fischertechnik community forum

Hallo,

bei meinem Forum ist der Besucherrekord sprunghaft auf 134 gestiegen. Den Grund dafür konnte isch schnell finden, es waren nämlich heute um 16:29:41 130 Gäste online. Das komische daran ist aber, das alle 130 GENAU in der selben Sekunde auf der Seite waren. Alle haben eine andere IP, laut GeoIP rund um den Globus verteilt. Der Useragent ist fast überall anders, sogar "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)" war dabei.

Komisch ist auch, das fast alle dieser Benutzer in den letzten Wochen schon einmal online waren.

Ich habe jetzt die Tabelle exportiert, siehe hier: http://peterp.brandlehner.at/phpbb/log.html

Weiß irgendjemand ob das jetzt ein DDOS Angriff sein soll?

Ich kenne mich da zwar kaum aus aber ich denke das 130 Gäste doch etwas wenig sind um einen Server lahmzulegen. Aber das die Gäste aus aller Welt kamen ist doch etwas komisch.

wenn man um große Server wie Paypal lahmzulegen nur 2000 Clients braucht, funktioniert es bei meinen (sehr schlechten) Server (von Hetzner) sicher mit nur 10 Clients auch.

Hallo,

das ist schon ulkig. Vor allem die 130 verschiedenen Standorte exakt zur selben Zeit finde ich interessant. Sowas hab ich noch nie gehört oder gesehen ... normalerweise würde ich jetzt sagen, das war ein Botnet. Bloß hab ich noch kein Botnet gesehen, das nur 130 Computer beherbergt.

Sicher, dass die Logfiles korrekt geschrieben werden? Vielleicht war es auch einfach nur ein Fuckup beim Schreiben des Timestamps :-/

Nachtrag: Einen DDOS möchte ich schon deshalb ausschließen, weil man damit ja keinen permanenten Schaden anrichtet. Bloß kurzzeitig kriegt man die Seite lahm. Und das ist ja vermutlich egal.

Heiko

1. Es gehört sich zum guten Stil IP-Adressen zu obfuscaten.
2. Bei den User-Agents eher nicht.
3. Das Datum ist..

IMMA CHARGIN MAH LAZER

Das ist sicher echt, in den Logs und in der phpbb-sessions tabelle steht genau das gleiche. Und normal kommt überhaupt kein Gast, das Forum ist ja nur für 24 Benutzer, und die Registrierung ist nicht mehr möglich.

Es gibt Webseiten auf denen Botnetzte verkauft werden, da zahlt man einfach pro 100 Rechner 5$ pro Stunde (je nach Qualität der Clients)

@Defiant:

was meinst du mit "IMMA CHARGIN MAH LAZER". Ich weiß nur das bei LOIC der Start Knopf so beschriftet ist, aber was es heißt habe ich bis heute nicht herausgefunden.

Ich habe weder an den Useragents, noch an den IP Adresen etwas geändert, aber ich werde jetzt einfach bei allen IPs die Letzte Ziffer durch ein X ersetze.