Serverangriff: viele Downloads unserer Software von bestimmten IP-Adressen [Update]

Viele Downloads im Minutentakt, jede Menge Traffic. Dahinter steckten nur wenige IP-Adressen. Eine Spurensuche.

Ich schaue nur gelegentlich in die Serverstatistiken hinein, aber ich Zukunft werde ich das wohl öfter machen. So fiel mir auf, dass seit Anfang Augst das Datenvolumen drastisch in die Höhe geschnellt ist.

Wenn ich das richtig sehe, sind im August 19 Terrabyte an Daten geflossen, in diesem Monat bereits knapp 8 TB.

Das ist veritabel, ein Blick in die Statistiken ergab, dass der Traffic durch den Download unserer Software zustande kam. Wie man sieht, wurde die Software massenhaft heruntergeladen.

Hier hilft dann ein Blick in die Access-Logs des Webservers. Dieses zeigt, dass die Software von verschiedenen IP-Adressen im Sekundentakt heruntergeladen wird.

Ich bin die Liste mal durchgegangen. Am Ende hat sich eine kleine Liste von IP-Adressen ergeben, welche für die Zugriffe verantwortlich ist. Um die Zugriffe zu unterbinden, habe ich die .htaccess Datei entsprechend um ein paar “Deny from” Einträge erweitert.

Dies löst das Problem erstmal. Die zugreifenden IP-Adressen laden so nicht mehr die Software herunter, sondern bekommen nur eine 403 forbidden Meldung zurück. Die Zugriffe sind zwar weiterhin da, erzeugen jedoch deutlich weniger Traffic.

Die Frage ist, wer dahinter steckt, einige IP-Adressen gehören zu Cloudfare, andere zu Hetzner.

Was dahinter steckt, ist die große Frage. Derzeit kann ich mir keinen Reim drauf machen und muss die Sache weiter beobachten. Wenn die bösen Buben am Ende feststellen, dass ihre IP-Adressen gesperrt sind, können sie diese natürlich jederzeit ändern.

Update

Die Blockade der IP-Adressen zeigt Wirkung. Mittels .htaccess habe ich die IP-Adressen gesperrt, diese bekommen nun nur noch ein 403 zurück, statt dem Download. Erzeugt zwar immer noch etwas Traffic, aber vernachlässigbar.

Der Traffic ist auf normale Maßstäbe zurückgegangen, wie man an der folgenden Statistik ganz gut erkennen kann.

Allerdings gibt es weiter jede Menge Zugriffe von vielen weiteren IP-Adressen. Diese laden aber nicht die Dateien selbst herunter, sondern machen nur eine Header-Abfrage. In diesem Fall erzeugt das zwar kaum Traffic, aber warum diese IP-Adressen dies tun, erschließt sich mir noch nicht.

Mein Verdacht geht in Richtung irgendwelcher Warez-Seiten, da die Zugriffe überwiegend aus Russland zu kommen scheinen. Vielleicht schauen diese, ob die Datei sich geändert hat (neue Version). Insgesamt habe ich derzeit knapp 70 IP-Adressen blockiert.

Abuse an Hetzner

Einige IP-Adressen gehören u.a. zu Hetzner, hier habe ich eine Anfrage an abuse@hetzner.de gestellt. Leider bisher ohne jegliche Antwort.

Update von Hetzner

Nach gut zwei Wochen eine Antwort von Hetzner:

Die betroffene IP wurde gekündigt und ist bereits einem neuen Kunden zugewiesen worden. Bitte betrachten Sie den Fall als abgeschlossen.

Naja schnell ist anders, aber immerhin.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert