Heute war leider fast den ganzen Tag mein Blog imrazor.de nicht erreichbar.
Von der Arbeit aus konnte ich das Problem nicht analysieren oder gar beheben, deswegen musste ich bis zum Feierabend warten, um daheim festzustellen, dass die Seite wieder verfügbar ist.
Nichtsdestotrotz habe ich die Log-Files durchforstet und festgestellt, dass eine DoS-Attacke auf meinen Apache2-Server gefahren wurde. Diese Attacke kam nur von IP-Adressen aus Israel und verursachte eine dermaßen hohe Serverlast, dass keine Anfragen mehr beantwortet werden konnten.
Wieso mein Blog angegriffen wurde und wieso der Angriff eingestellt wurde kann ich so nicht mehr nachvollziehen. Ich denke jedoch, dass es sich bei dem Agriff um einen sehr aggressiven Bot handelt, der die Seite komplett crawled und allen möglichen Links folgt.
Bei der Analyse der IP-Adressen wurde dieser Verdacht schnell bestätigt, in einschlägigen Security- bzw. Honeypot-Seiten sind die IPs bereits als „böse“ gelistet.
Ich habe als Reaktion diese IP-Adressen per IP-Tables vorsorglich geblockt und Fail2Ban auf eine DoS-Attacke erweitert. Ebenso habe ich die Maxclients des Apache2 reduziert, damit mir der RAM nicht mehr vollläuft.
Mal sehen, ob es Wirkung zeigt und/oder die Seite erneut angegriffen wird. Eine detaillierte Anleitung meiner Fail2Ban-Erweiterung folgt (falls sie denn funktioniert ;-) ).