Mit der OMClub Party, die gestern abend im Bootshaus stattgefunden hat, hat auch der JahresendSEO Wettbewerb geendet, der über die letzten beiden Wochen hinweg lief. Die Ermittlung des Siegers fand allerdings nicht wie angekündigt um 22 Uhr statt, sondern um kurz nach 23 Uhr. Generell war der gestrige Tag etwas „außergewöhnlich“ und ich möchte in diesem Artikel ein paar Gedanken loswerden die ich zu letzten Ereignissen habe.
First things first
Das erste vorweg: Obwohl (wahrscheinlich nicht nur) ich mir sicher war, dass ich den Contest letztendlich gewinne, stand ich zum erforderlichen Zeitpunkt nur auf Platz 2 und habe damit knapp verloren. Generell kann sowas passieren, Googles Wege sind ja bekanntlich unergründlich. Allerdings muss dazu gesagt werden, dass meine Seite seit dem 20.09.2011 ab ca. 23 Uhr das Ziel einer DDos Attacke wurde. In Folge dessen war meine Webseite in den letzten 24 Stunden knapp 10 Stunden nicht erreichbar und zweierlei Dinge stehen für mich außer Frage:
- Die Attacke fand auf Grund des JahresendSEO Contests statt
- Ohne diesen Zwischenfall hätte ich auf der 1 gestanden
Aber dazu im Anschluss mehr. Die Sache wurde auf der Bühne angesprochen, hatte jedoch keinen Einfluss auf die Ermittlung des Gewinners. Ich hatte mich in Nachhinein noch mit Randolf und Jens unterhalten und kann die Entscheidung natürlich nachvollziehen. Zum einen gibt es keinen eindeutigen Beweis, dass die Verschiebung mit der DDoS Sache zusammenhängt und zum anderen gewinnt nunmal derjenige, der auf Platz eins steht.
Das Drama beginnt
Um 23:34 erreichte mich eine eMail von all-inkl (bei denen ist MySEOSolution gehostet), dass es auf Grund der Zugriffe auf MySEOSolution zu einer Überlastung des Servers gekommen sei und das meine Webseite daraufhin umgezogen wurde. Man muss dazu sagen, dass die Seite auf einem shared Server lag und damit noch 50 weitere Webseiten (darunter 5 weitere von mir) nicht erreichbar waren.
Das hatte zur Folge, das MySEOSolution (und meine anderen Webseiten im gleichen Hostingpaket) knapp vier Stunden nicht erreichbar waren. Nach einer Kontrolle gestern morgen konnte ich jedoch wieder normal auf die Seite zugreifen und dachte eigentlich, dass sich das Problem erledigt hat. Tja, falsch gedacht…
Es läd und läd und läd
Um ca. 12 Uhr am gestrigen Tag war es erneut nicht möglich, MySEOSolution aufzurufen. Zu diesem Zeitpunkt hatte ich bereits Kontakt mit Randolf, der sich (zufällig?) gemeldet hat, nachdem ich bei den SEO Hanseln nach Leuten gefragt hatte, die sich mit DDos Attacken auskennen. Nach kurzem Bericht zur Lage hat er mich mit Wavecon und Velia in Kontakt gebracht, die das Problem letztenlich lösen konnten.
Professionelle Hilfe
Ich hatte per Mail mit Wavecon Kontakt. Randolf hat das für mich in die Wege geleitet und mir wurde kostenlos Hilfe angeboten. Allerdings wurde dazu ein Zugriff auf die DNS Einstellungen oder ein SSH Zugang benötigt. Mit beidem konnte ich nicht dienen, weil ich keine SSH Zugangsdaten besaß und die DNS Einträge (augenscheinlich) nicht selbst ändern konnte.
