#

IIS: DDoS Angriff mit WordPress script
 
Erkennung und Behebung eines DDoS Angriffs mit WordPress verifying pingback script
 
Mein Webserver wurde letzte Woche massiv lahm gelegt, indem viele Anfragen auf die Root-Adresse meiner Webseite gingen.
Jede Anfrage erzeugte eine Liste, die aber nie ausgegeben wurde. Dadurch erhöhte sich die Bearbeitungszeit von Millisekunden auf 20 bis 30 Sekunden und zuletzt zum Denial of Service.
Man erkennt einen Wordpress DDoS Angriff, indem man die Log-Dateien unter dem IIS Server mit einem Editor öffnet und untersucht.
 
 
IIS= Internet Information Server
DDoS= Distributed Denial of Service Attack
 
Das Verzeichnis mit den IIS-Log-Dateien findet man unter dem IIS-Manager->Protokollierung
Wie hier: %SystemDrive%\inetpub\logs\Logfiles 

 
 
Hier der aus Auszug der Log-Datei
Deutlich zu erkennen ist, dass zu einer Sekunden über viele verschiedene IP-Adressen gleichzeitig Anfragen auf die /Root-Seite Default.aspx des Webservers gingen.
Zuletzt ging die Reaktionszeit des Webservers auf 25 Sekunden pro Anfrage hoch, was quasi einem Stillstand gleichkommt.
 

