Weltweit gefährlichsten Bot-Netz-Provider gesperrt!

Bot-Netz-Provider gesperrtImmer neue Bot-Netze belasten die Internet-Strukturen aller Internet-Hoster!

Man könnte unterscheiden zwischen guten Bot-Netzen und bösen Bot-Netzen, wenn diese sich so verhalten würden, wie auch Suchmaschinen!

Tatsächlich sind diese Bot-Netze oftmals so programmiert, daß diese sich weniger für die Inhalte von Webseiten interessieren, sondern immer vermehrter die Schwachstellen von Software und Systemen analysieren, um Hackern Informationen bereit zu stellen, wo in Webspaces von Kunden oder Servern Schwachstellen vorhanden sind! Diese gesammelten Informationen werden Hackern bereit gestellt, damit diese dann extreme Schäden im weltweiten Internet leichter verursachen können!

Neue Analyse-Werkzeuge innerhalb von Anti-Attacks haben nun einen der gefährlichsten und weltweit größten Bot-Netz-Betreiber gefunden, der nun als erster Netz-Provider in Anti-Attacks in ALLEN RIRs (Netzbereichen) zukünftig geblockt wird!

Wenn ein Netz-Betreiber über 1000 Netze verfügt (jedes Netz dabei hat jeweils zig tausende IPs), die Bot-Netzen bereit gestellt werden, 

dann kann da etwas nicht stimmen!

Tatsächlich wurden von diesem gefährlichsten Bot-Netz-Betreiber-Netz oder man kann diesen Netz-Provider auch als Hacker-Farm einstufen, von zig tausenden IPs aus über 600 verschiedenen Netz-Bereichen gehackt und dies in jeweils nur ca. 3 Tagen!

Der Netzbetreiber BSNL-NIB National Internet Backbone mit AS9829 – in seiner Beschreibung auch als National Internet Backbone – Bharat Sanchar Nigam Limited – (A Government of India Enterprise) vergab ganz offensichtlich über tausende IPs an Bot-Netz-Betreiber und nicht nur bei Anti-Attacks ist dieser Provider nun schlecht gelistet, denn auch in UCEPROTECT sind eine Menge von RIRs komplett gesperrt!

Bot-Netze werden normalerweise über viele IPs bei verschiedenen Netz-Anbietern betrieben! Die Bots weisen sich dabei auch beim Abruf von Webseiten als Bot mit dem jeweiligen Bot-Namen aus! Immer mehr Bots beachten nicht die robots.txt-Dateien und prüfen aber auch Links aus, die normalerweise normale Internet-Abrufer, nie aufrufen würden! Es kommt dann auf den Servern zu Fehler-Abbrüchen und unnötigen Belastungen! Teilweise scannen diese Bots im Gegensatz zu Suchmaschinen eine Masse von Seiten, Bildern, Links, etc. innerhalb von wenigen Sekunden und machen keine Pause! Durch ständiges Wechseln der IPs werden auch Intruder-Detection-Systeme überlistet und nicht selten werden diese Bot-Scans zu DDoS-Attacken, weil eben die Server überlastet werden!

Da auch immer neue Bots entwickelt werden, ist es für Webseiten-Betreiber nicht möglich, alle Bots selbst auszusperren! Und normal möchte auch kein Webseiten-Betreiber nur die wichtigsten Suchmaschinen erlauben und jeweils täglich die robots.txt – Dateien editieren und böse Bots oder Bots grundsätzlich hinzufügen, also unterbleibt dies bei den Milliarden von Webseiten-Betreibern!

Böse Bots werden daher in der Regel von den Webhostern gesperrt, da diese in der Regel nicht nur einen Webspace scannen, sondern gleichzeitig alle Webspaces, die auf dem gleichen Webserver oder allen gehosteten Servern betrieben werden!

Tatsächlich werden die Server und das gesamte Internet zu über 90 % von Hacker-Attacken und Bots-Scans belastet!

