Ich weiss ja nicht wie es euch so geht, aber hier geht gerade die Post ab. Eigentlich überrascht es ich nicht wirklich.
Wir leben im Jahr 2020, hier haben wir gerade eine weltweite Seuche die alle Menschen befällt und viele killt, machtgierige Politiker die unsere Systeme versuchen zu zertrümmern und sich als neue Könige zu installieren, eine Alieninvasion die die EU und Russland bereits vernichtet haben, einen eingeschlagenen Meteorit der Peking zerstört hat und der Vulkan unter dem Yellowstone Nationalpark ist ja auch ausgebrochen und hat die USA verbrannt…
ähm moment… ich glaub hier gibts ein Fehler….
Entschuldigt, habe hier doch fälschlicherweise ein bisschen Fiktion unter die Realität gemixt.
Was aber wirklich keine Einbildung ist, ist dass dieser Blog gerade einem massiven DDOS Angriff ausgesetzt ist.
Ihr habt es sicher gemerkt, die Geschichte startete am Freitag Abend um 22.45 Uhr.
Ich wollte gerade ein paar neue Blogbeiträge schreiben, und auf einmal kam eine komische ERROR 403 Meldung.
Wie ihr ja sicherlich wisst, heisst eine ERROR 403 Meldung, dass irgendwas am Blog komisch läuft (3xx = Server / 4xx = Webseite) und so ging ich auf die Suche. Zuerst habe ich mal gecheckt ob ich gehackt worden bin, ob der Blog kaputt ist oder die Domain geklaut worden ist oder ob php kaputt ist aber alles lief ganz normal – ausser eben dass der Blog nicht mehr erreichbar war. Nachdem ich mich dann via FTP in den Server einloggen konnte, habe ich gemerkt, dass die htaccess Datei verändert worden ist und schon gingen bei mir alle Sirenen los. Dachte schon jemand hätte mein Hosting gehackt und was angestellt aber ich konnte sonst nicht viel falsches finden (Gott sei dank mach ich regelmässig von allem Backups) also habe ich Samstag morgens um 2 Uhr dem Hoster ne eMail geschrieben.
Tatsächlich ein paar Stunden später kam eine Antwort wo man mir bestätigt hat, dass der Blog deaktiviert worden ist weil man einen DDOS Angriff festgestellt hat.
Samstag und Sonntag lang hat der Hoster dann versucht den Angriff zu stoppen was nicht gelang und so hat man mir Montag Nachmittag empfohlen ich soll Cloudflare installieren. Zuerst haben wir es mit der Gratis Version versucht, aber diese Wirkung war etwa so wie eine Schneeflocke bei einer Feuerflamme – zisch und weg ist sie.
Dann hat mir Cyon empfohlen, dass ich die Paidversion besorgen soll. Gott sei Dank hatte ich Geld auf meinem Paypal Konto und so konnte ich schnell das ganze updaten und ich gab dann Cyon auch die volle Kontrolle. Immerhin war es ihre Empfehlung – also geh ich davon aus, sie wissen wie man das installieren und konfigurieren muss.
Aber ich musste dann noch schnell feststellen, dass wenn ich Cloudflare aktiviere, dass dann gar nichts mehr läuft – die vom Hoster zugeschickten Daten waren falsch…. (hat mich hier aber auch nicht wirklich überrascht – wenn was schief geht dann gehts richtig schief).
Am Dienstag hat der Hoster dann die Korrekturen durchgeführt und der Blog war wieder ab Mittags aktiv. Man aber schnell gesehen, dass Cloudflare immer noch viele Angriffe abwehren musste.
Ich habe mir dann am Dienstag Nachmittag viel Zeit genommen um Cloudflare besser kennen zu lernen, habe dazu viele Anleitungen gelesen und ausprobiert und so konnte am Dienstag Abend ein weiterer Test starten und was soll ich sagen… Es lief ein wenig…. oder so ….
Ich hatte mich zu früh gefreut – Der Dienstag Abend und Mittwoch Morgen ging alles noch soweit und dann KABUMM ging gar nichts mehr. Eine weitere grosse Angriffswelle hat den Blog voll erwischt und da musste er wieder deaktiviert werden.
Ihr könnt euch vorstellen, langsam sank meine Laune immer tiefer und tiefer.
Naja in der Zwischenzeit hat der Hoster sich bei mir gemeldet und meinte so kurz und knapp „ja so ein Angriff haben wir noch nie erlebt“
Und da wusste ich auch nicht mehr weiter – ich war bereits soweit dass ich mehrere Tischbeine anfressen konnte um mich zu beruhigen.
Da sitz ich also rum, habe keine Ahnung was passiert und was ich tun kann und der Hoster haut sowas raus – herrlich komische Situation.
Ich habe ja in den letzten Tagen mehrmals versucht mit den Leuten direkt via Telefon in Kontakt zu treten, aber einmal war ich 5min und ein anderes mal war ich fast 10 min in der Warteschlange und darum hatte ich keinen Bock mehr darauf (und 1x wurde zurückgerufen mit einer Anonymen Nummer – die dann automatisch auf die Combox weitergeleitet worden ist).
