Min blog er under angreb

Min blog er idag i løbet af et par timer blev bombarderet af forespørgsler fra et bestemt IP-nummer, der har lagt siden fuldstændigt ned. Jeg har nu, via en plugin til wordpress, bannet vedkommende.

Men er det effektivt nok, eller er der andre måder jeg kan banne på? Her tænker jeg på om man fx. kan sætte serveren til slet ikke at svare på forespørgsler fra en bestemt IP eller IP-range.

Emil Larsen:

Men folk kan jo vælge at angribe fra andre IP'er, så teknisk set er der ikke meget hjælp at hente i en IP-banning.

Det ville være bedre at smide en form for sikkerhed på din blog, fx med begrænsning på på 3 min mellem hver post fra samme IP. Tal og bogstavskode-bokse, hvor man skal indskrive en specifik genereret kode for at få lov til at poste.

Det handler ikke om spam (dvs. der postes ingen indlæg på min blog). Der bliver bare ved med at komme request på forskellige sider, ideen må være at sløve serveren så meget at den til sidst går ned. Jeg tror at det er SQL-databasen der gør siden sløv fordi den konstant arbejder.

Aaah sorry... Ja, så misforstod jeg det ;)

Hhmmm.. sådan en DOS type angreb.. skod.
Så melder jeg en smule pas... som du er inde på, prøv at banne og se om hvad der sker.

soft:

Hvilke data/requests får du ? Og hvor mange får du ?

Det hjalp at banne IP-adressen. Nu er der ingen trafik derfra mere. Jeg håber jeg bare var et tilfældigt offer, for ellers er det jo nemt for gerningsmanden at få en anden IP og bare blive ved.

Jeg har slettet alle request fra min database for at det ikke skulle ødelægge min statistik over besøgende og deres færden (og ikke mindst for at bringe databasens størrelse ned igen), så jeg kan ikke lige sige præcist hvilke requeste der var tale om. Umiddelbart er der ikke noget system, bare en masse forskellige sider aldrig den samme to gange i træk. Og det var ikke kun min admin-login side der blev requestet, så jeg ved ikke rigtigt hvad meningen med det var. Der kom omkring 5 requests i sekundet så vidt jeg kan se, og desværre har jeg ikke så mange besøgende så jeg opdage hurtigt at der var noget galt.

 Det lyder meget som om "nogle" var ved at skanne din server for huller. Det sker faktisk ganske ofte, gerne med en database af exploits (0-day sågar) som skanneren løber igennem for at se om du skulle ha' glemt at patche din server, php installation eller hvad du nu kører med af software.

Mvh / Lars Borup Jensen 

Alt efter hvilke exploits der er, kan de komme til at køre deres egen kode på din server hvilket reelt kan kan omdanne den til en del af et botnet. 

At du gemmer alle opslag i databasen virker for mig, som noget der virkelig trækker performance ud af det fleste servere. 

Det kunne også bare være en simpel søgemaskine robot som dit setup ikke har kunnet tåle.

Check ip'en på http://www.fr1.cyberabuse.org/whois/?page=whois_server

/Claus