Mini DDoS-Attack oder was ist das?

ray007 · **ray007** » 09.04.2022, 13:37 **Mini DDoS-Attack oder was ist das?**

Vielleicht kann das jemand beurteilen:

Seit 2 Wochen habe ich auf meinem Webshop mit hochwertigen Nischenprodukten, der weltweit sehr gut bei Google listet und meine Haupteinnahmequelle ist, seltsamen Traffic.

Stündlich etwa 300 bis 500 Aufrufe der Hauptseite, Locations sind weltweit unterschiedliche Städte, Bounce Rate dieser Aufrufe 100%, Page views 1. Definitiv keine realen Besucher.

Für den Server ist das natürlich noch kein Problem, aber schadet das irgendwie meinem sehr guten Google Ranking? Verhindern kann ich es ja nicht, da würde ich auch reguläre Besucher aussperren. Bounce Rate, Page/Session und Session Duration bei Analytics sind jetzt natürlich im Keller.

Vielen Dank für eine Einschätzung!
Ray

So sieht das aus:
Bild

staticweb · **staticweb** » 09.04.2022, 14:06 **Mini DDoS-Attack oder was ist das?**

Falls es Bots sind kannst du sie ja rausfiltern. Die Bounce Rate spielt nur eine Rolle wenn die Zugriffe aus den SERPs kommen. In Google Analytics 4 wurde sie als Metric bereits abgeschafft.

arnego2 · **arnego2** » 09.04.2022, 15:00 **Mini DDoS-Attack oder was ist das?**

Abgesehen davon das die Bounce Rate (Absprungrate) meiner Erfahrung nach kein Ranking Signal ist.

Gibt es ein gemeinsames Merkmal das alle/die meisten der Bots verbindet?

ray007 · **ray007** » 09.04.2022, 15:30 **Mini DDoS-Attack oder was ist das?**

staticweb hat geschrieben: ↑09.04.2022, 14:06 Falls es Bots sind kannst du sie ja rausfiltern. Die Bounce Rate spielt nur eine Rolle wenn die Zugriffe aus den SERPs kommen. In Google Analytics 4 wurde sie als Metric bereits abgeschafft.

Danke. Dass die Bounce Rate nur eine Rolle aus den SERPs spielt, ist schon mal beruhigend und eigentlich ja auch logisch.

arnego2 hat geschrieben: ↑09.04.2022, 15:00 Gibt es ein gemeinsames Merkmal das alle/die meisten der Bots verbindet?

Ja, das habe ich eben gecheckt. Zumindest ist alles Direct Traffic (Source) und der Browser ist Firefox 48.0 oder 52.0. Damit kann ich zumindest in Analytics filtern. Trotzdem irgendwie ein ungutes Gefühl. Was für einen Sinn hat solch eine Spam Aktion?

Bild

arnego2 · **arnego2** » 09.04.2022, 15:44 **Mini DDoS-Attack oder was ist das?**

ray007 hat geschrieben: ↑09.04.2022, 15:30 Ja, das habe ich eben gecheckt. Zumindest ist alles Direct Traffic (Source

Mit was trackst du denn? Google?
Im Server gibt es Stats, in vielen zumindest, ein Bestimmte IP Range haben sie?

staticweb · **staticweb** » 09.04.2022, 16:02 **Mini DDoS-Attack oder was ist das?**

> Trotzdem irgendwie ein ungutes Gefühl. Was für einen Sinn hat solch eine Spam Aktion?

Es könnte sich auch um ein eingerichtetes Monitoring handeln. Das würde ich mal abklären.

ray007 · **ray007** » 09.04.2022, 16:43 **Mini DDoS-Attack oder was ist das?**

arnego2 hat geschrieben: ↑09.04.2022, 15:44 Mit was trackst du denn? Google?
Im Server gibt es Stats, in vielen zumindest, ein Bestimmte IP Range haben sie?