2016-10-13 16:14:33 W3SVC8 GET / - 80 - 217.12.197.12 HTTP/1.0 WordPress/4.1;+http://www.rusanov.org.ua;+verifying+pingback+from+191.96.249.75 - - microsoft-programmierer.de 199 24921
2016-10-13 16:14:33 W3SVC8 GET / - 80 - 104.155.223.47 HTTP/1.0 WordPress/4.4.5;+http://blogkr.timeit.io;+verifying+pingback+from+191.96.249.75 - - microsoft-programmierer.de 199 25015
2016-10-13 16:14:33 W3SVC8 GET / - 80 - 23.101.28.13 HTTP/1.0 WordPress/4.5.4;+http://23.101.28.13;+verifying+pingback+from+191.96.249.75 - - microsoft-programmierer.de 25013
2016-10-13 16:14:33 W3SVC8 GET / - 80 - 54.86.95.43 HTTP/1.0 WordPress/4.4.5;+http://info.guvera.com;+verifying+pingback+from+191.96.249.75 - - microsoft-programmierer.de 198 24968
2016-10-13 16:14:33 W3SVC8 GET / - 80 - 23.101.28.13 HTTP/1.0 WordPress/4.5.4;+http://23.101.28.13;+verifying+pingback+from+191.96.249.75 - - microsoft-programmierer.de 25000
2016-10-13 16:14:33 W3SVC8 GET / - 80 - 52.74.104.113 HTTP/1.0 WordPress/4.2.2;+http://blog.treebohotels.com;+verifying+pingback+from+127.0.0.1 - - microsoft-programmierer.de 196 25062
2016-10-13 16:14:33 W3SVC8 GET / - 80 - 13.73.206.10 HTTP/1.0 WordPress/4.5.4;+http://13.73.206.10;+verifying+pingback+from+191.96.249.75 - - microsoft-programmierer.de 25046
2016-10-13 16:14:33 W3SVC8 GET / - 80 - 164.132.106.157 HTTP/1.0 WordPress/4.5.4;+http://vps285834.ovh.net;+verifying+pingback+from+191.96.249.75 - - microsoft-programmierer.de 200 25015
2016-10-13 16:14:33 W3SVC8 GET / - 80 - 178.162.221.140 HTTP/1.0 WordPress/4.5.4;+http://slave.ambprime.com;+verifying+pingback+from+191.96.249.75 - - microsoft-programmierer.de 201 25016
2016-10-13 16:14:33 W3SVC8 GET / - 80 - 163.44.2.219 HTTP/1.0 WordPress/4.5;+http://163.44.2.219;+verifying+pingback+from+191.96.249.75 - - microsoft-programmierer.de 193 25138
2016-10-13 16:14:33 W3SVC8 GET / - 80 - 80.169.132.55 HTTP/1.0 WordPress/3.7.12;+http://www.triton-global.com;+verifying+pingback+from+191.96.249.75 - - microsoft-programmierer.de 205 25031
2016-10-13 16:14:33 W3SVC8 GET / - 80 - 69.64.111.7 HTTP/1.0 WordPress/3.9.2;+http://69.64.111.7;+verifying+pingback+from+191.96.249.75 - - microsoft-programmierer.de 194 25093
2016-10-13 16:14:33 W3SVC8 GET / - 80 - 195.81.194.35 HTTP/1.0 WordPress/4.2.10;+http://intranet.bultaco.com;+verifying+pingback+from+191.96.249.75 - - microsoft-programmierer.de 204 25078
2016-10-13 16:14:33 W3SVC8 GET / - 80 - 130.211.125.175 HTTP/1.0 WordPress/4.3.6;+http://onemanenter.com;+verifying+pingback+from+191.96.249.75 - - microsoft-programmierer.de 198 28406
2016-10-13 16:14:33 W3SVC8 GET / - 80 - 88.208.228.107 HTTP/1.0 WordPress/4.0;+http://www.patientpower.eu;+verifying+pingback+from+191.96.249.75 - - microsoft-programmierer.de 200 25078
2016-10-13 16:14:33 W3SVC8 GET / - 80 - 66.241.100.235 HTTP/1.0 WordPress/3.5.2;+http://66.241.100.235 - - microsoft-programmierer.de 165 25124
2016-10-13 16:14:33 W3SVC8 GET / - 80 - 104.197.96.130 HTTP/1.0 WordPress/4.4.2;+http://104.197.183.38;+verifying+pingback+from+191.96.249.75 - - microsoft-programmierer.de 197 25109
2016-10-13 16:14:33 W3SVC8 GET / - 80 - 41.89.31.4 HTTP/1.0 WordPress/4.4.2;+http://digital.kemu.ac.ke;+verifying+pingback+from+191.96.249.75 - - microsoft-programmierer.de 201 25124
2016-10-13 16:14:33 W3SVC8 GET / - 80 - 52.35.85.115 HTTP/1.0 WordPress/4.4.2;+http://www.rapidi2i.com;+verifying+pingback+from+191.96.249.75 - - microsoft-programmierer.de 199 25156
2016-10-13 16:14:33 W3SVC8 GET / - 80 - 98.172.84.203 HTTP/1.0 WordPress/4.5.3;+https://thepool.blue;+verifying+pingback+from+191.96.249.75 - - microsoft-programmierer.de 196 25156
2016-10-13 16:14:31 W3SVC8 GET / - 80 - 104.197.78.191 HTTP/1.0 WordPress/4.4.5;+http://104.197.78.191;+verifying+pingback+from+127.0.0.1 - - microsoft-programmierer.de 189 23781
2016-10-13 16:14:33 W3SVC8 GET / - 80 - 62.25.83.170 HTTP/1.0 WordPress/4.5.3;+http://vcc-demo.com;+verifying+pingback+from+191.96.249.75 - - microsoft-programmierer.de 25249
2016-10-13 16:14:33 W3SVC8 GET / - 80 - 104.42.187.226 HTTP/1.0 WordPress/4.5.4;+http://blog.youngevitypreview.com;+verifying+pingback+from+191.96.249.75 - - microsoft-programmierer.de 352 25203
2016-10-13 16:14:33 W3SVC8 GET / - 80 - 51.255.136.139 HTTP/1.0 WordPress/4.5.4;+http://blog.amateur.tv;+verifying+pingback+from+191.96.249.75 - - microsoft-programmierer.de 198 25203
2016-10-13 16:14:33 W3SVC8 GET / - 80 - 137.74.174.131 HTTP/1.0 WordPress/4.4.5;+http://vps308258.ovh.net;+verifying+pingback+from+191.96.249.75 - - microsoft-programmierer.de 200 25062
2016-10-13 16:14:33 W3SVC8 GET / - 80 - 52.29.84.103 HTTP/1.0 WordPress/4.4.5;+http://www.iceblinkdigital.com;+verifying+pingback+from+191.96.249.75 - - microsoft-programmierer.de 206 25078
2016-10-13 16:14:33 W3SVC8 GET / - 80 - 107.178.222.147 HTTP/1.0 WordPress/4.5.4;+http://variano.site;+verifying+pingback+from+191.96.249.75 - - microsoft-programmierer.de 25309

 
Blockieren der DDoS Anfragen
 
Beim IIS Server muss man unter URL Rewrite sperrende Regeln einfügen.
Am Besten fügt man die Regel gleich im obersten Knoten also dem Webserver selbst ein.

 
URL Rewrite
Select this template to create a rule that will block client requests based on certain text patterns in the URL path, query string, HTTP headers, and server variables.
 
Neue Regel erstellen
Zuerst muss man bei Add Rule(s) eine neue Regel hinzufügen.
Und dann die Vorlage: Request blocking auswählen

 
Dann folgende Einstellungen vornehmen:
 
Block access based on:              User-agend Header
Block request that:                      Matches the Pattern
Pattern (User-Agent Header):      WordPress*
Using:                                        Wildcards
How to block:                              Abort Request

 
 
Danach sollte die Regel wie hier eingetragen sein
{http_USER_AGENT} Matches the pattern WordPress

 
 
Mobile

.