{"id":1930,"date":"2021-09-11T20:37:00","date_gmt":"2021-09-11T18:37:00","guid":{"rendered":"https:\/\/ekiwi.de\/?p=1930"},"modified":"2021-09-29T19:38:08","modified_gmt":"2021-09-29T17:38:08","slug":"serverangriff-viele-downloads-unserer-software-von-bestimmten-ip-adressen","status":"publish","type":"post","link":"https:\/\/ekiwi.de\/index.php\/1930\/serverangriff-viele-downloads-unserer-software-von-bestimmten-ip-adressen\/","title":{"rendered":"Serverangriff: viele Downloads unserer Software von bestimmten IP-Adressen [Update]"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Inhalt<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/ekiwi.de\/index.php\/1930\/serverangriff-viele-downloads-unserer-software-von-bestimmten-ip-adressen\/#Update\" >Update<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/ekiwi.de\/index.php\/1930\/serverangriff-viele-downloads-unserer-software-von-bestimmten-ip-adressen\/#Abuse_an_Hetzner\" >Abuse an Hetzner<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/ekiwi.de\/index.php\/1930\/serverangriff-viele-downloads-unserer-software-von-bestimmten-ip-adressen\/#Update_von_Hetzner\" >Update von Hetzner<\/a><\/li><\/ul><\/li><\/ul><\/nav><\/div>\n<p>Viele Downloads im Minutentakt, jede Menge Traffic. Dahinter steckten nur wenige IP-Adressen. Eine Spurensuche.<\/p>\n<p><!--more---><\/p>\n<p>Ich schaue nur gelegentlich in die Serverstatistiken hinein, aber ich Zukunft werde ich das wohl \u00f6fter machen. So fiel mir auf, dass seit Anfang Augst das Datenvolumen drastisch in die H\u00f6he geschnellt ist.<\/p>\n<p>Wenn ich das richtig sehe, sind im August 19 Terrabyte an Daten geflossen, in diesem Monat bereits knapp 8 TB.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"\/wp-content\/uploads\/2021\/09\/traffic_1.png\" alt=\"\" width=\"569\" height=\"312\" class=\"alignnone size-full wp-image-1931\" srcset=\"\/wp-content\/uploads\/2021\/09\/traffic_1.png 569w, \/wp-content\/uploads\/2021\/09\/traffic_1-300x164.png 300w\" sizes=\"auto, (max-width: 569px) 100vw, 569px\" \/><\/p>\n<p>Das ist veritabel, ein Blick in die Statistiken ergab, dass der Traffic durch den Download unserer Software zustande kam. Wie man sieht, wurde die Software massenhaft heruntergeladen.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"\/wp-content\/uploads\/2021\/09\/traffic_2.png\" alt=\"\" width=\"732\" height=\"318\" class=\"alignnone size-full wp-image-1932\" srcset=\"\/wp-content\/uploads\/2021\/09\/traffic_2.png 732w, \/wp-content\/uploads\/2021\/09\/traffic_2-300x130.png 300w\" sizes=\"auto, (max-width: 732px) 100vw, 732px\" \/><\/p>\n<p>Hier hilft dann ein Blick in die Access-Logs des Webservers. Dieses zeigt, dass die Software von verschiedenen IP-Adressen im Sekundentakt heruntergeladen wird.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"\/wp-content\/uploads\/2021\/09\/traffic_3.png\" alt=\"\" width=\"929\" height=\"530\" class=\"alignnone size-full wp-image-1933\" srcset=\"\/wp-content\/uploads\/2021\/09\/traffic_3.png 929w, \/wp-content\/uploads\/2021\/09\/traffic_3-300x171.png 300w, \/wp-content\/uploads\/2021\/09\/traffic_3-768x438.png 768w\" sizes=\"auto, (max-width: 929px) 100vw, 929px\" \/><\/p>\n<p>Ich bin die Liste mal durchgegangen. Am Ende hat sich eine kleine Liste von IP-Adressen ergeben, welche f\u00fcr die Zugriffe verantwortlich ist. Um die Zugriffe zu unterbinden, habe ich die .htaccess Datei entsprechend um ein paar &#8222;Deny from&#8220; Eintr\u00e4ge erweitert.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"\/wp-content\/uploads\/2021\/09\/traffic_4.png\" alt=\"\" width=\"266\" height=\"156\" class=\"alignnone size-full wp-image-1934\" \/><\/p>\n<p>Dies l\u00f6st das Problem erstmal. Die zugreifenden IP-Adressen laden so nicht mehr die Software herunter, sondern bekommen nur eine 403 forbidden Meldung zur\u00fcck. Die Zugriffe sind zwar weiterhin da, erzeugen jedoch deutlich weniger Traffic.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"\/wp-content\/uploads\/2021\/09\/traffic_5.png\" alt=\"\" width=\"838\" height=\"85\" class=\"alignnone size-full wp-image-1935\" srcset=\"\/wp-content\/uploads\/2021\/09\/traffic_5.png 838w, \/wp-content\/uploads\/2021\/09\/traffic_5-300x30.png 300w, \/wp-content\/uploads\/2021\/09\/traffic_5-768x78.png 768w\" sizes=\"auto, (max-width: 838px) 100vw, 838px\" \/><\/p>\n<p>Die Frage ist, wer dahinter steckt, einige IP-Adressen geh\u00f6ren zu Cloudfare, andere zu Hetzner.