In den Postings von NamenLozer konnte ich (auch vor seinem Edit) keinerlei Hinweise entdecken, die auf die Identität des Verdächtigten schließen lassen: Kein Name, nicht einmal der Realname von NamenLozer, keine vollständige URL und somit auch kein Hinweis auf die entsprechenden Seiten bzw. auf den Verdächtigten ... Wo soll da eine Verleumdung formuliert worden sein?

@NamenLozer: Davon abgesehen sollten Verdächtige statt öffentlich besser den Ermittlungsbehörden genannt werden, denn diese Äußerung wäre strafrechtlich absolut nicht relevant und könnte u.U. sogar zur Ermittlung des Täters führen. Denn eigentlich kann dir hier niemand wirklich weiterhelfen, du solltest daher besser zur Polizei gehen und Anzeige erstatten. Die Beamten werden dich dann vermutlich von sich aus fragen, ob du Feinde oder jemanden in Verdacht hast.

Grundsätzlich hast du recht, allerdings glaube ich nicht, dass man damit sehr gute Erfolgsaussichten hat, schon gar nicht, wenn man keine Firma ist, die einen finanziellen Verlust beziffern kann. Wenn das jetzt wirklich über lange Zeit so weitergehen sollte (gehe ich aber nicht von aus), können wir es uns dennoch überlegen, aber gerade ist mir wichtiger, dass die Seite wieder erreichbar ist. Inzwischen habe ich es ja im Griff, es geht wieder alles so schnell wie vorher. Ich hoffe, dass es so bleibt... aber deswegen auch meine Frage, denn ich wollte die Attacke besser verstehen, damit ich die richtigen, technischen Gegenmaßnahmen ergreifen kann.

Ich glaube, das geht aber nur auf niedrigeren Schichten, also konkret auf TCP-Ebene. Bei uns ist es aber HTTP-Spam, wodurch der Apache-Server überlastet wurde. War auch nicht ganz meine Frage, aber trotzdem Danke für die Info

Hätte ich auch gedacht, aber die URI scheint mir nicht besonders „teuer“ zu sein. Da gäbe es eigentlich effektivere Möglichkeiten, z.B. kann man bei MediaWiki einfach an die URL hinten &action=purge anhängen und so erzwingen, dass der Cache umgangen wird.

Ich habe das Rätsel aber jetzt halb gelöst – anscheinend ist das, was ich gefunden habe, tatsächlich nur der Nebenrequest eines anderen Seitenaufrufs, und zwar von der Seite, die auch im Referrer angegeben war. Weil diese von einer anderen Domain kommt, habe ich das im Log nicht gleich gesehen. Allerdings enthält die Verursacher-URL zufällig das gleiche Muster, auf das ich in nginx matche und dann blockiere. D.h. ich hatte ein bisschen Glück beim Schreiben des RegEx

Sieht für mich nun so aus, als hätte wirklich jemand einfach die erstbeste URL als Ziel eingegeben...

Mit solchen Beschuldigungen sollte man mehr als vorsichtig sein. Damit kann man schnell mal jemandem die Existenz ruinieren. Stell dir mal vor jemand behauptet Du wärest Urheber einer solchen Attacke und zeigt dich an. Die daraus entstehende Beschlagnahmung der Rechner kann gerade Selständigen schnell das Genick brechen.

Also wenn man nicht weiß woher es kommt, sollte man sich tunlichst zurück halten. Auch gerade, weil sich die Ermittlungsbehörden in der BRD nicht gerade mit Ruhm bekleckern, wenn es um solche Fälle geht.