Zu der selben Zeit bekam ich außerdem einen Anruf von Denis Perrevoort, Mitarbeiter bei Velia. Er hatte ebenfalls irgendwie von der Geschichte Wind bekommen und mir angeboten, einen eigenen Server für mich einzurichten, der als Proxy für eingehende Anfragen fungiert, damit er die bösartigen Requests ausfiltern konnte (ebenfalls kostenfrei, zum Wohle einer gechillten Party am Abend ;)). Ich schätze, Wavecon hatte eine ähnliche Lösung im Sinn. Nachdem Denis die nötigen Vorbereitungen von der dmexco aus getroffen und mir die entsprechende IP mitgeteilt hat, habe ich erneut beim Support von all-inkl angerufen, damit die für mich die DNS Einstellungen (also den A Record) auf die neue IP setzen. Dort wurde mir dann mitgeteilt, dass ich diese auch selbst ändern könne, wenn ich dies von meinem Haupt-Account aus freischalte. (Ist bei ’nem Hosting-Paket von all-inkl so organisiert, dass es eine „Hauptdomain“ gibt und alle weiteren Domains im gleichen Paket als „Unteraccounts“ dazu eingerichtet werden.) War mir vorher nicht bewusst, nehme ich auch auf meine Kappe, dafür kann der Support nix. Allerdings wäre ein Hinweis in der Konfigurationsoberfläche hilfreich gewesen…
Nach der Änderung des A Records sind langsam die ersten Aufrufe auf dem neuen Server aufgeschlagen und nach ca. einer weiteren Stunde waren meine Webseiten wieder erreichbar. Zeitlich war die ganze Sache zwischen 17 und 18 Uhr über die Bühne gegangen und ich konnte mich endlich auf den Weg nach Köln machen.
MySEOSolution an SEPRs: „We’re going down“
Unterwegs bekam ich die ersten Anrufe, das ich zwischenzeitlich nicht mehr auf Platz 1 in den SERPs war. An sich nicht wirklich verwunderlich, nach knapp 10 Stunden Downtime in den vergangenen 18 Stunden und einer Suchanfrage, die erfahrungsgemäß am letzten Tag noch mal richtig Zuwachs bekommt, wäre Google auch schön dämlich, eine nicht-erreichbares Ergebnis an erster Stelle zu lassen. Mich hätte es auch nicht gewundert, wenn ich komplett aus den SERPs geflogen wäre.
Zu diesem Zeitpunkt lag es allerdings nicht mehr in meiner Hand, da es a) einfach zu spät war, b) ich im Auto unterwegs war und c) die letzten 18 Stunden nicht rückgängig machen konnte. Ich war nochmal kurzfristig für eine kleine Zeitspanne auf der 1 und bin dann dauerhaft (zumindest für den gestrigen Tag) auf die 2 abgerutscht. Diese Platzierung hatte ich mindestens bis 24 Uhr inne, da dort live das Ergebnis ermittelt wurde. Wenn ich Martin’s Artikel glauben schenken darf, war ich ab 1 Uhr nachts wieder auf der 1.
Naja, ihr könnt euch wahrscheinlich vorstellen, dass das insgesamt schon frustrierend ist. Die Sache war eigentlich klar. Die letzten Tage haben ebenfalls deutlich gemacht, dass die Seite sicher auf der 1 Stand und ich bin mir 100%ig sicher, dass das ohne diesen DDoS Mist auch gestern abend der Fall gewesen wäre.
Zusammenfassung
Betrachtet man die Sache nüchtern, lassen sich folgende Fakten festhalten:
- MySEOSolution war wahrscheinlich das Ziel einer Attacke, die mit dem Ziel durchgeführt wurde, den JahresendSEO Contest zu beeinflussen
- Duch die Attacke waren die Webseiten auf dem gleichen Shared Server für eine gewisse Zeit nicht erreichbar. Hello Collateral Damage..
- Meine Webseiten waren insgesamt 10 Stunden nicht erreichbar. Das bedeutet konkret:
- Reputationsverlust
- Keine Möglichkeit, meinen Article Wizard zu kaufen
- kein Support per Mail (da Mail Server ebenfalls nicht erreichbar)
- Fehlermeldungen beim Programmstart durch Nicht-Erreichbarkeit des Update-Scriptes
- Ein Arbeitstag meiner Zeit inklusive die Zeit der Leute, die sich mit meinem Problem befassen mussten
- letztendlich Abrutschen in den SERPs mit der Folge, den Contest nicht zu gewinnen, d.h.:
- kein iPad
- Mood-Dämpfer für den Abend
Ich kann letztendlich nur vermuten, wer in Frage kommt. Im Prinzip tippe ich natürlich auf einen Teilnehmer des Contests, der noch Chancen auf den Sieg hatte. Wenn ich mir die aktuelle Top 10 anschaue ergibt sich dabei folgendes Bild: [[[removed]]] Insgesamt bleiben also 4 „Verdächtige“, wobei ich zur Zeit zu keinem etwas genaueres sagen kann und auch niemanden zu Unrecht unterstellen will, für die Aktion verantwortlich zu sein. Da ich bereits mehrfach darauf angesprochen wurde, an dieser Stelle nochmal deutlich: Ich unterstelle keiner der oben aufgeführten Domains (bzw. deren Inhabern) für die Attacke verantwortlich zu sein, da ich keine konkreten Beweise dafür habe und nichts von grundlosen Anschuldigungen halte. Dass ich die Vermutung an sich aber in Betracht ziehe, dürfte allerdings nachvollziehbar sein. Hoffe das macht die Sache etwas klarer 🙂
