Aanval op site?

[headout]

In de log-files zag ik dat een gebruiker van het xs4all netwerk zaterdagavond in 15 ! seconden tijd 171 pogingen heeft gedaan om mijn site/domein binnen te gaan.

Bij mijn weten kan je dit niet handmatig doen, dit moet dus met een programmaatje gedaan zijn denk ik.
Het gaat om een gebruiker die geweerd is van mijn site: ik heb namelijk het ip toegevoegd aan een htaccess bestand (deny etc).

In de bijlage staat een deel van de error_log, waarin ongewenste connecties bijgehouden worden.

Ik hoef dus niet te weten met welke programma dit zou kunnen, ook links etc is niet nodig. De vraag alleen is of een verklaring te geven is voor het veelvuldig connecten met mijn domein.

(abusemail is overigens verstuurd naar xs4all)

 

[speedtouch]

Terreur , dit soort mensen zijn er heelaas zelf heb ik het ook eens gehad, vervolgens zijn ip adres getraceerd en ik kwam uit in Korea.
Er zijn heel veel progamma's in de omloop die dit kunnen , ik vind dat dit soort mensen gelijk verbannen moeten worden door de provider waar ze bij zitten.
Als het goed is zal deze persoon wel een waarschuwing krijgen van xs4all.

Groet speedtouch

 

[headout]

Maar de vraag is eigenlijk of er een verklaring te geven is voor het veelvuldig connecten met mijn domein.

Ik weet wie de bewuste persoon achter het IP is, en van de persoon schat ik in dat hij/zij niet in staat is zoiets uit te halen, laat staan zo opzichtig. Persoon is geweerd van mijn site, heeft dus wel enige reden om zoiets uit te halen, maar kan dit bij mijn weten helemaal niet. (nivo van een beginnend computeraar)

 

[headout]

Na wat over en weer gegevens toesturen met de abuse afdeling van xs4all, was dit het antwoord van de (engelse) medewerker van xs4all:

What I believe you saw was the person with the history trying to get back in to the forum, they probably have a bookmarked page, or even a local-cached copy, and when they tried to view it, it sent off a series of requests for the page and all of the images/links that their cache had...since you configured things to block them, they only got the 403 error.

Overigens neemt xs4all wel actie naar de bewuste persoon toe, ik heb alleen geen idee welke actie dat is. Zal waarschijnlijk wel een officiele waarschuwing zijn.

 

[Saviola]

Voor een DoS aanval is niet zoveel kennis nodig.

 

[headout]

Geplaatst door Saviola
Voor een DoS aanval is niet zoveel kennis nodig.

Wat ik de mail van xs4all begreep dat het bij een DoS aanval om duizenden request tegelijk gaat, dat is hier niet het geval. Verder: bij een DoS wordt er wel een request verzonden, maar wordt er niet gewacht op een antwoord. Dat is hier wel het geval, er wordt gewacht tot er een 403 verschijnt.

 

[Saviola]

Geplaatst door headout

Wat ik de mail van xs4all begreep dat het bij een DoS aanval om duizenden request tegelijk gaat, dat is hier niet het geval. Verder: bij een DoS wordt er wel een request verzonden, maar wordt er niet gewacht op een antwoord. Dat is hier wel het geval, er wordt gewacht tot er een 403 verschijnt.

Volgens mij wordt er bij een DoS wel gewacht op antwoord. Alleen bij een dDoS wordt het antwoord niet ontvangen door de cracker. En het hoeft niet om duizenden request te gaan.

 

[headout]

Uit de mail van xs4all-abuse:

In a Denial of Service attack, the person doing the attack doesn't care about the answer from a web server, so simply send the request and "hang up" before the server answers, this makes the web server (or any target/victim) get busy trying to do the right thing and answer the requests, eventually consuming system resources and making the server/service stop functioning.

 

[Saviola]

Geplaatst door headout
Uit de mail van xs4all-abuse:

Ja, dat klopt.

Als bovenstaande de hele log is valt het aantal request wel mee. De server zal er niet plat van gaan. Blijft wel het feit dat dit gewoon niet toegestaan is.

