„hwclouds“ und „your-server“ sind auf jeden Fall Hoster, die Teils Webspace, teils (virtuelle) Server vermieten.

Ich habe lange Zeit überhaupt nicht in die Logs meines Hosters geschaut, sondern mein eigenes Süppchen gekocht.

Mit der DSGO hat sich das dann etwas geändert, als mir klar wurde, dass und was mein Hoster sowieso mitlogt. Anonymisierte IPs zum Beispiel. Und Statistiken, in denen bestimmte Server wie hwscloud und your-server immer wieder auftauchen. Bei mir, wohl gemerkt. Andere Kunden dieser Provider werden völlig harmlos sein.

Ich halte die allermeisten Provider auch nicht für Schurken, und ich denke, dass diejenigen, die sich tatsächlich durch aktives Wegsehen auszeichnen, nicht dauerhaft halten können, bevor ihr Ruf so weit gesunken ist, dass sie tatsächlich nur noch mit dubiosen Kunden eine Weile existieren, bis ihre IPs geächtet werden.

Bei mir waren aber ausnahmslos alle Aufrufe aus bestimmten Quellen zweifelhaft. Ein paar Beispiele:

...99999unionselectunhexhexversion--xx
/wp-login.php
/wp-includes/js/jquery/jquery.js
/admin/view/javascript/common.js
/administrator/language/en-GB/install.xml
...%20and%20USER()=USER()%20and%2021=21...
...%20and%20VERSION()>=4%20and%2021=21...
...%20and%20ascii(substr((user()),1,1))>63%20and%2021=21...

Getestet wird das Vorhandensein bestimmter Ordner zB von Wordpress-Installationen. In der ersten Zeile findet sich SQL-Syntax wieder, in den letzten drei Zeilen als Einschübe bei den Parametern der Kalenderseite soll wohl Code injiziert werden. Das Abrufmuster (insgesamt nur eine Minute, mit einer Handvoll Abrufen jede Sekunde, etwa soviel, wie mein langsamer php-Skriptzirkus halt liefern kann) ist jedenfalls nicht "zufällig" von einem unbeabsichtigt schlecht programmierten Rechner losgetreten worden.

Ich glaube aber nicht, dass mein Server da gezielt ausgesucht wurde. Nicht weil er uninteressant ist - jeder Rechner für ein Botnetz hat seinen Wert -, sondern er ist einfach einer auf einer langen Liste.

Bei "eher vertrauenswürdigen" Besitzern der Server bzw. Inhabern der IPs (z.B. "your-server.de" zähle ich da mal mit) geht, sofern der Angriffsversuch eine gewisse Heftigkeit überschreitet, eine Nachricht mit Auszug aus den Logs an den Abuse.

Wenn die Logs wieder überschaubarer werden (weil die ellenlangen Listen nicht mehr so viele Kalender-Aufrufe durch die bots aufweisen), werde ich mich vielleicht auch mal etwas der Netz-Hygiene (Abuse-Meldungen) widmen.

Was wäre denn sinnvollerweise als "heftig" anzusehen? Ich meine, Abuse-Meldungen sollen ja ein scharfes Schwert bleiben, und nicht durch Kleinkram stumpf werden. Andererseits kann ich ja nicht wissen, ob meine einmal-in-der-Woche-für-10-Sekunden-Attacke nicht von einer 24-7-Schleuder kommt. Das weiß dann nur der Hoster der Schleuder.