Set heute frueh ist das Forum schwer erreichbar.
Mein aktueller Stand:
- der Server an sich ist relativ unbelastet, ssh Zugang ist flott, wir kriegen "nur" 1000 HTTP Anfragen pro Minute.
- die Haelfte der Anfragen (167756 von 336520) seit heute frueh um 6:30 (wo das
letzte Log anfaengt) ist der Sorte
GET /index.php?PHPSESSID=r3gg9eiqe855s5bot2unrvva77&action=dlattach%3Battach=124564%3Btype=avatar HTTP/1.1"
an forum.fhem.de. Die Anfragen kamen von 59360 unterschiedlichen IP Adressen,
davon 25815 haben nur einmal diese eine Sorte von Anfrage gestellt.
- ich gehe davon aus, dass irgendwer eine DDOS Attacke faehrt, und jemand (unser Hosting-Provider?) die Menge der HTTP-Connects
begrenzt.
Wenn jemand mehr weiss (was ist das fuer ein Angriff, was kan man dagegen tun,
wer drosselt den Verbindungsaufbau), der soll sich bitte melden.
eine erste suche mit google ergab folgendes:
https://www.simplemachines.org/community/index.php?topic=145101.0 (https://www.simplemachines.org/community/index.php?topic=145101.0)
Zitat
If you allow users to upload their own avatars, move them to a specific directory rather than have them handled through the attachments system. This way you will save a big chunk of resources since they are served in a "normal way" rather than through index.php
You can do this through Admin > Attachments and Avatars > Avatar Settings > Upload avatars to > Specific directory.
Naturally create the directory and make it writable.
To move existing avatars to the new directory, access index.php?action=manageattachments;sa=moveAvatars
Be warned though your page views stats will drop to the floor, for some reason webalizer and awstats wrongly think an avatar loaded on a page is a page itself rather than a hit.
könnte das das Problem sein?
Es hilft zwar nicht gegen eine Dos Attacke, allerdings werden externe Avatare schneller ausgeliefert.
Moin,
betrifft scheinbar nicht nur das Forum:
Downloading https://fhem.de/fhemupdate/controls_fhem.txt
fhem
https://fhem.de/fhemupdate/controls_fhem.txt: Can't connect(1) to https://fhem.de:443: IO::Socket::INET: connect: timeout
Auch das Wiki, und die Commandref sind sehr langsam :-\
Der Vorschlag loest (soweit ich es verstehe) ein Problem, was wir z.Zt. nicht haben: wie gesagt, der Server ist de-facto nicht belastet.
Ich habe inzwischen auch einen Artikel (https://www.hetzner.com/unternehmen/ddos-schutz/) auf der Seite unseres Providers gefunden, der den DDOS Schutz bestaetigt. Leider ist es viel zu oberflaechlich, ohne technische Details.
Zitatbetrifft scheinbar nicht nur das Forum:
Da alle FHEM Dienste (bis auf debian.fhem.de) auf dem gleichen Server gehostet werden, betrifft die Drosselung (fast) alles.
Die Alexa Verbindung wird gerade temporaer umgeleitet, um das Problem zu vermeiden (Danke Georg!).
Du könntest z.B. Cloudflare dazwischen schalten, das ist ein DDOS Schutz Anbieter: https://www.cloudflare.com/plans/
Dann gehen die Anfragen z.B. von forum.fhem.de erst nach Cloudflare, dort wird anhand der IP und weitere Daten überprüft ob es ein Bot ist und wenn ja, kommt eine Captcha Abfrage...
Zitat von: rudolfkoenig am 22 Dezember 2019, 11:48:28
Set heute frueh ist das Forum schwer erreichbar.
THX4Info, puhh ich hatte schon Angst das geht nur mir so :( bzw. da jetzt im Firefox recht lange unten links steht "TLS Handshake mit forum.fhem.de wird durchgeführt" das es da wieder eine SSL Änderung gab.
Zitat von: rudolfkoenig am 22 Dezember 2019, 12:49:08
Ich habe inzwischen auch einen Artikel (https://www.hetzner.com/unternehmen/ddos-schutz/) auf der Seite unseres Providers gefunden, der den DDOS Schutz bestaetigt. Leider ist es viel zu oberflaechlich, ohne technische Details.
Aber dann scheint der DDOS-Schutz vom Provider ja nicht zu funktionieren, denn aktuell haben wir ja definitiv ein of Denial Of Services.
Nichtmal ein Update-Check funktioniert - da kommt seit heute:
Downloading https://fhem.de/fhemupdate/controls_fhem.txt
https://fhem.de/fhemupdate/controls_fhem.txt: Can't connect(2) to https://fhem.de:443: SSL wants a read first
Ryker
Zitat von: Ryker am 22 Dezember 2019, 14:05:05
Aber dann scheint der DDOS-Schutz vom Provider ja nicht zu funktionieren, denn aktuell haben wir ja definitiv ein of Denial Of Services.
Nichtmal ein Update-Check funktioniert - da kommt seit heute:
Downloading https://fhem.de/fhemupdate/controls_fhem.txt
https://fhem.de/fhemupdate/controls_fhem.txt: Can't connect(2) to https://fhem.de:443: SSL wants a read first
Ryker
Doch der Provider lässt nur eine bestimmt Anzahl an Anfragen durch. Dadurch schützt er den Server vor einem Überlauf/Überlasst.
Der Server ist nicht überlastet weil der Schutz greift. Das verlangsamen kommt davon weil sich deine Anfrage in der "Warteschlange" anstellen muss.
Hier "rennt" es auch wieder. 8)
Danke an die Problemlöser. :-*
Bestätigung auch von meiner Seite: fluppt :-) Danke, dachte schon das werden traurige Feiertage ;-)
Man könnte mittles iptables ein rate limiting einrichten, aber ich bin mir nicht sicher ob das in diesem Fall hilft.
Ich schätze Hetzner erkennt den ddos schon an einer Stelle vorher und fängt mit den Maßnahmen an. Aber das könnte man ja nochmal mit dem Hetzner Support klären.
mfg
Marcel
es geht wieder los? ::)
Sieht so aus :o :o Otto123
Kann ich auch bestätigen (die Probleme)
@Rudi:
War gestern aus gesundheitlichen Gründen offline ... brauchst Du noch Hilfe?
ich habe Kontakt zum provider aufgenommen.
Danke für Hilfsangebote, sobald klar ist ob wir selber da was tun können und Bedarf da ist kommen wir gern darauf zurück.
(btw, aktuell scheint wieder alles ruhig).
Immer wieder wie Bild unten
oder lange Wartezeit bis Seite angezeigt wird , manchmal gehts auch schnell
Ich habe heute ständige wechselnde Fehlermeldungen : Fehler 503 , Proxy Fehler, ....
Ich überlaste den Server gerade für kurze Zeit massiv (Stresstest).
Test abgeschlossen, bitte die Unannehmlichkeiten zu entschuldigen.
Stresstest durchgefallen!
;D
ne, im Gegenteil. Vor 2 Wochen hätte jetzt das RZ gebrannt. 8)
Wenn Du in der RichtungHilfe brauchst .. melde Dich einfach bei mir ...