Ja, mit Google Analytics. Ich lade mir heute Abend mal die letzten Logfiles runter und schaue die IPs im Detail an. Ist ein Strato Managed Server, da ist m.W. standardmäßig kein Tool für die detaillierten Zugriff-Stats eingerichtet.

staticweb hat geschrieben: ↑09.04.2022, 16:02 Es könnte sich auch um ein eingerichtetes Monitoring handeln. Das würde ich mal abklären.

Hmm, das sollte ich eigentlich wissen. Außer einem Monitoring, das alle 30min checkt ob die Seite noch online ist habe ich da nichts angestoßen.

staticweb · **staticweb** » 09.04.2022, 19:33 **Mini DDoS-Attack oder was ist das?**

> Ist ein Strato Managed Server, ...

Oh, oh, die meide ich lieber.

> Außer einem Monitoring, das alle 30min checkt ob die Seite noch online ist habe ich da nichts angestoßen.

Und, könnte das der Grund sein?

ray007 · **ray007** » 09.04.2022, 20:08 **Mini DDoS-Attack oder was ist das?**

staticweb hat geschrieben: ↑09.04.2022, 19:33 > Außer einem Monitoring, das alle 30min checkt ob die Seite noch online ist habe ich da nichts angestoßen.

Und, könnte das der Grund sein?

Denke nicht. Die Bots, Spam oder was auch immer sind teils bis zu 20 Aufrufe/Minute nicht einer alle 30min.

ray007 · **ray007** » 09.04.2022, 23:26 **Mini DDoS-Attack oder was ist das?**

Ich kann in den Logfiles keine IP Range feststellen. Mit einzelnen IPs wird die Seite zwar innerhalb weniger Minuten öfter aufgerufen, dann aber nicht mehr verwendet. Die Locations sind auch weltweit gestreut. z.B. innerhalb weniger Minuten:

Code: Alles auswählen

173.82.36.0
184.104.227.0
185.212.149.0
185.248.160.0
194.102.131.0
195.133.16.0
212.192.243.0
213.202.223.0
23.170.251.0
23.94.102.0
45.144.154.0
45.8.45.0
46.166.182.0
66.85.72.0
86.106.113.0
89.163.230.0
89.252.151.0
93.119.179.0
93.190.12.0
94.102.7.0
185.130.226.0
185.73.201.0
185.93.69.0
193.19.177.0
194.1.192.0
195.154.253.0
45.138.96.0
51.158.30.0

Das einzige was mit einfällt, ist die Browser Version per htaccess zu blocken, nutzt normal eh niemand. Macht das Sinn? Vielleicht hört der Mist dann von selbst wieder auf. z.B:

Code: Alles auswählen

RewriteCond %{HTTP_USER_AGENT} ^.*Firefox/48.0*$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^.*Firefox/52.0*$
RewriteRule ^.*$ – [F,L]

staticweb · **staticweb** » 10.04.2022, 08:23 **Mini DDoS-Attack oder was ist das?**

> Das einzige was mit einfällt, ist die Browser Version per htaccess zu blocken, nutzt normal eh niemand. Macht das Sinn? Vielleicht hört der Mist dann von selbst wieder auf.

Wir sind jetzt bei Version 99. Das kannst du also ohne Probleme blocken.

ray007 · **ray007** » 11.04.2022, 11:26 **Mini DDoS-Attack oder was ist das?**

Zumindest ist jetzt in Analytics Ruhe, die htaccess blockt alles. Jetzt läuft nur noch das Logfile mit 403 voll:

