Foto: Sora Shimazaki
Von Christian Schröter, 11. Mai 2024, Lesedauer 1 Minute, 39 Sekunden
Slow DOS Attacke gegen #Gütsel #Print und #Online
#Gütersloh, 11. April 2024
Ein mittelmäßig kompetenter #Cyberkrimineller attackiert seit 2 Tagen den Server von Gütsel mit einer verschleierten #Slow #DOS Attacke. Die Cybercrime Unit des #LKA #NRW ist ratlos. Gütsel hat eine Strafanzeige gegen Unbekannt erstattet und steht im Kontakt mit einem Fachbeamten der #Kreispolizeibehörde Gütersloh, der sich mit Kollegen in Bielefeld absprechen will.
Der ganze Vorgang ist kinoreif und begann mitten in der Nacht mit gezielten DOS Attacken und dem seit Jahren wiederholten Versuch der #SQL #Injection, die bei Gütsel unmöglich ist. In der Vergangenheit wurden auch erfolglos X Site Scripting Attacken über User Generated Content versucht.
Der Cyberkriminelle reagierte im Verlauf jeweils zeitnah auf Gegenmaßnahmen, so wurden die IP Adressen nach den ersten Gegenmaßnahmen rotiert und kamen aus aller Welt. Host und Client der Requests sind mutmaßlich gefakt (»gespooft«), sodass alles nach normalen Crawls aussieht. Zunächst war ein #Endpoint (#Webhook) mit GET Requests angegriffen worden. Nachdem dieser kurzzeitig deaktiviert wurde, wurde Content gecrawlt. Der Endpoint wurde dann wieder aktiviert, wird aber nun nicht mehr angegriffen. Das alles spricht für einen weitestgehend manuell betriebenen Angriff.
Freilich ist diese Häufung und Dauer unnormal. Der #Server wird seit bald 48 Stunden mal intensiver, mal weniger intensiv vermeintlich von allen möglichen Bots gecrawlt (Amazon Alexa Skills, diverse SEO Tools und alle möglichen anderen Bots). Auf Gegenmaßnahmen wird nach wie vor zeitnah reagiert. Der Angriff beschränkt sich auf zwei Domains, ist also zielgerichtet. Wird eine #Domain abgeschaltet, wird die zweite angegriffen – wird die erste wieder eingeschaltet, wird wieder die erste angegriffen. Weitere Domains auf dem Server sind nicht betroffen. Durch eine gezielte Umkonfiguration des Apache Webservers konnte der Angriff eingedämmt werden.
Der #Kriminelle hat offensichtlich Zugriff auf ein weltweites #Proxynetzwerk und ein wenig Erfahrung. Solche »#Dienstleistungen« lassen sich für geringe Beträge bei einschlägigen #Onlinemarktplätzen einkaufen. Wer letztlich dahintersteckt ist praktisch unmöglich in Erfahrung zu bringen.
Original Content Slow DOS Attacke gegen Gütsel Print und Online bei Gütsel Online …