Latest news Network Web

DDoS attack on igor’sLAB – Script kiddies against Cloudflare

It was around midnight an not the first time (and will certainly not be the last time), but a DDos attack is always less beautiful (but superfluous as a crop), no matter how elaborate and extensive it has now taken place. However, I go for 2 years, despite a powerful Epyc server and a redundant connection in the data center, the somewhat safer way and use the services of Cloudflare as a paying customer. This affects the routing a bit, but DNS entries can be changed quickly in case of an emergency.

As long as there is no comparable powerful and cheap offer in Germany or Europe (we deliberately leave Amazon out of it), you will have to make use of such services, if underutilized contemporaries, with whatever intention, waste their time with the attempted disturbance of a legal data transfer. The whole thing then presents itself like this, whereby the 2 million registered accesses almost disappoint me a little. That certainly won’t bring Cloudflare to its knees.

Sorted by country, the whole thing looks like this, whereby the large number of Indonesian addresses already catches the eye. In the carelessness scale of the surely unknowingly participating computers, by the way, always the same suspects are in front, because it is not the first attempt of this kind and it can be evaluated quite well.

The discussion about whether you should now secure your traffic via foreign services like Cloudflare is unfortunately idle, because without it unfortunately does not work (see above). But since we don’t host any really sensitive personal data on the site itself as well as in the forum, and also the mails are not traded by Cloudflare, I don’t see a real problem here. Especially since we also explicitly point out in the privacy notices that we use Cloudflare as a service provider.

Traffic was a bit limited during that time and large images loaded a bit slower than usual. However, the normal user should not have noticed any further limitations. Also therefore: a pity for the effort and uselessly spent money.

Kommentar

Lade neue Kommentare

RedF

Urgestein

4,640 Kommentare 2,540 Likes

Ja ich bin gestern gegen 23.30 nicht auf deine seite gekommen. Ein paar Minuten später ging es dan aber wieder.

Antwort Gefällt mir

Igor Wallossek

1

10,155 Kommentare 18,727 Likes

Laut Log waren es knapp 3 Minuten mit etwas eingeschränkter Erreichbarkeit. Die Welle lief ja nicht schlagartig los und es dauert dann immer etwas, bis der Trigger-Wert erreicht ist. Cloudflare löst das wirklich gut, denn die Serverlast im Rechenzentrum lag immer unter 10 Prozent. Das Nadelör ist hier allerdings Frankreich, wo einer der Knoten zum Überseekabel ebenfalls einen Schluckauf hatte. Von solchen Dingen wie Broswer-Check und Captcha halte ich aber nicht viel, das ist eher eine Gängelung der ehrlichen Besucher. Der einzige Negativpunkt war die Warn-Mail, die mich wach gemacht hat. Aber Check und weg ;)

Antwort 11 Likes

RAZORLIGHT

Veteran

355 Kommentare 262 Likes

Ist halt wie mit den Cheatern in Multiplayer Spielen.
Was ich über solche Individuen die lediglich da sind um anderen die Luft wegzuatmen denke, schreib ich hier nicht ausführlicher.

Antwort 11 Likes

HerrRossi

Urgestein

6,778 Kommentare 2,243 Likes

Da schließe ich mich an.

Antwort Gefällt mir

m
meilodasreh

Urgestein

572 Kommentare 284 Likes

Während also der metaphorische DDoS-Sack Reis umfiel,
habe ich einen Apfel gegessen.
Mehr gibt es zu dem Artikel und der Tat dahinter nicht zu erwähnen.

Antwort 1 Like

Göran

Veteran

154 Kommentare 63 Likes

Wie behandelt Cloudflare einen DDOS-Angriff ?
Werden da einfach so und so viele Zugriffe verworfen oder habe die eine Erkennung für Zugriffe, die nur der Erzeugung von Last dienen oder ganz was anderes ?

Antwort 2 Likes

B
Besterino

Urgestein

6,702 Kommentare 3,300 Likes

Es müsste eine Möglichkeit geben, solche Zugriffe zu monetarisieren… Zugriff ist doch Zugriff. ;) Fänd es lustig, wenn Cloudflare & Co. den Müll dann einfach zu irgendwelchen Werbefuzzis umleiten (die mir auch nur auf den Nerv gehen)… wenn die dann ausfallen - win/win… Vielleicht lässt der Murks dann irgendwann nach, wenn solche Attacken beim „Opfer“ zu wirtschaftlich positiven Ergebnissen führen … :P

Antwort 3 Likes

Alkbert

Urgestein

929 Kommentare 704 Likes

Ich habe gestern mehrmals reingeguckt, mir ist aber gar nix aufgefallen - und das heißt für mich bei einer 500er Glasleitung schon was.

