Ich habe es nicht ganz so mit dem Kunden kommuniziert, aber aehnlich... :) Na ja, ich hätte es auch "schöner" formulieren können ... die Situation ist aber momentan leider brandgefährlich und erfordert ggf. Prioritäten. Schau mal nach dem Formular, ob es da eventl. noch eine Textarea gibt z.b. für K ...

Mit DSGVO konformen "Lösungen" gegen derzeitige AI basierende Attacken ziehst Du keinen toten Hering mehr vom Teller ... das funktionierte vieleicht noch in Friedenszeiten. CAPTCHA-Farms machen dabei Probleme, die dann von den Bots genutzt werden, Google Captcha ist "noch" ziemlich wirksam (und ...

Lösungsansatz: Ich habe recherchiert und bin auf abuse.ch gestoßen – eine Sammlung aktueller Malware‑, Phishing‑ und Spamwellen. In Kombination mit Postfix‑header_checks (für „X-Spamd-Bar“ + „X-Forwarded-For“) lässt sich Weiterleitungs‑Spam blockieren, ohne legitime Weiterleitungen zu beeinträchtige ...

Interne Weiterleitungen (nur intern) könnten/sollten davon ausgeschlossen sein, aber auch für abuse, postmaster bzw. auch tco@domain.tld u. dsa@domain.tld sollten eventl. Ausnahmen möglich sein ...

Ich komme nochmal darauf zurück ... derweil nehmen die Scanner requests auf die Panels deutlich zu /var/log/apache2/keyhelp/access.log:3.74.150.186 - - [12/Jun/2026:07:19:36 +0200] "GET / HTTP/1.1" 200 10125 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403. ...

/^X-Spamd-Bar:\s*\+{8,}/ DISCARD Forwarded spam blocked by system Mit den header_checks ist schon ein guter Ansatz ... wenn der Rspamd Score vor der Weiterleitung auch bei deaktiviertem User Spam Schutz vorhanden bleibt. Bzgl. dovecot ... greift hier nicht maildrop bei den Weiterleitungen bevor ...

OK, der Bugfix oder Patch scheint doch enthalten zu sein, der Status wurde jetzt aktualisiert. https://security-tracker.debian.org/tracker/CVE-2026-49975 Die Apache Last geht hier ein wenig runter, aber ist noch nicht vorbei ... Bald werden dann vermutlich noch gekaperte Enduser-Geräte zum Einsatz ...

hmm, zu früh gefreut ... da wurde zwar vorhin ein Apache Update angeboten, aber dies scheint nicht CVE-2026-49975 zu betreffen ... jedenfalls ist es weiterhin als vulnerable gelistet:
https://security-tracker.debian.org/tra ... 2026-49975

Auch wenn die Angreifer genauso blöd sind wie sie aussehen ... die gleichen Aktionen werden nun auch via VPN und CloudFlare getarnt. War nur eine kurze Verschnaufpause mit den IPsets, ich arbeite aber momentan daran noch sehr viel skrupelloser zu werden :shock: Bald werden dann vermutlich noch ...

Ja, es geht dann wieder heftig los ...
Die IPsets bleiben jetzt auch permanent aktiv ... sche*ß der Hund drauf

H2MaxSessionStreams 100 ist default, also testen und anpassen z.b. 20 ....
Interessant ist hierbei die Quelle ... gut 95% davon kommen von googleusercontent (massenhaft) ansosnten wie gehabt, AWS, DO usw.

OK, so müsste es funktionieren ... nano /etc/apache2/mods-available/http2.conf # hinzufügen: # Restrict concurrent streams H2MaxSessionStreams 100 # Cap memory per stream to prevent bomb bursts H2StreamMaxMemSize 65536 H2MaxDataFrameLen 65536 # neu starten apache2ctl configtest systemctl restart a ...

Keine Ahnung ob diese HTTP/2 Bomb vulnerability mit den aktuellen o.g. Attacken zu tun hat, aber es deutet einiges darauf hin, wie z.b. die Geschwindigkeit bzw. die extrem kurzen Zeitspannen der requests die auch in meinen Logs zu sehen waren. Gestern ist es auch kurzzeitig wieder aufgeflammt ...

Kommt der momentan bei Euch auch so aufdringlich zu Besuch? crusoe.ai
UA:
CoreAutoPDFPretrainingBot (+contact URL or email)" 124 569474

hier geht es um das Default Zertifikat was unter SSL/TLS Zertifikate zu finden ist und bei der Installation von Keyhelp erstellt wird.. Das hat nichts mit Let's Encrypt zu tun. Du kannst ein neues selbstsigniertes Zertifikat erstellen, es bei Bedarf einem Serverdienst zuweisen, der das Default ...