Gaat xs4all nog iets ondernemen?

 

[headout]

Geplaatst door Saviola
Gaat xs4all nog iets ondernemen?

Geplaatst door headout
Overigens neemt xs4all wel actie naar de bewuste persoon toe, ik heb alleen geen idee welke actie dat is. Zal waarschijnlijk wel een officiele waarschuwing zijn.

 

[Saviola]

Geplaatst door headout
Overigens neemt xs4all wel actie naar de bewuste persoon toe, ik heb alleen geen idee welke actie dat is. Zal waarschijnlijk wel een officiele waarschuwing zijn.

Heb ik gelezen. Maar dat zijn jou vermoedens. Ik was benieuwd of xs4all iets over een actie gezegd had.

Tegen DoS en dDoS aanvallen is helaas weinig te doen. Er zijn servers die zichzelf offline gooien bij zeer veel request in korte tijd, maar dan is de server alsnog onbereikbaar.
Simpelweg de IP's blokkeren heeft bij een dDoS aanval geen zin omdat je IP's blokkeert van onschuldige mensen van wie hun computer misbruikt wordt.

 

[headout]

Geplaatst door Saviola


Heb ik gelezen. Maar dat zijn jou vermoedens. Ik was benieuwd of xs4all iets over een actie gezegd had.

Nee, jammer genoeg niets. Ik laat het weten mocht er nog iets op volgen.

 

[saldos]

"What I believe you saw was the person with the history trying to get back in to the forum, they probably have a bookmarked page, or even a local-cached copy, and when they tried to view it, it sent off a series of requests for the page and all of the images/links that their cache had...since you configured things to block them, they only got the 403 error."

Misschien heb ik het helemaal mis headout, maar van wat ik hier heb begrepen is dat ze helemaal niets gaan doen hoor Headout.
Want hieruit kan ik nergens uithalen dat ze de betreffende persoon schuldig vinden.

 

[headout]

Geplaatst door saldos
Misschien heb ik het helemaal mis headout, maar van wat ik hier heb begrepen is dat ze helemaal niets gaan doen hoor Headout.
Want hieruit kan ik nergens uithalen dat ze de betreffende persoon schuldig vinden.

Het stukje tekst wat jij quote, was als reactie op Saviola, over DoS.

> We have at our site a forum, and the person behind the IP was a former
> member. We banned her (we know it's a "her") because of breaking our
> rules, which we use at our forum, and people at our forum complaining

Bingo -- this is what I was curious about. Thanks very much for this
clarification, it makes it easy as to our course of action.

Would it be possible to get a copy of either any warnings you've sent, or,
your acceptable use policy? We'll take action on our end, however, from
experience we know that these things are often "argued" about and we'd like
to have as much of the information at our disposal as possible.
<knip>
Yep, this was perfect. We'll take action now, but of course any further
data you have about the acceptable use of your systems, policies and
procedures, whatever you can share, is good for us to add to the case. If
you have a URL where the voorwaarden are, that's fine too...

Eerdere quotes uit de mail waren slechts kleine stukjes, hieruit blijkt wel degelijk dat xs4all actie onderneemt. (En gelukkig maar! )

 

[saldos]

Geplaatst door headout
Eerdere quotes uit de mail waren slechts kleine stukjes, hieruit blijkt wel degelijk dat xs4all actie onderneemt. (En gelukkig maar! )

Ah mooi zo.

Ik heb bij abuse gewerkt.
Dit is wat ze doen meestal:
De eerste keer geven ze een waarschuwing.
De tweede keer wordt hij van wanadoo voor 3 dagen verwijderd.
De derde keer wordt hij voorgoed verwijderd van wanadoo.

 

[headout]

Geplaatst door saldos


Ah mooi zo.

Ik heb bij abuse gewerkt.
Dit is wat ze doen meestal:
De eerste keer geven ze een waarschuwing.
De tweede keer wordt hij van wanadoo voor 3 dagen verwijderd.
De derde keer wordt hij voorgoed verwijderd van wanadoo.

Ik denk dat het in dit geval ook een waarschuwing wordt. Veel zwaarder kan ik me eigenlijk niet voorstellen.