An dieser Stelle möchte ich mich außerdem nochmal bei den Jungs von Wavecon und Velia bedanken. Kostenlose Hilfe und kompetentes und schnelles Handeln , besser geht’s eigentlich nicht. Das die letztendliche Lösung von Velia kam, hängt einfach damit zusammen, dass ich mit Denis den direkten Kontakt per Telefon hatte und man dadurch einfach schneller und genauer klären konnte, welche Schritte unternommen werden mussten. Hätte ich die Sache mit dem A Record früher gewusst, hätte Wavecon das wahrscheinlich ähnlich schnell geregelt. An dieser Stelle also nochmal ein fettes thx an beide, sollte ich nochmal in eine solche Situation kommen oder davon mitbekommen, werde ich euch weiterempfehlen 😉
Ich wollte eigentlich auch noch ein Resümee aus SEO Sicht ziehen, aber das wird mit grad etwas viel. Ich hoffe ich komme morgen dazu, weil ich natürlich wieder einige interessante Erkenntnisse gewinnen konnte und auch eigentlich nicht vorenthalten will, wie ich bei dem Contest vorgegangen bin um letztendlich mit drei Seiten in den Top 10 zu landen.
Da bin ich mal auf deine Erkenntnisse gespannt. Auch wenn du kein neues iPad hast, so hast du zumindest fürs Leben dazugelernt. 😉
Das ist ja extrem blöd gelaufen. Als ich meinen Artikel geschrieben habe, bin ich ja irrigerweise davon ausgegangen, dass der Contest noch 20 Stunden läuft. Ich habe daher weder etwas per Screenshot dokumentiert, noch könnte ich es jetzt beschwören. Aber es war mit aufgefallen, dass „bierausgeben“ vorne lag, als ich im eingeloggten Zustand geschaut habe. Im nicht-eingeloggten Zustand habe ich Dich vorne gesehen (so zwischen Mitternacht und 01 Uhr).
Hoffentlich bekommst Du irgendwie heraus, wer dahinter steckt. Aber andererseits: ärger Dich nicht zu sehr. Du hast ja allen gezeigt, dass Du es kannst und eine sehr effektive Methode hast.
Weiterhin viel Erfolg.
Hallo Pascal,
ich habe den Seo Contest mit grosser Spannung verfolgt. Deine Mutmaßung, dass ein Teilnehmer seine Siegchancen steigern wollte, ist absolut nachvollziehbar. Nur weil Du vier der Top 10 nicht persönlich kennst, alle anderen die Du kennst automatisch auszuschließen halte ich für grenzwertig.
Was da gelaufen ist, ist sicherlich eine Schweinerei und unsportlich. Aber so lange nicht klar ist, wer es war, finde ich es nicht in Ordnung, Nachplatzierte in kollektive Sippenhaft zu bringen.
Gruss
JR
Hallo Jan,
das war auch nicht meine Absicht, deshalb habe ich explizit beschrieben, dass ich niemanden zu Unrecht beschuldigen will.
Ich kann natürlich nicht ausschließen, dass die Attacke nicht doch von jemand anderem durchgeführt wurde. Sorry, falls das nicht klar war.
Wer mit den großen Hunden pinkeln will, der muss auch lernen das Bein zu heben.
@Kommentar 2: die „effektive Methode“ is just spam.
@realseo
Man braucht schon ordentlich balls um so eine Meinung anonym im Internet zu vertreten. You won all my internets.
Du siehst das alles aus einer sehr fraglichen Opferperspektive.
Klar, DDOS ist immer doof, aber: darauf hat man als Profi zu reagieren.
> Meine Webseiten waren insgesamt 10 Stunden nicht erreichbar. Das bedeutet konkret:
> Reputationsverlust
Zu Recht: Du hostest in irgendeinem Webhosting-Produkt für Amateure.
Merke: wenn man professionell arbeiten will, sollte man keine Produkte buchen, die für Privatnutzer oder „Business Homepages“ gedacht sind.
Dir ist schon klar, dass die Aussage lächerlich ist? Klopf doch mal bei Mastercard an und sag denen, dass sie sich auf Attacke von Anonymous hätten besser vorbereiten sollen. Will sagen: Man betreibt eine Webseite so, dass sie wirtschaftlich läuft und es macht keinen Sinn sich gegen sämtliche Eventualitäten abzusichern. Dann kann ich gleich zu einem Anbieter für professionelle Services in dem Bereich wechseln, dann krieg ich für einen läppischen mittleren dreistelligen Betrag pro Monat noch gleich nen redundanten Server dazu.
