Angriff auf diese Webseite aus der Ukraine

Bloß gut, dass ich diesen Blog abgesichert habe. Denn sonst wäre sie wahrscheinlich nicht mehr erreichbar. Sie befand sich unter Beschuss. Soweit ich feststellen konnte, kam der Angriff aus der Ukraine. Das zeigt mir unterm Strich aber eigentlich, dass solche Dinge wie die robots.txt nicht in jedem Fall weiterhelfen. Soweit ich gesehen habe, ist aber der Seite nichts passiert.

Ich mache mal folgendes: Ich habe Warnmeldungen erhalten, dass eine erhöhte Zugriffszahl von einer bestimmten IP-Adresse kommt. Eigentlich ist das ja Unfug, da auf eine Denial of Service Attacke zu kommen, da es sich nur um die eine Adresse handelte. Es wurde in meinen Tools aber nur vor dieser einen IP-Adresse gewarnt. Und diese mache ich weiter unten öffentlich.

Das Witzige an der ganzen Angelegenheit ist eigentlich, dass von dieser IP-Adresse aus versucht wurde, in die Admin-Oberfläche des Blogs zu gelangen. Das meldete mir nun wiederum die „Login Security Solution“. Die IP-Adresse ist allerdings ausgesperrt. Und das wird auch so bleiben. Wie oft muss man eigentlich noch erzählen, dass es den Benutzer „admin“ hier nicht gibt?

Die IP-Adresse lautet: 91.200.12.9

Ich habe also mal ein bisschen geschaut. Es gibt ganz einfache Befehle, die man da testen kann. Und ich habe nichts anderes gemacht. Ich habe also mal geschaut, ob die Adresse überhaupt aktiv ist. Dann habe ich geschaut, ob die IP-Adresse irgendwie in einen Namen übersetzt werden kann. Und dann habe ich die Route überprüft. Im Einzelnen war es das:

ping 91.200.12.9

nslookup 91.200.12.9
Server: mein Router
Address: xxx.xxx.xxx
Name: 526.2015.com
Address: 91.200.12.9

tracert 91.200.12.9
Routenverfolgung zu 526.2015.com [91.200.12.9] über maximal 30 Hops:
1 2 ms 1 ms 2 ms mein Router [xxx.xxx.xxx]
2 * * * Zeitüberschreitung der Anforderung.
3 1767 ms 1980 ms 1915 ms xx-xxx-xxx-xxx-isp.superkabel.de [xxx.xxx.xxx.xxx]
4 1695 ms 782 ms 1338 ms ip5886c237.dynamic.kabel-deutschland.de [88.134.194.55]
5 600 ms 455 ms 505 ms ip5886ed05.dynamic.kabel-deutschland.de [88.134.237.5]
6 16 ms 20 ms 16 ms ip5886ca25.dynamic.kabel-deutschland.de [88.134.202.37]
7 901 ms 1287 ms 1401 ms de-cix1.RT.ACT.FKT.DE.retn.net [80.81.192.73]
8 1541 ms 1634 ms 1629 ms ae0-6.RT.KVT.KSH.RU.retn.net [87.245.233.42]
9 1735 ms 1716 ms 1751 ms 80.93.125.10.ett.ua [80.93.125.10]
10 730 ms * 157 ms 526.2015.com [91.200.12.9]
Ablaufverfolgung beendet.

Die Domain-Endung „*.ua“ ist die Endung der Ukraine. Also wissen wir, dass die Domain 526.2015.com in der Ukraine stationiert ist. Nun muss ich mir etwas überlegen, dass ich die Ukraine effektiv aus dem Haus bekomme. Mit der .htaccess war es ja nicht wirklich erfolgreich.

Haben andere Blogger auch wieder gesteigerte Probleme aus der ehemaligen UdSSR? Ich meine, das kann ja sein, dass das mit den derzeitigen DNS-Störungen zusammenhängt. Aber nichts genaues weiß man nicht.

3 Replies to “Angriff auf diese Webseite aus der Ukraine”

  1. Auch bei einem der von mir betreuten WordPress-Blogs hatte ich in dieser Nacht viele fehlgeschlagene Einlogversuche. IP wurde dann von einem Sicherheitsplugin geblockt. Laut IP-Suche kam dieser Angriff ebenfalls aus der Ukraine…

    1. Und es geht immer weiter. Mehrere der von mir betreuten WordPress-Blogs sind nun betroffen. Immer von der IP: 194.6.233.49 (lokalisiert in der Ukraine) werden unterschiedliche (nicht existierende) Benutzernamen durchprobiert.

    2. Mittlerweile glaube ich, dass die Angriffe über ein Botnetz gesteuert werden. Die angreifenden Hosts kommen über IP-Adressen, welche in der Ukraine, USA und auch Berlin lokalisiert werden. Ist bei dir da mittlerweile Ruhe eingekehrt?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert