Attacco DDoS (Distributed Denial of Service) al Forum Elettrico

[marco]

94.130.219.242 e' un web crawler

Poco fa ho analizzato anche il 7/5 e sopra le 5.000 chiamate c'è sempre e solo quel crawler, che comunque lascio visto che solo e soletto non pare dare problemi

conta ip
9874 94.130.219.242

A questo punto è confermato che erano proprio quei 13 IP sopra le 8.000 chiamate che hanno fatto rallentare tutto, ed dopo averli bloccati e sbloccati hanno smesso di visitare.
Forse ce n'era qualcuno che suddivideva le visite per range di IP, ma erano comunque numeri inferiori e da soli non hanno fatto/fanno danno più di tanto.

[marco]

Ultima analisi fatta oggi, più una curiosità ma anche promemoria mio futuro in caso dovesse ricapitare lo scherzetto.
Ho creato un altro foglio di lavoro in cui ho isolato il primo range di ip: in pratica la formula taglia dal 3° punto dell'indirizzo IP, poi fa di nuovo il confronto e conteggio.
Qui sotto i risultati:

4/5/20 (solo quelli oltre 1.000 chiamate ed ordinati per indirizzo)
conta IP range
7320 46.229.168
1143 51.254.168
1194 84.221.211
14915 94.130.219
1588 114.119.160
1749 114.119.161
2222 114.119.162
2140 114.119.163
2480 114.119.164
2493 114.119.165
1758 114.119.166
2640 114.119.167
2292 149.202.157
1041 148.64.56
1397 157.55.39
1010 2.45.152
1891 207.46.13
9689 54.36.148
4018 54.36.149
2211 54.36.150
2847 66.249.66
1970 66.249.92
2232 94.36.223
notare gli indirizzi che ho messo in grassetto, che sono tutti infilati... ma pare abbastanza normale visto che avviene tutti i giorni, anche molto innaturale. Saranno da segare anche loro oppure saranno sempre crawler? Chi lo sa.

5/5/20 (solo quelli oltre 1.000 chiamate ed ordinati per indirizzo) questo è il giorno dell'attacco, segato verso l'ora di pranzo
conta IP range
17390 45.133.170
7296 46.229.168
3849 51.254.168
3457 94.130.219
1707 114.119.160
1808 114.119.161
2184 114.119.162
2196 114.119.163
2492 114.119.164
2516 114.119.165
1611 114.119.166
2685 114.119.167
5663 149.202.157
17475 102.165.1
8620 102.165.5
1152 151.60.190
1493 157.55.39
1857 207.46.13
25892 31.132.78
17463 45.8.255
17057 5.45.36
8383 5.45.37
3842 54.36.148
1587 54.36.149
2116 54.36.150
3194 66.249.66
1636 94.36.223
notare che numeri si raggiungono, addirittura oltre 25.000 per un range

6/5/20 (solo quelli oltre 1.000 chiamate ed ordinati per indirizzo)
conta IP range
7277 46.229.168
3985 51.254.168
1995 84.221.210
6647 94.130.219
1112 109.233.123
1726 114.119.160
1989 114.119.161
2382 114.119.162
2366 114.119.163
2537 114.119.164
2811 114.119.165
1720 114.119.166
2862 114.119.167
6821 149.202.157
1305 148.64.56
1607 157.55.39
1571 207.46.13
7919 54.36.148
3248 54.36.149
1962 54.36.150
6369 66.249.64
1293 66.249.89
2252 94.36.223
tutto è tornato alla normalità, ma c'erano ancora degli indizzi bloccati

7/5/20 (solo quelli oltre 1.000 chiamate ed ordinati per indirizzo)
conta IP range
1069 109.233.123
2259 114.119.160
2487 114.119.161
2982 114.119.162
2977 114.119.163
3421 114.119.164
3360 114.119.165
2240 114.119.166
3588 114.119.167
1384 148.64.56
10029 149.202.157
3960 207.46.13
2488 40.77.167
7122 46.229.168
7244 51.254.168
3817 54.36.148
1653 54.36.149
1718 54.36.150
4465 66.249.64
1956 66.249.89
2246 84.221.207
9874 94.130.219
1867 94.36.223
anche qui nulla di eccezionale, nonostante abbia sbloccato tutti gli IP ma le chiamate sono comunque terminate

PS: mi sta balenando l'idea di provare anche solo i primi due gruppi, a segare dopo il secondo punto insomma

[sl45h]

negli indirizzi ip hai volutamente omesso il quarto gruppo per privacy?

sl45h

[marco]

negli indirizzi ip hai volutamente omesso il quarto gruppo per privacy?

No, ho fatto la ricerca proprio per i primi tre gruppi di numeri: ci sono diverse chiamate in cui cambia solo l'ultimo numero quindi se prendo un numero intero e lo conteggio paiono poche le chiamate.

