Alibaba Singapore Attacken

Ralph · Post by **Ralph** » Mon 21. Jul 2025, 17:04

Habe seit Mittag eine nette China Attacke auf die Firmen Website am laufen ... bisher knapp "21000" geblockte IP Adressen gezählt alles nur aus 47.80.0.0/13, 47.74.0.0/15, 47.76.0.0/14 Alibaba Cloud Singapore.
Ich schätze mal die Schnesen haben da hunderttausende IP Adressen am Start die vorsätzlich und gezielt nur für deren Cyberwar Attacken eingesetzt werden ... bin stinkesauer und die können froh sein dass ich kein Presi bin, sonst würden denen die Kisten jetzt um die Ohren fliegen.
Ich glaub es hackt!

tab-kh · Post by **tab-kh** » Tue 22. Jul 2025, 02:25

Ralph wrote: ↑Mon 21. Jul 2025, 17:04 Ich glaub es hackt!

Im wahrsten Sinn des Wortes.

Und Let's Encrypt untersucht eine API-Outage. Also ich kann jedenfalls kein LE-Zertifikat erstellen derzeit. Weder mit Keyhelp auf den Servern noch mit Plesk im netcup Webhosting. Es wird doch nicht zusammenhängen?

Ralph · Post by **Ralph** » Tue 22. Jul 2025, 08:34

tab-kh wrote: ↑Tue 22. Jul 2025, 02:25
Ralph wrote: ↑Mon 21. Jul 2025, 17:04 Ich glaub es hackt!
Im wahrsten Sinn des Wortes.
Und Let's Encrypt untersucht eine API-Outage. Also ich kann jedenfalls kein LE-Zertifikat erstellen derzeit. Weder mit Keyhelp auf den Servern noch mit Plesk im netcup Webhosting. Es wird doch nicht zusammenhängen?

Ja, momentan sind die Einschläge extrem, bisheriger Weltrekord!
Ich verplempere meine Zeit damit Attacken zu blocken die nicht mehr zu stoppen sind ...
Meine Ausbeute seit gestern Mittag nur aus Alibaba Netzen auf eine einzige Domain:

Code: Select all

# ipset list chinacrap  | wc -l
38723

Fängt jetzt auch auf den shared Hosts an, spielt keine Rolle dabei ob es ältere Anwendungen sind oder aktuelle ... also kein scannen nach Schwachstellen, sondern nur pausenlose requests auf vorhandene und nicht vorhandene Ziele.

tab-kh · Post by **tab-kh** » Fri 25. Jul 2025, 13:06

Meine Server sind offensichtlich zu unwichtig, ich kann nichts dergleichen feststellen. Alles ruhig an der Front

Ralph · Post by **Ralph** » Fri 25. Jul 2025, 14:12

tab-kh wrote: ↑Fri 25. Jul 2025, 13:06 Meine Server sind offensichtlich zu unwichtig, ich kann nichts dergleichen feststellen. Alles ruhig an der Front

Das freut mich für Dich, so eine ddos Attacke mit tausenden requests auf einmal braucht man nicht wirklich.
Nach 20L Kaffee hab ich's dann doch noch in den Griff bekommen

Post by **Florian** » Fri 25. Jul 2025, 14:14

Warum haste die Alibaba Ranges nicht einfach geblockt via Iptables?

Ralph · Post by **Ralph** » Fri 25. Jul 2025, 19:34

Florian wrote: ↑Fri 25. Jul 2025, 14:14 Warum haste die Alibaba Ranges nicht einfach geblockt via Iptables?

Hab ich gemacht, allerdings über IPset (ranges) und einem iptables chain dazu ... too much stuff & load for iptables blockings!
Das war glücklicherweise "nur" Alibaba Singapore und die ranges sind schon leicht umfangreich ... bei einer Alibaba Attacke über deren weltweite Netze, machste gar nix mehr außer einen tiefgründigen "oho" Seufzer

tab-kh · Post by **tab-kh** » Sat 26. Jul 2025, 14:14

Klar, wenn wirklich aus allen Alibaba-Netzen auf einen Server geballert wird, dann wird es seeeeehr

schwierig! Da dürfte selbst der DDOS-Schutz der allermeisten Provider in die Knie gehen, geschweige denn ein Server ohne extern vorgeschaltete Firewall. Ich durfte sowas mal vor Jahren bei uberspace live miterleben, das war damals ein ziemlich großes Botnet mit einem DDOS-Angriff. Da war erst mal stundenlang alles tot. Danach ging es sporadisch so lala, nachdem sie externe Hilfe hatten und der ganze Traffic erst mal über leistungsfähige Filter geroutet wurde. Erst Tage später war dann alles wieder normal. Selbst Cloudflare hatte bei einem Angriff in letzter Zeit erst mal große Mühe.

Im Moment leide ich aber eher an einem DDOS-Angriff einer großen Menge von Regentropfen.

