Page 1 of 2
Alibaba Singapore Attacken [SOLVED]
Posted: Mon 21. Jul 2025, 17:04
by Ralph
Habe seit Mittag eine nette China Attacke auf die Firmen Website am laufen ... bisher knapp "21000" geblockte IP Adressen gezählt alles nur aus 47.80.0.0/13, 47.74.0.0/15, 47.76.0.0/14 Alibaba Cloud Singapore.
Ich schätze mal die Schnesen haben da hunderttausende IP Adressen am Start die vorsätzlich und gezielt nur für deren Cyberwar Attacken eingesetzt werden ... bin stinkesauer und die können froh sein dass ich kein Presi bin, sonst würden denen die Kisten jetzt um die Ohren fliegen.
Ich glaub es hackt!
Re: Alibaba Singapore Attacken
Posted: Tue 22. Jul 2025, 02:25
by tab-kh
Ralph wrote: ↑Mon 21. Jul 2025, 17:04
Ich glaub es hackt!
Im wahrsten Sinn des Wortes.
Und Let's Encrypt untersucht eine API-Outage. Also ich kann jedenfalls kein LE-Zertifikat erstellen derzeit. Weder mit Keyhelp auf den Servern noch mit Plesk im netcup Webhosting. Es wird doch nicht zusammenhängen?
Re: Alibaba Singapore Attacken
Posted: Tue 22. Jul 2025, 08:34
by Ralph
tab-kh wrote: ↑Tue 22. Jul 2025, 02:25
Ralph wrote: ↑Mon 21. Jul 2025, 17:04
Ich glaub es hackt!
Im wahrsten Sinn des Wortes.
Und Let's Encrypt untersucht eine API-Outage. Also ich kann jedenfalls kein LE-Zertifikat erstellen derzeit. Weder mit Keyhelp auf den Servern noch mit Plesk im netcup Webhosting. Es wird doch nicht zusammenhängen?
Ja, momentan sind die Einschläge extrem, bisheriger Weltrekord!
Ich verplempere meine Zeit damit Attacken zu blocken die nicht mehr zu stoppen sind ...
Meine Ausbeute seit gestern Mittag nur aus Alibaba Netzen auf eine einzige Domain:
Code: Select all
# ipset list chinacrap | wc -l
38723
Fängt jetzt auch auf den shared Hosts an, spielt keine Rolle dabei ob es ältere Anwendungen sind oder aktuelle ... also kein scannen nach Schwachstellen, sondern nur pausenlose requests auf vorhandene und nicht vorhandene Ziele.
Re: Alibaba Singapore Attacken
Posted: Fri 25. Jul 2025, 13:06
by tab-kh
Meine Server sind offensichtlich zu unwichtig, ich kann nichts dergleichen feststellen. Alles ruhig an der Front
Re: Alibaba Singapore Attacken
Posted: Fri 25. Jul 2025, 14:12
by Ralph
tab-kh wrote: ↑Fri 25. Jul 2025, 13:06
Meine Server sind offensichtlich zu unwichtig, ich kann nichts dergleichen feststellen. Alles ruhig an der Front
Das freut mich für Dich, so eine ddos Attacke mit tausenden requests auf einmal braucht man nicht wirklich.
Nach 20L Kaffee hab ich's dann doch noch in den Griff bekommen
Re: Alibaba Singapore Attacken
Posted: Fri 25. Jul 2025, 14:14
by Florian
Warum haste die Alibaba Ranges nicht einfach geblockt via Iptables?
Re: Alibaba Singapore Attacken
Posted: Fri 25. Jul 2025, 19:34
by Ralph
Florian wrote: ↑Fri 25. Jul 2025, 14:14
Warum haste die Alibaba Ranges nicht einfach geblockt via Iptables?
Hab ich gemacht, allerdings über IPset (ranges) und einem iptables chain dazu ... too much stuff & load for iptables blockings!
Das war glücklicherweise "nur" Alibaba Singapore und die ranges sind schon leicht umfangreich ... bei einer Alibaba Attacke über deren weltweite Netze, machste gar nix mehr außer einen tiefgründigen "oho" Seufzer
Re: Alibaba Singapore Attacken
Posted: Sat 26. Jul 2025, 14:14
by tab-kh
Klar, wenn wirklich aus allen Alibaba-Netzen auf einen Server geballert wird, dann wird es seeeeehr
schwierig! Da dürfte selbst der DDOS-Schutz der allermeisten Provider in die Knie gehen, geschweige denn ein Server ohne extern vorgeschaltete Firewall. Ich durfte sowas mal vor Jahren bei uberspace live miterleben, das war damals ein ziemlich großes Botnet mit einem DDOS-Angriff. Da war erst mal stundenlang alles tot. Danach ging es sporadisch so lala, nachdem sie externe Hilfe hatten und der ganze Traffic erst mal über leistungsfähige Filter geroutet wurde. Erst Tage später war dann alles wieder normal. Selbst Cloudflare hatte bei einem Angriff in letzter Zeit erst mal große Mühe.