Eliminando invece gli ultimi tre numeri dopo il terzo punto e rifacendo il conteggio, compare l'elenco di cui il post sopra e si riescono a raggruppare tanti IP apparentemente diversi ma che in realtà probabilmente appartengono tutti allo stesso gruppo.

[pIONiere]

I 114.119 sono tutti della Huawei di Singapore, ho appena controllato i log dei miei server e trovo molti accessi da questi IP pure nei miei log, perciò non credo facciano parte dell' attacco al forum, probabilmente si tratta di qualche crawler, nel log compare il nome "AspiegelBot".
Se ti danno fastidio bloccali nel file .htaccess in base al nome del bot con le seguenti righe:

Codice: Seleziona tutto

SetEnvIfNoCase User-Agent  AspiegelBot bad_bot
Order Allow,Deny
Allow from all
Deny from env=bad_bot

Ma gli IP sospetti (quelli del 5/5) quali URL cercavano di accedere, sempre la home page o pagine specifiche?

[marco]

Ma gli IP sospetti (quelli del 5/5) quali URL cercavano di accedere, sempre la home page o pagine specifiche?

Puntavano ai più svariati URL: home, argomento, seconda pagina argomento, post, pagina membri, ricerche ecc.
Ne ho controllato uno a caso ma se vuoi dirmene uno preciso posso approfondire.

PS: mi sta balenando l'idea di provare anche solo i primi due gruppi, a segare dopo il secondo punto insomma

Alla fine ho fatto anche questa prova, segato i numeri dopo il secondo punto, fatto confronto e conteggio.

4/5/20 (solo quelli oltre 1.000 chiamate ed ordinati per indirizzo)
conta IP range
1305 5.171
1017 37.159
1697 37.160
1656 37.161
7529 46.229
1147 51.254
4941 66.249
2234 84.221
14930 94.130
1019 109.118
17070 114.119
1756 146.241
2295 149.202
1244 148.64
1397 157.55
1010 2.45
1891 207.46
2986 5.90
15918 54.36
2354 94.36
solo 3 range consecutivi, come poi anche in altri giorni, sempre gli stessi

5/5/20 (solo quelli oltre 1.000 chiamate ed ordinati per indirizzo) questo è il giorno dell'attacco, segato verso l'ora di pranzo
conta IP range
conta IP range
1253 5.170
1363 5.171
25892 31.132
1142 37.160
2333 37.161
1150 37.162
1317 37.163
17390 45.133
7736 46.229
3850 51.254
4936 66.249
3473 94.130
26095 102.165
17199 114.119
1044 146.241
5686 149.202
1240 148.64
1416 151.41
1509 151.60
1493 157.55
1857 207.46
1087 40.77
17463 45.8
25440 5.45
3683 5.90
7545 54.36
1741 94.36
quelli con range consecutivi sono sempre gli stessi, ma i numeri di quelli singoli sono molto più elevati (in grassetto)

6/5/20 (solo quelli oltre 1.000 chiamate ed ordinati per indirizzo)
conta IP range
1525 5.171
1127 37.159
1293 37.160
1307 37.161
1959 37.163
7897 46.229
3991 51.254
7778 66.249
1040 80.104
2045 84.221
6664 94.130
1012 95.216
1157 109.233
18393 114.119
1433 146.241
6835 149.202
1446 148.64
1047 151.60
1607 157.55
1040 2.45
1571 207.46
4181 5.90
13129 54.36
2529 94.36
numeri tornati alla normalità, con sempre i soliti range consecutivi presenti come gli altri giorni


7/5/20 (solo quelli oltre 1.000 chiamate ed ordinati per indirizzo)
conta IP range
1270 5.170
1358 5.171
2244 37.160
1795 37.161
1132 37.162
7957 46.229
7244 51.254
6846 66.249
2783 84.221
9886 94.130
1085 95.216
1069 109.233
23314 114.119
1624 146.241
10033 149.202
1706 148.64
1114 151.60
3960 207.46
2567 40.77
3908 5.90
7188 54.36
2119 94.36
idem come sopra e nulla di nuovo: rimane solo il mistero del perché sia successo

[marco]

Oggi abbiamo subito un nuovo attacco: non so se avete notato che dalle 8 circa fino a poco fa il sito era maledettamente lento. Forte dell'analisi fatta 4 anni fa, sono riuscito prontamente a capire la causa ed a bloccare lo sciagurato IP che faceva chiamate al sito a gogo. Ora pare tutto tornato alla normalità, ma terrò monitorato così da intervenire tempestivamente le eventuali prossime volte.

[robertocr]

tieni duro Marco ti manderemo provviste e prosecco per superare la pasqua dalla control room

[VPP]

Ho preso un network number a caso e punta in Moldavia. Penso che comprenda anche la Transnistria. I Russi sono nervosi?

[VPP]

Un'altro punta a un grosso provider chinese a Shenzen. Cinesi filo-russi?