[addy]

Hallo!

Das ganze passt hier nicht so gut ins Forum, aber ich habe sonst auch keinen passenderen Thread gefunden.
Die Typo3-Site eines unserer Kunden war eine Zeit lang komplett offline und jetzt ist sie nur wieder mit der Startseite online (quasi nur noch als Visitenkarte). Das wollte dieser Kunde so, weil er momentan beruflich andere Sachen macht und deshalb keine Aufträge mehr über die alte Website haben wollte.
Ich habe mir gerade den Aw-Stats-Log angesehen und, wie zu erwarten, hatte die Website kaum Besucher. Und wenn, dann waren diese nur kurz on.
Beim Log vom 15. Juni konnte ich aber meinen Augen fast nich trauen: 96.08MB Transfer und 13398 Seitenzugriffe von nur einer IP! Am nächsten Tag war dann eine andere IP nochmals on mit einem Volumen von 40MB.
Danach war alles wieder "ruhig" und es gab kaum Besucher. Mittel IP-Check habe ich herausgefunden dass die IP aus England kommt.
Nur so rein aus Interesse: Wer (oder eher:was) würde sowas aus welchem Grund verursachen können?

lg, addy

[ma]

Hi addy,

Zitat:

Zitat von addy

Mittel IP-Check habe ich herausgefunden dass die IP aus England kommt.
Nur so rein aus Interesse: Wer (oder eher:was) würde sowas aus welchem Grund verursachen können?

das die IP aus England kommt heisst nicht zwangsläufig, dass der aufrufende Client auch daher kommt. Es kann sich dabei auch um einen Proxy o.ä. handeln. Was du machen solltest: IP Adresse in google eingeben und mal schauen was dabei rauskommt.

Falls es doch eine Person ist, würde ich den Provider ausfindig machen und @abuse schreiben. Eventuell ist es ja ein Bot Skript oder BOT-Net. Aber das bedeutet Arbeit für dich. Was du noch machen kannst ist, per iptables den Clienten aussperren, oder den IP Range, falls es sich dabei um ähnlichkeiten handelt. Auf jeden fall sind das einige Zugriffe zuviel.

Schau dir (falls der Server dir gehört und die Shell Zugriff hast) die Logins auf der Shell an. Vielleicht hats ja jemand auf dich abgesehen.

lg ma

[addy]

hi ma,

stimmt, daran hab ich gar nicht gedacht. bei google kommt leider nichts raus und auf die shell hab ich momentan auch keinen zugriff.
ich hab jedoch nochmals einen ausführlicheren ip-check gemacht und hierbei kam das heraus:

Code:

Network Whois record

Queried whois.ripe.net with "-B 81.141.134.80"...
% This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Information related to '81.141.0.0 - 81.141.255.255'

inetnum:        81.141.0.0 - 81.141.255.255
netname:        BT-WLMS
descr:          WLMS
country:        GB
admin-c:        BTCP1-RIPE
tech-c:         BTCP1-RIPE
status:         ASSIGNED PA
remarks:        Please send abuse notification to abuse@bt.net
mnt-by:         BTNET-MNT
mnt-lower:      BTNET-MNT
mnt-routes:     BTNET-MNT
changed:        ipaddman@bt.com 20070918
source:         RIPE

role:           BT CENTRAL PLUS - OPERATIONAL SUPPORT
remarks:        ******************************************************
remarks:        * Please send abuse reports to abuse@btbroadband.com *
remarks:        ******************************************************
address:        BT
address:        Wholesale
address:        UK
e-mail:         steve.r.wright@bt.com
abuse-mailbox:  abuse@btbroadband.com
admin-c:        PC487-RIPE
tech-c:         SR401-RIPE
nic-hdl:        BTCP1-RIPE
mnt-by:         BTNET-MNT
changed:        preston.dialip@bt.com 20040608
changed:        preston.dialip@bt.com 20040623
changed:        ipaddman@bt.com 20050505
source:         RIPE

% Information related to '81.128.0.0/11AS2856'

route:        81.128.0.0/11
descr:        BT Public Internet Service
origin:       AS2856
mnt-by:       BTNET-MNT
changed:      support@bt.net 20030615
source:       RIPE

% Information related to '81.128.0.0/12AS2856'

route:          81.128.0.0/12
descr:          BT Public Internet Service
origin:         AS2856
mnt-by:         BTNET-MNT
changed:        john.syms@bt.com 20050616
source:         RIPE

Hier könnte ich natürlich jetzt die Mail an abuse schreiben, nur stellt sich mir die frage, ob das denn nötig ist. weil seit dem vorfall ist wieder alles ruhig auf der site. sollte man da nicht warten bis es nochmal passiert? oder meinst du dass dieser traffic schon zu drastisch und verdächtig ist um da einfach abzuwarten? ich hab die ip jetzt mal über die .htaccess verboten. falls es da aber wirklich jemand auf mich abgesehen hat ist das natürlich leicht zu umgehen...

lg, adrian

[ma]

Hi,

ich habe sowas auch nur im äuserstem Notfall vorgenommen. Denn Du machst ja dem Provider arbeit. Und man kann nie wissen, ob der ärger machende, das auch wollte, vielleicht wird sein Rechner ausgenutzt über ein BotNet usw.

Allerdings war mein Fall noch ein ganz anderer. Das ging über Wochen so, dass der Aufrufende Client mir Traffic von mehreren GIGA Bytes bescherte und das Tagtäglich. Damals kostete das sehr teuer Geld ;) und meine Serverperformace war dadurch am ar***.

Heute im Zeitalter von Flatrates und unlimited Traffic, würde ich auch anders handeln.

lg ma

[addy]

Eben, ich hab mir auch gedacht dass das vielleicht eine Überreaktion wäre. Vor allem weil die Seite ja momentan kaum Besucher hat. Falls es allerdings nochmal vorkommt werde ich wohl was dagegen unternehmen.
Vielen Dank für deine Hilfe!

lg addy