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"\/wp-content\/uploads\/2021\/09\/traffic_6.png\" alt=\"\" width=\"627\" height=\"256\" class=\"alignnone size-full wp-image-1936\" srcset=\"\/wp-content\/uploads\/2021\/09\/traffic_6.png 627w, \/wp-content\/uploads\/2021\/09\/traffic_6-300x122.png 300w\" sizes=\"auto, (max-width: 627px) 100vw, 627px\" \/><\/p>\n<p>Was dahinter steckt, ist die gro\u00dfe Frage. Derzeit kann ich mir keinen Reim drauf machen und muss die Sache weiter beobachten. Wenn die b\u00f6sen Buben am Ende feststellen, dass ihre IP-Adressen gesperrt sind, k\u00f6nnen sie diese nat\u00fcrlich jederzeit \u00e4ndern.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Update\"><\/span>Update<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Die Blockade der IP-Adressen zeigt Wirkung. Mittels .htaccess habe ich die IP-Adressen gesperrt, diese bekommen nun nur noch ein 403 zur\u00fcck, statt dem Download. Erzeugt zwar immer noch etwas Traffic, aber vernachl\u00e4ssigbar.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"\/wp-content\/uploads\/2021\/09\/angriff_1.png\" alt=\"\" width=\"726\" height=\"47\" class=\"alignnone size-full wp-image-1938\" srcset=\"\/wp-content\/uploads\/2021\/09\/angriff_1.png 726w, \/wp-content\/uploads\/2021\/09\/angriff_1-300x19.png 300w\" sizes=\"auto, (max-width: 726px) 100vw, 726px\" \/><\/p>\n<p>Der Traffic ist auf normale Ma\u00dfst\u00e4be zur\u00fcckgegangen, wie man an der folgenden Statistik ganz gut erkennen kann.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"\/wp-content\/uploads\/2021\/09\/angriff_2.png\" alt=\"\" width=\"298\" height=\"128\" class=\"alignnone size-full wp-image-1939\" \/><\/p>\n<p>Allerdings gibt es weiter jede Menge Zugriffe von vielen weiteren IP-Adressen. Diese laden aber nicht die Dateien selbst herunter, sondern machen nur eine Header-Abfrage. In diesem Fall erzeugt das zwar kaum Traffic, aber warum diese IP-Adressen dies tun, erschlie\u00dft sich mir noch nicht. <\/p>\n<p>Mein Verdacht geht in Richtung irgendwelcher Warez-Seiten, da die Zugriffe \u00fcberwiegend aus Russland zu kommen scheinen. Vielleicht schauen diese, ob die Datei sich ge\u00e4ndert hat (neue Version). Insgesamt habe ich derzeit knapp 70 IP-Adressen blockiert.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"\/wp-content\/uploads\/2021\/09\/angriff_3.png\" alt=\"\" width=\"1175\" height=\"270\" class=\"alignnone size-full wp-image-1940\" srcset=\"\/wp-content\/uploads\/2021\/09\/angriff_3.png 1175w, \/wp-content\/uploads\/2021\/09\/angriff_3-300x69.png 300w, \/wp-content\/uploads\/2021\/09\/angriff_3-1024x235.png 1024w, \/wp-content\/uploads\/2021\/09\/angriff_3-768x176.png 768w\" sizes=\"auto, (max-width: 1175px) 100vw, 1175px\" \/><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Abuse_an_Hetzner\"><\/span>Abuse an Hetzner<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Einige IP-Adressen geh\u00f6ren u.a. zu Hetzner, hier habe ich eine Anfrage an abuse@hetzner.de gestellt. Leider bisher ohne jegliche Antwort.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Update_von_Hetzner\"><\/span>Update von Hetzner<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Nach gut zwei Wochen eine Antwort von Hetzner:<\/p>\n<blockquote><p>\nDie betroffene IP wurde gek\u00fcndigt und ist bereits einem neuen Kunden zugewiesen worden. Bitte betrachten Sie den Fall als abgeschlossen.\n<\/p><\/blockquote>\n<p>Naja schnell ist anders, aber immerhin.<\/p>","protected":false},"excerpt":{"rendered":"<p>Viele Downloads im Minutentakt, jede Menge Traffic. Dahinter steckten nur wenige IP-Adressen. Eine Spurensuche.<\/p>\n","protected":false},"author":1,"featured_media":63,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_links_to":"","_links_to_target":""},"categories":[12],"tags":[],"class_list":["post-1930","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-server"],"_links":{"self":[{"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/posts\/1930","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/comments?post=1930"}],"version-history":[{"count":0,"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/posts\/1930\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/media\/63"}],"wp:attachment":[{"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/media?parent=1930"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/categories?post=1930"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/tags?post=1930"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}