Vermutlich kennst du das auch: Deine Website ist down.

War bei mir vor circa 2 Wochen auch so. Secret Wiki und Marketing United waren nicht erreichbar oder wenn, dann nur gaaaanz langsam.

Ich habe einen Cronjob laufen, der meine wichtigen Seiten alle 5 Minuten prüft und mir eine Mail schickt, wenn eine der Seiten einen Serverfehler hat. 

Und ich bekam im 5-Minuten-Takt eine Fehler-Mail :/

Zuerst schaute ich auf die Status-Seite meines Hosters Mittwald*. „Alles im grünen Bereich“ stand da.

Nachdem ich spontan nicht auf den Fehler kam, chattete ich mit dem Support. Das brachte mich jedoch nicht weiter.

Ich vertraute darauf, dass sich das Problem von alleine in Luft auflöste. Doch dem war nicht so. Abends gegen 21 Uhr schlug mein Cronjob immer noch alle 5 Minuten Alarm.

Also forschte ich weiter und kam darauf mir auch die Log-Dateien der Website-Zugriffe anzuschauen. 

Und siehe da: Eine IP-Adresse ballerte mehrmals pro Sekunde wild auf Secret Wiki, genauer gesagt auf sinnlose URLs.

Die .htacess als Lösung

Ich erinnerte mich daran, dass man über die htaccess-Datei bestimmte IP-Adressen sperren kann. Das versuchte ich, doch die Zugriffe kamen weiterhin durch.

Der Mittwald-Support* schrieb mir parallel, dass ich mit meinem Eintrag schon fast richtig war. Das letzte Oktett der IP-Adresse ist anonymisiert und deshalb muss ich es bei meinem htaccess-Eintrag weglassen.

Sobald ich das gemacht hatte, bekam der Angreifer nur noch 403-Statuscodes zurück. Am nächsten Tag stellte er seinen Angriff ein. Angriff abgewehrt 🙂

Es war zwar etwas Stress für mich, aber jetzt weiß ich wie man so etwas löst. Wieder etwas dazu gelernt 🙏

Hast du auch schon mal einen Angriff auf deine Website gehabt?

Liebe Grüße aus Nürnberg
Stefan, Gründer von Marketing United