Amok laufende Bots

Mit sowas muss man sich gelegentlich auch mal rumschlagen. Heute abend (und auch schon gestern) gab es eine rätselhafte stark erhöhte Auslastung auf dem Datenbankserver zum WebSoziCMS, zudem waren einzelne Seiten (darunter z.B. spd-bw.de) fast gar nicht mehr erreichbar.

Bei der Analyse fiel eine IP-Adresse auf, die extrem häufig auf WebSoziCMS-Seiten zugegriffen und dadurch die Auslastung des Datenbankservers „hochgeschaukelt“ hat. Ein Traceroute auf diese IP-Adresse führte nach Rumänien. Was also war das? Ein DDoS-Angriff wäre typischerweise von sehr vielen verschiedenen IP-Adressen ausgeführt worden, das schied also sehr wahrscheinlich aus.

Beim recherchieren fiel mir dann ein Zusammenhang zwischen der IP-Adresse und einem Suchmaschinen-Bot namens „Sitebot“ auf. Der gehört zu keiner der großen Suchmaschinen (ich konnte da überhaupt keine Zuordnung finden und die Info-Seite ist sehr sparsam…) und wird bei verschiedenen Fundstellen im Internet als sehr aggressiv vorgehend beschrieben.

Abfall der Auslastung nach Aussperrung sitebotDas kann er nun von mir aus sein – er ist jetzt dauerhaft von unseren Servern ausgesperrt. Auf der Grafik ist übrigens sehr schön der Abfall der Serverauslastung nach dem Aussperren zu sehen (nicht dass sie jetzt bei 0 liegt, sie ist halt nur so niedrig wie sie auf einem relativ schönen Pfingstsamstagabend auch sein sollte und durch die Skalierung bzw. vorherige Höhe sieht das nach nichts aus 😉 )

Eine Erweiterung der Datenbank-Kapazitäten beim WebSoziCMS ist übrigens nichts desto trotz in Arbeit.

Du kannst alle Antworten zu diesem Eintrag via RSS 2.0 Feed erfolgen. Kommentare und Pings sind zur Zeit geschlossen.

Kommentare sind geschlossen.