Das bedeutet, die “Glückstreffer” von scannenden Bots werden nun von zielgerichteten Angriffen auf den eigentlichen Namen der Installation überrundet. Offenbar haben die Suchmaschinen die vermeintliche Beuteseite entdeckt und indexiert. Einige Stichproben bei Google zeigen, dass die Einstiegsseite unter den ersten zehn Suchtreffern für die jeweiligen Angriffsvektoren platziert ist. Das hat ca. acht Tage gedauert. So lange kann also eine verwundbare Webapplikation ggfs. unentdeckt bleiben (abgesehen von den Zufallstreffern auf die IP-Adresse).  Ab diesem Zeitpunkt steigt die Anzahl der Angriffe rapide an. Ich habe damit begonnen einige Erweiterungen am Webinterface des Glastopfes vorzunehmen. Insbesondere das automatisierte Erstellen von Charts und anderen Statistiken interessiert mich. In diesem Zuge habe ich eine Übersicht der Angreifer pro Tag, sowie die Anzahl der einzelnen Zugriffe pro Tag erstellt:

Ab dem 20. gab es ausreichend Daten, um sie in einem Chart zu verwenden. Ab dem 23. fanden die ersten Zugriffe über den DNS-Namen des Glastopfes statt. Ich bin gespannt, ob die Anzahl der Angriffe weiterhin dermaßen ansteigt. Weiterhin habe ich eine Grafik erstellt, die die Herkunftsländer der Angreifer aufschlüsselt:

Wie unschwer zu erkennen ist, liegt Deutschland dabei sehr weit vorne. Das ist allerdings insofern nicht verwunderlich, als dass der Server in Deutschland beheimatet ist. Vermutlich kommt ein Großteil der Angriffe von Drohnen aus einem Botnetz. Es ist nicht ungewöhnlich, dass die Eigentümer der zu Drohnen umfunktionierten Computer nicht einmal davon wissen, dass Ihr Computer mißbraucht wird. Für Botnetzbetreiber macht es daher aus performancegründen Sinn von den Drohnen aus Netze zu scannen, die in unmittelbarer “Nachbarschaft” liegen. Es macht wenig Sinn von Deutschland aus einen australischen Server zu attackieren.

Die Datenbasis des Glastopfes ist jedoch leider noch zu gering um mehr als Mutmaßungen anzustellen. Es bleibt daher spannend, was weiterhin passiert.