So, also ich bin ja nicht so der Server-Experte aber halt trotzdem in die Lage gekommen, den Sysadmin für einen Server spielen zu müssen...

Ich dachte bisher, da es sich lediglich um eine kostenlose Community von und für ein paar Fans handelt, müsste ich mich zumindest mit so Kram wie DoS-Attacken nicht herumschlagen, was für die letzten 2 Jahre auch so war, aber leider falsch gedacht.

Gestern (1. April, aber kein Aprilscherz) gegen 2 Uhr nachts fing es an. Ich hab erst meinen Augen nicht getraut, aber es handelte sich tatsächlich um einen Botnet-Angriff auf eine unserer Domains. Da ich auf so etwas überhaupt nicht vorbereitet war, hab ich den ganzen Tag über relativ unbeholfen versucht, anhand von Logs, iptables und einem selbstgeschriebenen Python-Script die Angriffe einigermaßen abzuwehren, aber da es eben ein Botnet war, war das leider nicht sehr effektiv.

Nun hab ich nach dem wenig erfolgreichen Rumgestocher endlich ein Muster in den abgerufenen URIs erkannt, dieses per nginx direkt geblockt, und jetzt laden die Seiten wieder flüssig. Bei genauerer Betrachtung ist mir dann aufgefallen, dass es sogar nur eine bestimmte URI ist, die immer wieder abgerufen wird, und zwar:

/index.php?title=MediaWiki:Extra-Editbuttons.js&action=raw&ctype=text/javascript

(Es handelt sich um ein Wiki). Sogar der Referrer ist immer gleich, und zwar ist es immer die gleiche Seite von einer unserer Domains, aber interessanterweise nicht von der Domain, die angegriffen wurde.

Ich bin gerade einfach nur verwirrt... kann sich jemand einen Reim darauf machen, warum gerade dieser Request benutzt wurde? Ist es einfach Zufall? Suchen Botnetze sich vielleicht einfach irgendeine zufällige URI raus, die sie auf der Seite finden?

Ich hätte eigentlich damit gerechnet, dass wenigstens ein paar verschiedene URIs aufgerufen werden... deswegen bin ich auch erst gar nicht auf die Idee gekommen, es auf diese Weise zu blocken.

Oder hat der Angreifer (Mensch) einfach die erstbeste URL genommen, die ihm einfiel?

[edit]wenn ihr meint[/edit]