Antwort Gefällt mir

Igor Wallossek

1

10,155 Kommentare 18,727 Likes

Da ich die Werbung zu 98% selbst hoste, bringt so ein Mist überhaut nichts. Im Gegenteil, denn es verhindert mögliche Clicks und nur die allein zählen. Ich denke mal, dass die Monetarisierung hier noch recht human ausfällt und das soll auch so bleiben. Meine Unkosten werden alle gedeckt, die investierte Zeit überwiegend auch. Der Rest ist Enthusiasmus und eine gut organisierte Mischkalkulation zum Testlab. Es muss keiner hungern, aber für die Million reichts natürlich nicht. :)

Antwort 10 Likes

ArcusX

Urgestein

866 Kommentare 501 Likes

Ich sag mal so: Igorslab ist die einzige seite, bei der ich die adblocker abgeschaltet habe.

@topic: Mir erschliesst sich der Sinn einer solchen Attacke ebenfalls nicht. Ist so etwas vollkommen zufällig oder besteht der Verdacht, dass man die Seite hier mit Absicht erwählt hat? Im letzteren Fall muss ja eine wirtschaftliche Absicht dahinter gestanden haben.

Antwort 2 Likes

Igor Wallossek

1

10,155 Kommentare 18,727 Likes

Oder einfach nur Niedertracht. Ein paar Bots losjagen kann mittlerweile jeder Noob. Aber das ist nun mal so :D

Antwort 2 Likes

e
eastcoast_pete

Urgestein

1,450 Kommentare 814 Likes

Ja, schon schade, daß sich manche Leute nicht entblöden und sich noch nicht Mal überlegen, daß eine DDoS gegen eine Seite wie Igorslab keinen Sinn macht. Würde mich nicht wundern, wenn da jemand seine Bots ausprobieren wollte. Wie Igor schon geschrieben hat, es ist mittlerweile ja schon kriminell einfach, sowas Mal zu probieren, nur weil es geht.

Antwort 1 Like

Igor Wallossek

1

10,155 Kommentare 18,727 Likes

Die Dinger kann man mieten. Günstig ab 10 USD für eine Stunde ist man schon dabei. Mehr hat der Vogel auch nicht abgedrückt. :D

Antwort 3 Likes

hansmuff

Mitglied

39 Kommentare 24 Likes

So, 3 Minuten lang werde ich also jetzt auf Werbung klicken (und dann auf den Seiten, die auftauchen. Es soll sich ja gelohnt haben! :)

Antwort 3 Likes

Tagesmenu

Neuling

5 Kommentare 0 Likes

Guten Morgen, Igor.
Sag: ist es möglich, dass die Attacke mit der Log4j Zero-Day Lücke im Zusammenhang steht?
Im derzeitigen Bericht des BSI wird geschrieben, dass von Angreifern gerade weltweit nach vulnerablen Systemen gescannt wird und Schadcode direkt ausgeführt werden kann. Scheinbar werden kompromittierte Systeme hauptsächlich fürs Kryptominen und DDoS-Attacken genutzt. CloudFlare wird als betroffenes Unternehmen auch genannt.
Eher unwahrscheinlich, dass das hiermit in Zusammenhang steht, da die Lücke scheinbar seit 2013 (alte Minecraft-Version aus dieser Zeit, ohne Updates, aber mit der Lücke in der Java-Bibliothek) existiert.

Mich überrascht auf jeden Fall, dass ich auf oft frequentierten Netzseiten bisher keine Infos dazu gelesen habe, obwohl die Lücke bereits seit 3 Tagen bekannt ist und auch als extrem gravierend eingestuft wird.

