Vorige nacht werd een site op 1 van mijn servers wel erg druk bezocht. In de logbestanden zie ik echter enorm lange URL's met telkens een 404 als gevolg. Het IP zou uit Turkije komen.

Zou dit een DoS aanval kunnen geweest zijn? Nog iemand 'last' van?

Ter info: de server gaf geen krimp. ;-)

eerder een hackettempt lijkt mij, omdat een DoS gewoon een massive ping zou zijn (meestal), en dit een bestand op je server aanvalt.

Misschien handig om wat meer informatie te verlenen aan de deskundigen hier op webhostingtalk!
- Eventuele logs
- Eventuele andere opmerkingen
- Welk netwerk staat de server

De eerste 2 lijntjes uit het logbestand:


88.245.90.95 - - [26/Mar/2008:00:54:15 +0100] "GET /info/waar/info/waar/multimedia/multimedia/info/ontwerp/zeefdruk/zeefdruk/ontwerp/zeefdruk/ontwerp/info/info/ontwerp/multimedia/multimedia/multimedia/ontwerp/multimedia/ontwerp/multimedia/multimedia/multimedia/fileadmin/css/info/ontwerp/info/multimedia/zeefdruk/zeefdruk/zeefdruk/zeefdruk/multimedia/zeefdruk/zeefdruk/ontwerp/ontwerp/ontwerp/ontwerp/ontwerp/ontwerp/zeefdruk/multimedia/multimedia/ontwerp/multimedia/multimedia/zeefdruk/ HTTP/1.1" 404 4775 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
88.245.90.95 - - [25/Mar/2008:23:54:16 +0000] "GET /info/waar/info/waar/multimedia/multimedia/info/ontwerp/zeefdruk/zeefdruk/ontwerp/zeefdruk/ontwerp/info/info/ontwerp/multimedia/multimedia/multimedia/ontwerp/multimedia/ontwerp/multimedia/multimedia/multimedia/fileadmin/css/info/ontwerp/info/multimedia/zeefdruk/zeefdruk/zeefdruk/zeefdruk/multimedia/zeefdruk/zeefdruk/ontwerp/ontwerp/ontwerp/ontwerp/ontwerp/ontwerp/zeefdruk/multimedia/multimedia/ontwerp/multimedia/multimedia/zeefdruk/ontwerp/ HTTP/1.1" 404 4775 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"


Dit bleef zo'n anderhalf uur doorgaan.
De server hangt in Diegem, LCL datacenter.

dan gooi je dat ip toch in de blacklist....
een trace zegt ook niet veel goeds....

Lijkt wel of ze een of andere "overflow" proberen te forceren...