Translation-Search-Machine: Chronologie eines Amoklaufs

Montag, 12 Januar 2009 20:25 MET

Thema:
Kommunikation  
Stichworte:
,  
 
Maske einer Teufelsfratze
Translation-Search-Machine: Chronologie eines Amoklaufs [hyperkontext | Weblog]

Über die Weihnachtsfeiertage lief die Suchmaschine TSM (Translation Search Machine) auf der Domain hyperkontext.at Amok. Das Programm verursachte in wenigen Tagen 3,8 Gigabyte Traffic und 166425 Anfragen.

Eine E-Mail an den Betreiber des Crawler bleibt bis jetzt (2009-01-12) unbeantwortet. Mit offensiver Aufklärung und Information könnte da so manches von vornherein erklärt und ein schaler Nachgeschmack vermieden werden.

Über die Weihnachtsfeiertage lief die Suchmaschine TSM (Translation Search Machine) auf der Domain hyperkontext.at regelrecht Amok.

Allein vom 25.12 von 17:55 Uhr bis inklusive 27.12. verursacht der Crawler 2,6 GB (Gigabyte) Traffic und traktiert den Server durchgehend in Form von 95653 sinnlosen Anfragen mit bunt zusammengesetzten URIs, die aus Zeichenvariationen gefundener Namen bestehen. Beispiel: /weblog/ar/P/emp/htsten_zeitunge/thema/htm/iu/P48.

Zur Relation: Der gesamte Dezember erzeugte ohne diesen Wahnsinn – aber mit Suchmaschinen inkludiert – 717MB Traffic und rund 30000 Seitenzugriffe (Page Impressions). Oder andersrum: Der Crawler erzeugte in ein paar Tagen etwas mehr als fünf Mal soviel Traffic und Seitenzugriffe wie alle anderen im Dezember zusammen.

Chronologie

  1. Am 29.12. wurde ich auf die Menge dieser Anfragen aufmerksam. Die automatische Drosselung verhinderte offenbar noch größeren Unfug, die Aussperrzeit war aber mit zehn Minuten doch etwas zu lasch eingestellt. Da an diesem Tag keine Zugriffe stattfanden, erhöhte ich bloß die Aussperrzeit solcher Anfragen und unternahm nichts weiter.
  2. Am 30.12. erregten neuerliche Zugriffe dieses Crawlers meine Aufmerksamkeit und ich begann die Sache genauer zu analysieren. Ich ließ das Programm aber agieren um Muster und Reaktionen erkennen zu können.
  3. Am 31.12. lief das Ding mit einer Laufzeit von fast 23 Stunden wieder einer Höchstform entgegen. An diesem Tag hatte ich verständlicherweise aber noch anderes vor, wollte aber wissen, ob es tatsächlich 24 Stunden Amok laufen würden.
  4. Am 1.1. um die Mittagszeit hatte es seinen Amoklauf aber noch immer nicht beendet. Um cirka 16 Uhr setzte ich diesem Treiben ein Ende und bediene den digitalen Berserker seither mit einer 403-Fehlermeldung.
  5. Die Zugriffsversuche hielten anschließend in unverminderter Geschwindigkeit und Intensität an.
  6. Knapp vor 19 Uhr unterrichtete ich den Betreiber per E-Mail über den (sinnlosen) Amoklauf seines digitalen Vasallen.
  7. Um 20:51 endeten die Anfragen. Seitdem gab es bis einschließlich 11.1. nur mehr am 3.1.2009 genau zwei versuchte Zugriffe.
Zugriffe auf hyperkontext.at von Translation Search Machine
  verursachte Bandbreite Seiten-Zugriffe Dauer in Std:Min
2008-12-14 111 Megabyte 4.574 2:54
2008-12-15 20,5 Megabyte 664 0:20
2008-12-22 161 Megabyte 6.630 1:48
2008-12-24 173 Megabyte 5.908 6:37
2008-12-25 308 Megabyte 10.003 6:04
2008-12-26 1,4 Gigabyte 49.216 24:00
2008-12-27 1,1 Gigabyte 36.434 22:58
2008-12-28 64,7 Megabyte 2.064 09:29
2008-12-30 97,2 Megabyte 3.807 02:08
2008-12-31 328,5 Megabyte 12.060 22:52
2009-01-01 120,6 Megabyte 35.083 15:41
Gesamt 3,88 Gigabyte 166.425 4 Tage, 18 Stunden, 54 Minuten

Prävention gegen digitale Berserker

Das Problem mit durchgedrehter oder gehackter Software ist, dass dies – abgesehen von eventueller Überlastung auf Shared-ServernSite-Betreiberinnen unter Umständen einiges an zusätzlichen Kosten für erzeugte Bandbreite verursachen kann.

