SECTANK und die Bots

3376818947_84b300b0b0_b

Trafficspam:

Diese Crawler und Botnetze versauen uns echt den Tag. Alleine an der Top 5 der Herkunftsländer unseres Traffics kann man schon sehen was da abgeht:

  1. Platz 1: Deutschland (Geschätzter Traffic-Spam-Anteil: 10%)
  2. Platz 2: USA (Geschätzter Anteil: 80%)
  3. Platz 3: China (Geschätzter Anteil: 98%)
  4. Platz 4: France (Geschätzter Anteil: 80%)
  5. Platz 5: Ukraine (Geschätzer Anteil: 95%)

Auswirkungen auf SECTANK: Einerseits verfälschen uns diese Crawler die Statistiken und zwingen uns dazu sehr viel zu Filtern und zu versuchen den ganzen Mist aus unseren Zahlen wieder raus zu rechnen, zum Anderen erhöhen die unsere Serverlast und das wirkt sich wiederum auf die Ladezeiten der Website aus.

Es gibt zwar einige Maßnahmen, die man gegen die Crawler ergreifen kann, aber es ist ein Kampf gegen Windmühlen. Durch das Aufstellen von Honeypot-Seiten, htaccess-Anpassung etc. lässt sich schon mal einiges abfangen (bei uns waren es geschmeidige 50%), aber der Weisheit letzter Schluss ist das immer noch nicht weil man im Prinzip jeden Tag aufs Neue alle geloggten IP-Adressen durchforsten müsste um herauszufinden welche IPs bei Spamhaus & Co. gelistet sind.

 Bruteforce um Admin-User anzulegen:

Davon gibt es im Schnitt 3 pro Woche. Mehr muss man dazu glaube ich nicht sagen…

Bruteforce um als Admin einzuloggen:

Hier habe ich mal ein schönes Diagramm gebastelt. Es bildet nur exemplarisch 20 Stunden ab aber ganz im Ernst: Das sieht immer so aus…

Statistk Angriffe

Interessant finde ich daran, dass die meisten Angriffe aus Italien kommen. Im gesamten Traffic unserer Seite taucht Italien nur auf Platz 8 auf. Ich konnte leider nicht herausfinden welche Botnetze das sind und ob die z.B.: vom organisierten Verbrechen, sprich Mafia, betrieben werden aber vielleicht hat ja der ein oder andere Analyst in unserer Community eine Idee und kann uns helfen…

Ich würde an dieser Stelle mutmaßen, daß die Botnetze aus Italien derzeit versuchen neue Sklaven zu rekrutieren und die Kapazitäten deshalb auf das ergammeln von Adminrechten konzentrieren anstatt wie bei den Asia-Bots Traffic- und Kommentarspam zu verursachen.