Antwort Gefällt mir

Igor Wallossek

1

10,155 Kommentare 18,727 Likes

Cloudflare wird, im Gegensatz zu AWS, explizit nicht als aktuell betroffenes Unternehmen genannt, wohl aber waren früher manche Dienste von Cloudflare betroffen, siehe Minecraft. Da gibt es aber mittlerweile sogar einen entsprechenden, angepassten Schutz. :)

Ich verwende einen kostenpflichtigen Cloudflare-Account mit deutlich mehr Sicherheitsfunktionen und Einstellungen, das ist mir die Seite einfach wert. Hier werkelt im Hintergrund zudem im Rechenzentrum ein eigener, großer Epyc-Server mit NVMe-RAID und 128 GB Speicher, der mit 2x 1 Gbps redundant angebunden ist. Für unsere Zwecke sicher noch etwas überdimensioniert, aber er ist durchaus sicher, da er regelmäßig gewartet und die Daten täglich gesichert werden. Außerdem bietet auch das Rechenzentrum eine Firewall und zusätzlichem DDoS-Schutz. So eine Infrastrultur ist leider ebenfalls nicht zum Nulltarif zu haben, aber in der heutigen Zeit ungemein wichtig.

Natürlich muss ich auch Kompromisse bei den Kosten eingehen, aber die hier eingespielte Werbung deckt das locker mit ab. Da wäre eine Gewinnmaximierung zu Lasten der Sicherheit sicher die dümmste aller Optionen. ich mache hier eine reine Mischkalkulation, wo auch Samples selbst gekauft und nicht nur geschnorrt werden (siehe Intel) und man auch für solche Stunts und den Erwerb von Informationen und Produkten auf dem nicht ganz so geraden Weg eine eigene Kriegskasse benötigt :D

Antwort 2 Likes

Klicke zum Ausklappem
FfFCMAD

Urgestein

668 Kommentare 173 Likes

Ja, Igorslab ist auch eine der wenigen Seiten, wo ich, wenn ich dran denke, den AD-Blocker abschalte. (Habe zu viele PCs mit unterschiedlichen Konfigurationen)
Sicherheit kostet auf jeden Fall Geld. Da zu sparen ist fahrlaessig. Geht ja nicht nur um den eigenen Ruf, sondern auch um Kundendaten (Unsere als Forum-Mitglieder) Das ist etwas, was viele Firmen alleine in Deutschland schwer missachten. Was ich stellenweise auf Firewalls sehe was dort konfiguriert wird laesst mir die Haare zu Berge stehen. Ich bin kein Sicherheitsfanatiker. Aber wenn ich dann schon sehe, das Exchange und NAS per DN-Regel freigegeben werden statt ueber VPN Tunnel oder gar auf das Externe Interface der FW der Proxy aufgemacht wird oder das Firewall-Admininterface > Schuettel.
Oder umgekehrt: Alles total penibel konfiguriert und schon mit Aluhut unterwegs, dann aber ne Cisco stehen haben...

Antwort 1 Like

Igor Wallossek

1

10,155 Kommentare 18,727 Likes

Aluhüte sind gerade en vogue :D

Antwort 2 Likes

Tagesmenu

Neuling

5 Kommentare 0 Likes

Das mit Cloudflare und Minecraft hab ich von heise, nicht aus dem BSI Dokument.

Aber scheinbar ist ja in der Theorie eh alles betroffen, was nicht mindestens Java 8 u121 laufen hat und serverseitig sollen das fast alle großen Jungs sein. Google, Amazon, Apple, Facebook etc pp wurden alle dafür gelistet.

Wie würde man eigentlich feststellen, dass der eigene Rechner in einen Bot oder einen Cryptominer verwandelt wurde?
Nur durch manuelle Netzwerküberwachung? Beim Minen würde ich auch Leistungseinbrüche für Spiele erwarten, oder wird eine Erkennung umgangen?

Antwort Gefällt mir

Danke für die Spende



Du fandest, der Beitrag war interessant und möchtest uns unterstützen? Klasse!

Hier erfährst Du, wie: Hier spenden.

Hier kannst Du per PayPal spenden.

About the author

Igor Wallossek

Editor-in-chief and name-giver of igor'sLAB as the content successor of Tom's Hardware Germany, whose license was returned in June 2019 in order to better meet the qualitative demands of web content and challenges of new media such as YouTube with its own channel.

Computer nerd since 1983, audio freak since 1979 and pretty much open to anything with a plug or battery for over 50 years.

Follow Igor:
YouTube Facebook Instagram Twitter

Werbung

Werbung