Unsportlich ist das auf jeden Fall, da muss man gar nicht lang resümieren – ich hab Dich auch auf 1 gesehen (und das iPad in der Hand ;)).
Aber: Neben der üblichen Topfguckerei ließen sich so mal live in nem hartumkämpfen Bereich die DDoS Folgen bei G mal sehr gut beobachten :(.
Das ist krass, hatte auch am Mittwoch noch geschaut da warst du auf Platz 1, und so oft ändert Google das Ranking/den Index ja nicht. Aber das dann Konkurrenten gleich zu illegalen Mitteln greifen, hätte ich mir nicht ausmalen können. Hoffe das deine Seiten keinen dauerhaften Schaden genommen haben und das der Verantwortliche dir irgendwann mal über den Weg laufen mag 🙂
Kaum zu glauben was da passiert ist, bei einem Wettbewerb mit solchen Methoden zu arbeiten, das ist schon sehr traurig.
Ich finde es schade das es so ausgegangen ist, denn du hättest es ja echt verdient. Ich meine du engagierst dich ja wenigstens für die Community, das kann man von so manchem anderen nicht behaupten.
Pascal mach weiter so, ich hoffe du lässt dich von der ganzen Nummer nicht von der weiteren Teilnahme an den nächsten SEO-Contests abhalten und vorallem hoffe ich, dass dieses Verhalten jetzt nich bei den nächsten Contests zum Regelfall wird.
Teil 2 steht noch aus 😉
Ich hoffe, du hast die miese ddos Aktion auch mental überstanden.
Hätte die Attacke etwas später gestartet dann wärst du gar nicht mehr in der Lage gewesen was zu ändern oder?
Richtig, kommt noch. Bin grad am umziehen, deshalb etwas im Stress.
Wenn die Attacke später gestartet wäre, wäre vielleicht gar nichts an den Rankings passiert.. Und ja, ich bin auch „mental“ noch auf der Höhe 😉 War ja wirklich eine zeitlich begrenzte Attacke und kein dauerhafter Angriff.
Freue mich auch schon auf Teil 2 mit deinen Anstzen, zum inofiziellen Gewinner 🙂
Müsste nicht All-Inkl bei einem Shared Server selber tätig werden?
Schliesslich sind da ja noch andere Kundn betroffen, und als grosser Hoster müsste man doch selbst Kontakte zu solchen „Abwehrfirmen“ haben, oder?
Tim
@Tim
Jo, sie wurden ja tätig, in dem ich auf nen eigenen Server umgezogen wurde..
Ehrlich gesagt finde ich das Ganze sehr schockierend. Zwar ist die SEO Branche kein Streichselzoo in dem sich alle lieb haben, aber derartige Auswüchse sind einfach indiskutabel.
Vor allem wofür? Nur weil Dir jemand keine 15 minutes of fame und ein iPad gönnt begeht er eine Straftat? Auch wenn ich den Verursacher nicht nur im Kreise der anderen Teilnehmer suchen würde, schlimm genug, daß Neid solche Auswüchse annehmen kann.
Seltsam, dass deine Seiten auch gestern oftmals nicht erreichbar waren. Wo war denn da das Problem?
Ich wurde in der Nacht zum 21.09 auf einen eigenen manged Server umgezogen, das allerdings nur temporär. Seitdem stell ich aber für all-inkl „ein zu großes Risiko“ für andere Leute auf nem normalen shared Server da, deswegen hatte ich die Wahl zwischen dem dauerhaften Umzug oder „[…] wird verschieben Ihren Account auf einen speziellen Server, auf welchen andere Kunden hosten, die in der Vergangenheit bereits eine übermäßige Last verursacht haben.“. Da der Kostenunterschied bei knapp 100 Euro im Monat liegt, hab ich vorerst Variante 2 gewählt, weil ich erstmal schaun wollte, wie schlimm es wirklich ist. Das war innerhalb der letzte 3 Tage passiert, allerdings war der Traffic da generell ziemlich niedrig (denk mal wegen langem Wochenende) und gestern gings dann das erste mal richtig los. Hab daraufhin bei allen Seiten ein Cache-Plugins installiert und meine Datenbanken aufgeräumt, seit dem gehts wieder etwas besser. Beobachte das jetzt ein-zwei Wochen und falls das nochmal auftritt, werd ich wohl zum manged Server wechseln.