Im Moment leide ich aber eher an einem DDOS-Angriff einer großen Menge von Regentropfen.
Re: Alibaba Singapore Attacken
Posted: Sun 27. Jul 2025, 09:29
by Ralph
tab-kh wrote: ↑Sat 26. Jul 2025, 14:14
Im Moment leide ich aber eher an einem DDOS-Angriff einer großen Menge von Regentropfen.
Ja echt übel ... die Regen Attacke ist vermutlich auch China zuzuordnen
https://www.forschung-und-wissen.de/nac ... -133710164
Re: Alibaba Singapore Attacken
Posted: Sun 27. Jul 2025, 11:17
by Tobi
Re: Alibaba Singapore Attacken
Posted: Sun 27. Jul 2025, 12:09
by Ralph
na gut ... für mich kommt so gut wie alles böse aus China, abgesehen mal vom Essen
https://www.heise.de/news/Wettertest-Dr ... 71178.html
Re: Alibaba Singapore Attacken
Posted: Sun 27. Jul 2025, 17:12
by Tobi
Re: Alibaba Singapore Attacken
Posted: Mon 8. Sep 2025, 17:29
by Ralph
"Wer Regen sät, ist des Talers nicht wert"
https://www.forschung-und-wissen.de/nac ... -133710164
Aber davon mal abgesehen ... mit den Singapore Attacken und Scans spitzt sich derweil zu, für Alibaba hab ich zwar ziemlich alles dicht gemacht ... aber dafür geht es im gleichen Umfang weiter mit Microsoft Singapore und Amazon Singapore ... von der Masse her in etwa wie China & Brazil zusammen, na ja im Grunde isses wohl der selbe Strippenzieher und Singapore hat sich wohl derzeit als Sündenbock zur Verfügung gestellt (verkauft).
https://www.abuseipdb.com/check-block/47.128.56.0/24
....
usw.
https://www.abuseipdb.com/check-block/52.187.21.0/24
https://www.abuseipdb.com/check-block/52.163.97.0/24
https://www.abuseipdb.com/check-block/13.67.61.0/24
....
usw.
Die Apache Last auf allen Systemen geht heute hier immer wieder extrem hoch ... bin seit Stunden dabei den Mist zu blocken und es ist kein Ende in Sicht ... Prost-Mahlzeit!
Re: Alibaba Singapore Attacken
Posted: Mon 8. Sep 2025, 23:20
by blickgerecht
Puh, wir haben die Arbeit dem nachzugehen langsam auch satt, um ehrlich zu sein. Es wird immer mehr. Auch die Lösungen aus anderen Threads, automatisch die AbuseIP-Listen in fail2ban einzutragen, etc. Das hilft alles, aber es bleibt fortwährend Arbeit und steht wirtschaftlich (auf die Zeit gesehen) langsam nicht mehr im Verhältnis.
Aktuell testen wir eine CDN-Lösung vorgeschaltet, mit WAF, DDoS-Mitigation und integrierten Abuse-Lists, um die Server zu entlasten, um das Problem auszulagern.
Re: Alibaba Singapore Attacken
Posted: Wed 10. Sep 2025, 10:42
by Ralph
Bei Google lagen die Einschläge im Vergleich zu MS bisher immer (relativ) gering ...
Das scheint sich aktuell allerdings geändert zu haben, ich habe momentan mind. 100 Attacken pro Tag über deren Cloud (bc.googleusercontent.com), was mich aber mehr besorgt ist eine mögliche Kompromittierung derer Infrastruktur. Ich sehe hier in den Logs massenhaft WP login Versuche und 404er auf nicht vorhandene Malware Scripts die der Crawler ausführen möchte.
Das hier sieht nicht wirklich gut aus, offizielle googlebots (crawler) werden derweil als malware infected bei Spamhaus u. ThreatBook gelistet z.b.
192.178.4.102
Deklariert unter:
ThreatBook Intelligence: als Zombie,Scanner
Spmahaus XBL: eXploits Blocklist
siehe:
https://check.spamhaus.org/results/?query=192.178.4.102
https://i.threatbook.io/research/192.178.4.102
https://www.abuseipdb.com/check/192.178.4.102
https://www.abuseipdb.com/check-block/192.178.4.0/24