Code: Alles auswählen

185.73.201.0 - - [11/Apr/2022:10:19:43 +0200] "GET /en/ HTTP/1.1" 403 2425 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0"
185.73.201.0 - - [11/Apr/2022:10:19:44 +0200] "GET /favicon.ico HTTP/1.1" 403 2425 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0"
185.73.201.0 - - [11/Apr/2022:10:19:44 +0200] "GET /favicon.ico HTTP/1.1" 403 2425 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0"
185.73.201.0 - - [11/Apr/2022:10:19:44 +0200] "GET /en/ HTTP/1.1" 403 2425 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0"
194.135.33.0 - - [11/Apr/2022:10:19:45 +0200] "GET /en/ HTTP/1.1" 403 2425 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0"
194.135.33.0 - - [11/Apr/2022:10:19:45 +0200] "GET /favicon.ico HTTP/1.1" 403 2425 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0"
185.73.201.0 - - [11/Apr/2022:10:19:45 +0200] "GET /favicon.ico HTTP/1.1" 403 2425 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0"
185.73.201.0 - - [11/Apr/2022:10:19:45 +0200] "GET /favicon.ico HTTP/1.1" 403 2425 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0"
194.135.33.0 - - [11/Apr/2022:10:19:45 +0200] "GET /favicon.ico HTTP/1.1" 403 2425 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0"
185.73.201.0 - - [11/Apr/2022:10:19:45 +0200] "GET /en/ HTTP/1.1" 403 2425 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0"
146.19.253.0 - - [11/Apr/2022:10:19:46 +0200] "GET /en/ HTTP/1.1" 403 2425 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0"
185.73.201.0 - - [11/Apr/2022:10:19:46 +0200] "GET /favicon.ico HTTP/1.1" 403 2425 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0"
146.19.253.0 - - [11/Apr/2022:10:19:46 +0200] "GET /favicon.ico HTTP/1.1" 403 2425 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0"
146.19.253.0 - - [11/Apr/2022:10:19:46 +0200] "GET /favicon.ico HTTP/1.1" 403 2425 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0"
185.73.201.0 - - [11/Apr/2022:10:19:49 +0200] "GET /en/ HTTP/1.1" 403 2425 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0"
185.73.201.0 - - [11/Apr/2022:10:19:49 +0200] "GET /favicon.ico HTTP/1.1" 403 2425 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0"
185.73.201.0 - - [11/Apr/2022:10:19:50 +0200] "GET /favicon.ico HTTP/1.1" 403 2425 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0"

Mal schauen wie lange das so weiter geht. Den Sinn hinter dieser Aktion kann ich aber nicht nachvollziehen. Um dem Server Probleme zu machen, braucht es mehr als ~500 Aufrufe pro Stunde.

arnego2 · **arnego2** » 11.04.2022, 13:24 **Mini DDoS-Attack oder was ist das?**

ray007 hat geschrieben: ↑11.04.2022, 11:26 Mal schauen wie lange das so weiter geht. Den Sinn hinter dieser Aktion kann ich aber nicht nachvollziehen.

Testen? Wer weiß schon was in den Köpfen der Leute vorgeht.

ray007 · **ray007** » 13.04.2022, 11:51 **Mini DDoS-Attack oder was ist das?**

Falls auch mal jemand einen bestimmten Browser via htaccess / mod_rewrite blocken muss, im obigen Beispiel hatte sich ein Fehler eingeschlichen. Bestimmte Zeichen wie z. B. Punkt müssen mit einem Backslash maskiert werden:

Code: Alles auswählen

RewriteCond %{HTTP_USER_AGENT} ^.*Firefox/48\.0*$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^.*Firefox/52\.0*$
RewriteRule ^.*$ – [F,L]

**Hanzo2012** » 13.04.2022, 13:22 **Mini DDoS-Attack oder was ist das?**

Wenn wir schon dabei sind:
- Beim letzten Sternchen in beiden Zeilen fehlt der Punkt davor. Anderenfalls würdest du nur beliebig viele Nullen matchen, nicht beliebige Zeichen.
- Warum zwei RewriteConds? Das geht viel einfacher, schließlich ist das doch ein regulärer Ausdruck: Firefox/(48|52)\.0
- ^.* am Anfang und .*$ am Ende kann man weglassen, da standardmäßig eine Suche durchgeführt wird und kein kompletter Vergleich.

Also reicht Folgendes:
RewriteCond %{HTTP_USER_AGENT} Firefox/(48|52)\.0
RewriteRule ^ – [F,L]