www.carving-ski.de/phpBB/undefined :-

Ich habe jetzt zwar diese eine IP in der htaccess als "deny from" eingetragen, was aber wenn nochmal so was passiert?
Kann ich irgendwie die Zugriffshäufigkeit oder Datenmenge begrenzen, ohne dass davon bots oder Besucher beeinflusst sind?

;-)
Uwe

ArneE · 13.06.2005, 16:20

mod_throttle fürn Apache

uwe.h · 13.06.2005, 16:47

Hi,

HostEurope (dort liegen die Daten) sagte mir eben, dass es wohl KEIN DoS gewesen sei, denn sowas würden sie selbst erkennen, aber es lägen keine entsprechenden Meldungen vor.

... mal warten, ob sich t-... meldet.

Uwe

Nicolas · 25.06.2005, 00:26

Und, ist noch was bei raus gekommen?

uwe.h · 25.06.2005, 00:37

Hallo Nicolas,

ja:
- t-online teilte mir mit, dass es ein 1und1-Kunde war
- 1und1 teilte mir mit, dass die Person abgemahnt wurde und bei weiteren Vorfällen weitere Maßnahmen ergriffen würden.

... nur was bedeutet das? Abgemahnt -> Anschluß kündigen?
Das juckt doch wenig. Dann geht man halt zum nächsten Provider ... und macht weiter

Soll ich nun Anzeige erstatten?
Bringt das was?

Uwe

Nicolas · 25.06.2005, 11:00

Nunja, was man da rechtlich machen kann, da kenn ich mich wenig aus.
Hast du niemanden in deinem bekannten Kreis, der sich da was das Recht angeht auskennt?
Ich werde mich auch nochmal schlau machen!

Nicolas · 27.06.2005, 16:17

Also ein Bekannter von mir meinte, wenn es nicht nachweislich eine Attacke war, würde es schwer werden, da rechtlich vozugehen.

uwe.h · 27.06.2005, 16:52

Hi Niclas,

Zitat:

Zitat von Nicolas

Also ein Bekannter von mir meinte, wenn es nicht nachweislich eine Attacke war, würde es schwer werden, da rechtlich vozugehen.

... deshalb erspare ich mir am besten auch die Arbeit und den Ärger und vergesse es einfach

Danke!

;-)
Uwe

Levis · 28.06.2005, 12:54

Genau, so würd ichs auch machen... Wenn Du keinen Schaden daraus hast, lohnt sichs doch nicht, soviel Ärger auf sich zu nehmen.