Da ich ja ein paar Leute aus der Teppichetage des Hosters persönlich kenne und sie mich auch schon länger kennen, habe ich mich entschieden mal einen Tweet abzusetzen. Danach ging ich einkaufen und zack hatte ich ein Anruf des Hosters auf dem Handy. Nein ich sag jetzt nicht wer von der Teppichetage angerufen hat – ich will die Person nicht outen 🙂 Die Person ist auch ein sehr bekannter Blogger und konnte natürlich nachfühlen wie es so ist, wenn man seit Tagen nichts mehr schreiben konnte – er hatte Mitleid mit mir und erklärte mir was hier gerade abläuft. Und zwar hat sich irgendwie der DDOS Angriff in den vergangenen Stunden an die Abwehrmassnahmen immer wieder angepasst. (Ich schreibe hier jetzt nicht das genau wie was wo auf – sonst passen die ihr Angriff wieder an). Ich habe bei diesem knapp 20min langen Telefonat mehr über meine Situation erfahren als in den ganzen 5 Tage zuvor….
Der Hoster war also in der komischen Situation, dass dieser Angriff sich nicht wie alle anderen verhalten hat. Immer wenn sie einen Schutz aufgebaut haben, hat sich der Angriff angepasst und zack standen sie wieder auf Feld 1. Ich kann mir direkt vorstellen, wie mein Name von den Technikern bereits rumgebrüllt worden ist, wenn ihre Serverbabys wieder durchdrehten, weil der Angriff wieder auf ihre System überschwappten.
Nun denn der Hoster hat dann nochmal eine grössere Aktion gestartet und die vor wenigen Stunden abgeschlossen und jetzt läuft soweit alles. Die Situation wird immer noch streng verfolgt und wir (Hoster und ich) hoffen dass die Geschichte jetzt langsam ausgestanden ist.
Meine neue Lieblingsbeschäftigung ist ja gerade die Statistik von Cloudflare anzuschauen und zu analysieren. Hier sieht man sehr schön, wieviele Anfragen der Server in den letzten 24h hatten (vergesst nicht immerhin läuft es jetzt 5 Tage). Sind wir Grosszügig und machen eine Milchmädchenrechnung, dann sind innert 24h knapp 60 Mio Anfragen eingetrudelt, das heisst auf 5 Tage hochgerechnet, hat der DDOS über 300’000’00 Anfragen verursacht.
Und hier der Traffic der verursacht worden ist, auch in den letzten 24h…
Irgendwie sind das wirklich beeindruckende Zahlen und Statistiken.
Fazit
Ich bin ja jemand der aus allem versucht etwas zu lernen und was lerne ich hier.
Ein DDOS ist was sehr unbequemes und wenn man dann nicht weiss was passiert, ist es doppelt so schlimm. Ich weiss jetzt, dass mein Vertrauen in meinen Hoster nicht unbegründet ist – ich kann ihn jetzt sogar als ≪DDOS Approved≫ bezeichnen. Ich weiss auch, dass da viele hart arbeitende Leute arbeiten, die wirklich gutes geleistet haben.
Ich weiss aber auch, dass in der Kommunikation des Hosters noch gearbeitet werden muss (hab das den Leuten auch mehrmals gesagt). Als Kunde ist es schlimm, wenn die eigene Webseite nicht mehr läuft und man findet nicht heraus was los ist. Ich habe Gott sei Dank relativ schnell selbst herausgefunden, dass der Hoster was angestellt hat, aber andere die nicht wissen wie man sowas checkt – die können dann leicht verzweifeln. Eine bessere Kommunikation ist hier nötig – aber wie ich höre wird man das wohl auch nach meiner Geschichte überarbeiten.
Ich kann wirklich nur betonen, dass es sehr wichtig ist, dass man einen Hoster hat der weiss was er tut. Ich will mir gar nicht vorstellen was passiert wäre – hätte ich so ein billig Hoster genommen. Der hätte meinen Vertrag wohl nach 30min gekündet und all meine Webseiten sofort gelöscht. Hier aber hat er sich die Zeit und die Manpower genommen um mein Problem zu analysieren und Massnahmen zu entwerfen um den DDOS Angriff abzuwehren.
Nun ich bin gespannt wie diese Geschichte weitergeht. Ich hoffe das DDOS Arschloch passt seinen Angriff nicht wieder an und ich hoffe dass ab sofort alles wieder normal läuft.
Lieber Eric, herzlichen Dank für den aufschlussreichen Beitrag. Man leidet regelrecht mit, wenn man die Zeilen liest. Wir bei cyon mussten in der Vergangenheit natürlich schon die eine oder andere Erfahrung mit DDoS-Attacken auf unsere Infrastruktur machen, in dieser Form und Ausprägung war dies jetzt aber in der Tat auch für uns Neuland. Dein Feedback zu unserer Kommunikation ist, wie besprochen, angekommen. Wir sind bereits daran, unsere Prozesse für solche Fälle zu verfeinern. In diesem Sinne wünschen wir Dir eine unaufgeregte und vor allem DDoS-freie Weihnachtszeit und anschliessend einen erfolgreichen Start ins neue Jahr. Herzliche Grüsse, Tom