Also, so wie es aussieht ist der Minerbot (Der sich jetzt vom Pizzabot zum Reisebot entwickelt hat) seit heute mittag um 12:00 erstmal wieder ruhig.

Viele große Seiten haben es erstaunlich gut weggesteckt (opodo, expedia, etc), leid tun mir eigentlich eher die kleinen Seiten, die sich teilweise nicht anders zu helfen wussten, als ihre DNS Einträge auf 127.0.0.1 zu setzen. Nach der Attacke vor einer/zwei Woche haben einige Seiten sogar ihre Hosting Verträge gekündigt bekommen ( z.B. http://www.sushiselbstmachen.de/2011/der-erste-beitrag-nach-dem-ddos-angriff/ einer der wenigen die etwas über den angriff geschrieben haben)

Interessante Erkentnisse: Die UserAgents eines Bots werden zufällig aus einer Liste gewählt, der Accept-Language Header ist allerdings hardcoded auf ru, somit kann man ihn zumindest darüber halbwegs gut blocken. Ausserdem hat jeder Bot eine Liste von nur 5 Zielen, um also alle aktiven Ziele herauszubekommen, muss man die Listen von mehrern Bots nehmen. Ich hab auch noch ne handvoll (3 von insgesamt mehreren tausend) Bots gefunden, die anscheinend eine alte Liste hatten (noch mit lieferdiensten und immobilien seiten), warum sich diese nicht aktualisierten wäre jetzt natürlich interessant.

Die spannende Frage bleibt natürlich, warum das ganze.. Bisher hab ich noch nirgends mitbekommen, dass es Erpresserschreiben gab. Wir werden sehen….

Warten wir mal ab, welche Branche es nächsten Donnerstag trifft (und ob es dann auch wieder UDP Flooding gibt)