Samstag, 18. Juli 2020

User-Archiv nach 21 Jahren vorläufig deaktiviert



Vor etwa einer Woche, also Anfang Juli 2020, habe ich das Webprojekt "User-Archiv" (www.user-archiv.de) vorläufig abgeschaltet. Ob ich es wieder aktiviere, hängt davon ab, ob die extrem angewachsenen Hackerangriffe eines bestimmten Angreifers nachlassen werden. Denn diese belasten den Server, auf denen wir noch andere Projekte laufen haben.

Im Jahre 1999 gegründet, anfangs unter dem Namen "User-hilft-User", ist es eine der ältesten Computer-Hilfeseiten. In den Anfangsjahren war es oft lobend in den Computerzeitschriften erwähnt worden, und ein offizieller Mitbetreiber sowie freiwilliger Helfer sorgten dafür, dass die Datenbank händisch gepflegt wurde. Dabei ging es um kostenlose Computer-Hilfeliteratur, also Aufsätze, Anleitungen, Ressourcen und Referenzen. Foren gab es schon 1999 genug, aber in denen konnte man nur kleinere Fragen beantworten - und die Linklisten mit  Sammlung von Anleitungen waren erstens unzureichend und drehten sich zweitens meist im Kreis. Nach 5 Klicks kam man wieder bei der Ausgangsseite an, ohne dass man eine echte Hilfestellung gefunden hatte.

 In den letzten 10 Jahren habe ich das Projekt alleine gepflegt und zwangsläufig etwas vernachlässigen müssen. Die letzte gründliche Überarbeitung ist einige Jahre her und erforderte wochenlange Arbeiten in meiner Freizeit.

Neue Einträge in die Datenbank, dem Kern des Projekts, kamen aber nur noch sporadisch.Geniale Stapelerfassungs-Tools, die ich programmiert hatte, ermöglichten zwar einem einzelnen Admistrator mehrere Ratgeber-Artikel in fast einem Zug zu erfassen, aber das alleine reicht nicht.

 Trotzdem waren die Zugriffszahlen erstaunlich hoch (und dabei habe ich die Hackerversuche schon weggerechnet), weshalb ich die Seiten weiter laufen ließ, und nicht nur intern für mich selbst nutzte.

Was letztlich noch allgemein interessant und beliebt war, sind die speziell eingerichteten Unterseiten, bei denen das Wichtigste zu einem Thema zusammengefasst war - zum Beispiel die Seiten über mysql-Feldtypen, über CHMOD oder über die Zeichentabelle. Die Seiten waren dann jeweils ergänzt um die Treffer aus unserer Datenbank zum jeweiligen Thema.


Die ewigen täglichen Hackerangriffsversuche (in den letzten Wochen gab es Zeiten mit zwanzigtausend Aufrufen pro Stunde durch Bots) haben die Logdateien aufgebläht. Gemerkt habe ich es vor Wochen, als es auf diversen Webseiten, die auf dem gleichen Server laufen, plötzlich einiges nicht mehr funktionierte. Das kommt immer dann vor, wenn der Speicherplatz nicht mehr ausreicht. Statische Seiten können aufgerufen werden, php-Skripte fangen aber zu spinnen an. Scheinbar ist es ein mysql-Abruf-Fehler, in Wirklichkeit ist der Speicher voll.


10 GB Speicherplatz müssten reiche, denkt man, vor allem da ich die letzten Jahre ein Projekt nach dem anderen aufgelöst oder auf blogspot-Seiten verschoben habe. So läuft eine der ältesten von uns programmierten Webseiten, terre-des-langues.de (von einer seit 35 Jahren existierende Regensburger Schüleraustauschorganisation) mittlerweile über das blogger-System, und auch Verbrauchermagazin (v-mag.net) oder das Regensburger-Tagebuch (mit 20.000 Monatszugriffen und tausenden von Fotos) belastet den Server kein bisschen, da sie über blogspot-Dienst und google-Bilder-Alben laufen.

Aber neben den nur noch 500 MB Speicherplatz den ich für meine Weprojekte brauche, sind die restlichen 9,5 GB durch das System belegt, wozu eben auch alle möglichen Log-Dateien gehören. Und dieses System wächst erfahrungsgemäß, eben auch durch  Log-Dateien Ein Grund, warum ich vor zwei Jahren einen anderen Server gemietet hatte. Aber jetzt war auch hier die Grenze erreicht und ich musste den Speicherplatz erweitern.

Da das Projekt sowieso mal auslaufen muss, und ich nicht will, dass andere Webseiten leiden, habe ich jetzt die Webseite ganz abgeschaltet, die index-Datei entfernt. Vorangegangen waren wochenlange Versuche, die Hacker dazu zu bringen, ihre (bot-automatisierten) SQL-Injection-Angriffe zu unterlassen, indem ich Filter einbaute, die zum Skript-Abbruch mit entsprechenden Hinweisen  für die Hacker führten, verbunden mit passenden status-Codes. Aber offenbar ist das alles so automatisiert, dass der Hacker das nicht merkt und  die bots ihre Angriffsversuche sogar noch steigerten.

In Spitzenzeiten waren es  20.000 Aufrufe mit sql-injection-Versuche in einer Stunde, also mehrere Versuche pro Sekunde. Diese belasten unnötig den Server und blähen die access-logdateien auf. Natürlich bewegt sich das alles im Bereich des Üblichen, so gut wie jeder Server hat täglich laufende Angriffsversuche in den Logs. Trotzdem - die anderen Webprojekte sind mir zu wichtig. Und ein abuse-Hinweis ist sinnlos, ebenso das Aussperren von IPs. Denn nachdem der Angreifer bei den bisher vertrauten Unterseiten, bei denen die SQL-Injections versucht wurden, auf eine Mauer stieß, versuchte er systematisch über verschiedene andere IPs (auch "saubere" whitelist-IPs von Suchmaschinen, die er offenbar in der Hand hat) auf die gleichen Seiten zu zugreifen. Dort dann etwas vorsichtiger, nicht gleich mit Schade-Code, aber erkennbar systematisch. Die Vorgehensweise zu analysieren, ist tatsächlich interessant und vielleicht mal Gegenstand eines anderen Beitrags.

Wenn in einigen Wochen die access-logs zeigen, dass die Angriffsversuche nachlassen, kann ich mir eine Reaktivierung überlegen. Allerdings sind die Chancen eher gering, denn ohne die Helfer aus der Anfangszeit, die Online-Ratgeber sammeln und archivieren, dürfte das User-Archiv im verdienten Rentenalter sein.


Screenshots User Archiov




















  © Blogger template 'Fly Away' by Ourblogtemplates.com 2008

Back to TOP