Wer gestern Nachmittag oder Abend das literaturcafe.de besuchen wollte (22. Mai 2013), der oder die musste bis zu einer halben Minute warten, um eine Seite des Cafés zu sehen – oder es erschien gleich eine Fehlermeldung.
Der Webserver des literaturcafe.de ächzte unter einer unglaublichen Zugriffslast. So hoch war die nicht mal, als uns die Bildzeitung zu den weltweit 1.000 wichtigsten Websites zählte.
Das alles war reichlich dubios, doch unser Provider konnte nichts Besonderes finden und versuchte lediglich, uns einen leistungsstärkeren Server zu verkaufen.
Da wir an der Website nichts geändert hatten, musste es einen anderen Grund für den ausgebremsten Server geben. Das literaturcafe.de läuft mit dem von Blogs bekannten WordPress-System, das selbst nach Verlinkungen von SPIEGEL oder Heise brav seinen Dienst tat.
Die hervorragende Sicherheits-Erweiterung Wordfence brachte es dann schließlich an den Tag bzw. vielmehr an die Nacht, denn unser Sysadmin versuchte bis in die frühen Morgenstunden, das Problem zu lokalisieren.
Wordfence protokoliert live die Anfragen an den Webserver mit, und die stellten sich als reichlich merkwürdig heraus.
Kurz und gut: Überwiegend aus China, den USA, Russland, Irak und der Ukraine wurde seit gestern Nachmittag mehrfach in der Sekunde versucht, unsere Kommentarfelder mit sinnlosem Spam zu befüllen.
Diese Kommentare wurden natürlich sofort geblockt, aber dennoch zwangen die häufigen Zugriffe den Webserver in die Knie, sodass er normalen Besuchern die Seiten nicht oder nur verzögert ausliefern konnte.
Mit installiertem Wordfence gelang es schließlich, die meisten dieser Zugriffe zu blockieren, sodass unsere Seiten nun wieder ohne Verzögerung dargestellt werden.
Da jedoch auch die Zugriffe von normalen Besuchern in letztere Zeit stark gestiegen sind, wird das literaturcafe.de voraussichtlich bis Freitag auf einen leistungsfähigen Webserver umziehen, damit alle echten Besucher die gewünschten Seiten des Cafés gewohnt schnell zu sehen bekommen.
Wenden wir uns nun also wieder literarischen Untergangszenarien zu …
Vielleicht handeltes sich wieder um eine “brute-force-attacke. http://blog.1und1.de/2013/04/17/brute-force-attacken-gegen-wordpress-und-joomla-sicherheitshinweis/
Ja, ist mir gestern am späten Nachmittag auch aufgefallen. Wollte einfach nur nachgucken, ob’s vielleicht einen lesenswerten (!) Kommentar zu Tom Liehrs Selbstmordanleitung mit Faunaverkleidung gibt – doch, ja, Kommentare gibt es schon öfters …
Gestern allerdings erschien mir die Website plötzlich ohne Stylesheet in kunterbuntem Wortsalat. Dachte mir dann, hoppala, wir sind überlastet – den Server meine ich natürlich -, also warten wir’s ab, irgendwann wird sich das Problem erledigt haben.
Und nun hat es sich erledigt. Schön. Website sieht wieder gut aus. Man kann lesen, ohne Augenschäden zu riskieren. Oder … ähm … Nichtlesenkönnende können einen neuen Podcast hören. In diesem Fall ist es allerdings wurscht, wie die Website aussieht.
Ach ja, wäre wirklich schön, wenn man sich irgendwann in fernerer Zukunft wieder etwas mehr auf die Leser und Schreiber anstatt auf die Hörer konzentrieren würde; man hat es ja hier immerhin und mehrheitlich mit Alphabeten zu tun – so zumindest mein Eindruck der letzten Jahre. Es sei denn, den Verantwortlichen schwebt eine Zukunft als Radio vor. Könnte natürlich sein …
Wordfence … danke für diesen außergewöhnlich guten Offtopic-Tipp!
iQ Block Country: http://wordpress.org/plugins/iq-block-country/
Damit schließe ich bestimmte Länder komplette vom Zugriff aus: China, Iran, Nord-Korea, Irak, Ukraine, Russland, Weißrussland, und gut ist
Danke für den Tipp. Mit Wordfence hatten wir zunächst auch komplette Länder wie China und Russland ausgesperrt. Das blöde ist natürlich, dass man bei dieser »umgekehrten Zensur« auch normale Nutzer aus diesen Ländern blockt. Den Werther verzeichnen z.B. auch chinesische Suchmaschinen. Das könnte man als Kollateralschaden abtun, aber es ist natürlich nicht nett. Daher sind diese Länder jetzt wieder offen.
Gute Dienste bei dieser Art von massiver Spam-Kommentar-Attacke leistet auch das WordPress-Plugin BBQ: Block Bad Queries. Neben einigen verräterischen Anfragen werden auch Zugriffe mit langen Anfrage-Strings blockiert, wie sie für Kommentar-Attacken charakteristisch sind.
Wolfgang Tischer
literaturcafe.de
ihr solltet mal eure Login-Seite schützen. Macht aus dem Admin-Verzeichnis ein passwortgeschütztes Verzeichnis; dies fängt schon mal einen Großteil der Brute-Force-Attacken ab; diese laufen zu 90% immer gleich ab.