Ralph · Post by **Ralph** » Sun 27. Jul 2025, 09:29

tab-kh wrote: ↑Sat 26. Jul 2025, 14:14 Im Moment leide ich aber eher an einem DDOS-Angriff einer großen Menge von Regentropfen.

Ja echt übel ... die Regen Attacke ist vermutlich auch China zuzuordnen

https://www.forschung-und-wissen.de/nac ... -133710164

Post by **Tobi** » Sun 27. Jul 2025, 11:17

https://www.google.com/search?sca_esv=6 ... eri%C3%B6s

Ralph · Post by **Ralph** » Sun 27. Jul 2025, 12:09

Tobi wrote: ↑Sun 27. Jul 2025, 11:17 https://www.google.com/search?sca_esv=6 ... eri%C3%B6s

na gut ... für mich kommt so gut wie alles böse aus China, abgesehen mal vom Essen

https://www.heise.de/news/Wettertest-Dr ... 71178.html

Post by **Tobi** » Sun 27. Jul 2025, 17:12

Der Klassiker:
https://taz.de/die-wahrheit/!5187788/

Ralph · Post by **Ralph** » Mon 8. Sep 2025, 17:29

Tobi wrote: ↑Sun 27. Jul 2025, 17:12 Der Klassiker:
https://taz.de/die-wahrheit/!5187788/

"Wer Regen sät, ist des Talers nicht wert"

https://www.forschung-und-wissen.de/nac ... -133710164

Aber davon mal abgesehen ... mit den Singapore Attacken und Scans spitzt sich derweil zu, für Alibaba hab ich zwar ziemlich alles dicht gemacht ... aber dafür geht es im gleichen Umfang weiter mit Microsoft Singapore und Amazon Singapore ... von der Masse her in etwa wie China & Brazil zusammen, na ja im Grunde isses wohl der selbe Strippenzieher und Singapore hat sich wohl derzeit als Sündenbock zur Verfügung gestellt (verkauft).
https://www.abuseipdb.com/check-block/47.128.56.0/24
....
usw.
https://www.abuseipdb.com/check-block/52.187.21.0/24
https://www.abuseipdb.com/check-block/52.163.97.0/24
https://www.abuseipdb.com/check-block/13.67.61.0/24
....
usw.
Die Apache Last auf allen Systemen geht heute hier immer wieder extrem hoch ... bin seit Stunden dabei den Mist zu blocken und es ist kein Ende in Sicht ... Prost-Mahlzeit!

blickgerecht · Post by **blickgerecht** » Mon 8. Sep 2025, 23:20

Puh, wir haben die Arbeit dem nachzugehen langsam auch satt, um ehrlich zu sein. Es wird immer mehr. Auch die Lösungen aus anderen Threads, automatisch die AbuseIP-Listen in fail2ban einzutragen, etc. Das hilft alles, aber es bleibt fortwährend Arbeit und steht wirtschaftlich (auf die Zeit gesehen) langsam nicht mehr im Verhältnis.

Aktuell testen wir eine CDN-Lösung vorgeschaltet, mit WAF, DDoS-Mitigation und integrierten Abuse-Lists, um die Server zu entlasten, um das Problem auszulagern.

Ralph · Post by **Ralph** » Wed 10. Sep 2025, 10:42

Bei Google lagen die Einschläge im Vergleich zu MS bisher immer (relativ) gering ...
Das scheint sich aktuell allerdings geändert zu haben, ich habe momentan mind. 100 Attacken pro Tag über deren Cloud (bc.googleusercontent.com), was mich aber mehr besorgt ist eine mögliche Kompromittierung derer Infrastruktur. Ich sehe hier in den Logs massenhaft WP login Versuche und 404er auf nicht vorhandene Malware Scripts die der Crawler ausführen möchte.
Das hier sieht nicht wirklich gut aus, offizielle googlebots (crawler) werden derweil als malware infected bei Spamhaus u. ThreatBook gelistet z.b.
192.178.4.102

Deklariert unter:
ThreatBook Intelligence: als Zombie,Scanner
Spmahaus XBL: eXploits Blocklist

siehe:
https://check.spamhaus.org/results/?query=192.178.4.102
https://i.threatbook.io/research/192.178.4.102
https://www.abuseipdb.com/check/192.178.4.102

https://www.abuseipdb.com/check-block/192.178.4.0/24

Alibaba Singapore Attacken [SOLVED]

Alibaba Singapore Attacken [SOLVED]

Re: Alibaba Singapore Attacken

Re: Alibaba Singapore Attacken

Re: Alibaba Singapore Attacken

Re: Alibaba Singapore Attacken

Re: Alibaba Singapore Attacken

Re: Alibaba Singapore Attacken

Re: Alibaba Singapore Attacken

Re: Alibaba Singapore Attacken

Re: Alibaba Singapore Attacken

Re: Alibaba Singapore Attacken

Re: Alibaba Singapore Attacken

Re: Alibaba Singapore Attacken

Re: Alibaba Singapore Attacken

Re: Alibaba Singapore Attacken