Es scheint ein paar pfiffige Netz-Betreiber zu geben, die es darauf anlegen, eine Menge an Netz-Bereichen an Hacker zu vermieten, damit diese ihr böses Spiel treiben können! Wir erinnern hier nochmal an die Attacke

HACKING VON GODADDY AUF VORHER INFIZIERTEN SKRIPTEN

erinnern! In der nun neu gefundenen neuen DDoS-Attacke, bekräftigt sich unser Verdacht, daß es Netz-Betreiber gibt, die ganz offensichtlich an Hacker Ihre Netz-Bereiche vermieten!

Die neue DDoS-Welle, die vom gefährlichsten Bot-Netz-Betreiber erfolgte, zeigt uns die Gefährlichkeit dieser Attacken, die nun durch ständig neues Austricksen der Erkennungs-Systeme erfolgen und wir haben bereits mehrfach festgestellt, daß oftmals Einbrüche gerade nach solchen Bot-Netz-Scans erfolgten und daher wurden die Werkzeuge von Anti-Attacks entsprechend erweitert, um solche Netz-Betreiber komplett mit ihrer gesamten ASN zu sperren!

Welche Techniken bediente man sich nun bei diesen letzten DDoS-Attacken?

Es erfolgten eine Masse von Angriffen über verschiedene IPs! Wie immer, erfolgt dies von einer IP jeweils so lange, bis die jeweilige IP gesperrt wurde und dann erfolgten die nächsten Angriffe, nicht wie sonst üblich, aus dem gleichen Netz-Bereich, sondern jeweils aus anderen Netz-Bereichen, damit automatische Intruder-Detection-Systeme, diese IP-Bereiche nicht gänzlich sperren! Die Angriffe erfolgten gleichzeitig von vielen IPs!

Dabei wurden mindestens 600 verschiedene Netz-Bereiche eines einzigen Netz-Providers verwendet! Normale Netz-Betreiber geben Server-Kunden nur ein sehr geringes IP-Kontigent und dies muß nach den RIPE-Regeln jeweils auch begründet sein! Oftmals erkennen klassische DDoS-Systeme, eben nicht, wie versprochen, diese Attacken und es rutschen selbst mit den besten Techniken, eine Vielzahl dieser Angriffe durch, denn klassische DDoS-Filter-Systeme sprechen auch nur bei einer extremen Menge von Attacken an und meistens nicht auf der Ebene von ähnlich üblichem Daten-Transfer! Oder anders gesagt, sprechen diese Systeme nur an, wenn z.B. ständig ein bestimmter Port von vielen IPs malträtiert wird!

Aus diesem Grund werden künftig Netz-Provider, bei denen die meisten Abfragen nicht von „normalen“ Internet-Benutzern stammen, sondern aus Hacking-Abfragen oder bösen Bot-Scans  bestehen und die auch von anderen Sperrsystemen als „Hacking-Partner“ erkannt werden, komplett gesperrt! Solche Anbieter-Sperrungen werden nur im absoluten Einzelfall erfolgen! Diese sind aber nötig, um unsere Infrastruktur und unsere Kunden immer optimal zu schützen! Vielleicht lernen zukünftig solche Hacker-Farmen, daß es nicht gesund ist, Hackern Ihre Netze zu vermieten!

AS9829 wurde aus über 600 Netzen von 1000 Netzen gesperrt!
Jedes weitere Netz dieses Providers wird in Anti-Attacks negativ als „geblockt“ gelistet und auf unseren Hosts und anderen Hosting-Partnern gesperrt, wenn nur von einer einzelnen IP ein Angriff erfolgt und dies voll automatisch!

Hier geht es zu den interessanten Anti-Attacks-Statistiken der letzten beiden DDoS-Attacken vom Netz-Provider National Internet Backbone – Bharat Sanchar Nigam Limited – (A Government of India Enterprise) – klicken Sie hier

 

Das könnte Sie auch interessieren:

WARUM UND WIE OFT MÜSSEN UPDATES GEMACHT WERDEN?

DRINGENDER UPDATE NOTWENDIG – WORDPRESS VULNERABILITIES

UPGRADES NOTWENDIG FÜR SERVER MIT PLESK 11.X / DEBIAN WHEEZY (7.X)

INTERNET-DOMAINS KRISENSICHER ?!

Ein Gedanke zu „Weltweit gefährlichsten Bot-Netz-Provider gesperrt!“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.