Das könnte ganz schön teuer werden!

Nehmen wir an, Sie sehen nicht auf die Bandbreite oder sind als Betreiber einer Site technisch kaum versiert und haben ein ganz kleines Shared-Hosting-Paket gemietet:

Wenn der durchgeknallte Crawler der TSM Translation Search Machine nun unbemerkt ein ganzes Monat in der Form wütet wie bei mir in ein paar Tagen, verursacht der gut und gerne damit 30GB Traffic. Sie haben aber auf Ihrem kleinen Hosting Paket eventuell nur 10 oder 20 GB freie Bandbreite. Darüberhinaus zahlen Sie für jede angefangenen 100MB zusätzlich.

Bei einigen Hostern werden Sie über das Überschreiten des Traffic-Limits auch nicht informiert oder ihre Domain wird in der Mitte des Monats plötzlich wegen Bandbreiten-Überschreitung gesperrt.

Nicht mehr ran lassen

Falls Sie also auf Nummer-Sicher gehen wollen, können Sie den User-Agent oder/und die IP-Adresse dieser Suchmaschine auf eine vielleicht sowieso schon vorhandene Liste setzen, die zweifelhafte Programme gar nicht erst an irgendeine Seite ranlässt und eine Fehlermeldung ausgibt (beim Apache-Server zum Beispiel mit der Datei .htaccess – siehe Ende des Beitrages).

Gängige Identifikation der TSM Translation Search Machine

User-Agent Kennung:
TSM Translation-Search-Machine (www.ttn.ch)
IP-Adressen
194.209.25.104
194.209.25.134
194.209.25.3

Weitere Informationen zu diesem Programm

  • Das Projekt nennt sich Tele-Translator-Network und wird von einer Firma Extran Ltd. (seit 1988 in der Schweiz registriert) in Genf betrieben.
  • Eigentümer ist ein gewisser Martin Bächtold.
  • Das Projekt genießt – nach meinen oberflächlichen Recherchen – in Übersetzerkreisen offenbar seriöses Ansehen.
  • Die Translation Search Machine wird von vielen Übersetzern verlinkt.
  • Angeblich hat das Ding weltweit schon 80% der verfügbaren Seiten in unzählige Sprachen übersetzt … naja.
  • Soweit ich verstanden habe, wird die Software auch als Programm verkauft.

Ansonsten finden sich sehr wenige Hintergrundinformationen zu dem Programm oder die Firma.

Schweigen nach dem Amok

Es bleibt also nun die Frage nach den Ursachen dieses virtuellen Amoklaufes. Eine E-Mail an den Betreiber des Crawler bleibt bis jetzt (2009-01-12) unbeantwortet.

Mit offensiver Aufklärung und Information könnte da so manches von vornherein erklärt und ein schaler Nachgeschmack vermieden werden.

Ich frage mich immer bei solch schweigsamen Verhaltensweisen, warum Verantwortliche sich nicht bewusst sind, dass sie damit auch vielleicht ungerechtfertigten Spekulationen Tür und Tor öffnen.

Spekulationen (sind keine Beschuldigungen)

  1. Der Crawler könnte von Dritten gehackt worden sein und wird zum Aufspüren von Schwachstellen eines Servers verwendet. (Manche, die sich die Site des Tele-Translator-Network ansehen, werden die Wahrscheinlichkeit dieser Vermutung einordnen können.) Der Betreiber hat es vielleicht bemerkt (und wurde zumindest auch von mir informiert) aber will diesen Umstand verschweigen.
  2. Ein Programmierer des Betreibers tüftelt an der Software herum und hat über Weihnachten eine (fehlgeschlagene) Alpha-Version in die digitalen Weiten geschickt. Oder sich meine Domain per Zufall als Versuchskaninchen ausgesucht.
  3. Den Crawler gibt es zwar schon ein paar Jährchen und war mir schon vorher bekannt, aber ein latenter Bug in der Software wurde durch was-auch-immer auf meiner Domain irgendwie akut und ließ das Ding plötzlich Amok laufen.
  4. Auffällig ist, dass
    1. vor allem die Marathon-Traktierungen über Weihnachten (52 Stunden durchgehend) stattgefunden haben. Wenn ich also die Absicht verfolge so lange als möglich unbemerkt zu bleiben, gibt es keine günstigeren Tage als den 25. und 26.12. beziehungsweise Silvester und Neujahr.
    2. nach meiner manuellen Zugangssperre des Programms am 1.1.2009 um cirka 16 Uhr der Crawler noch stundenlang in unverminderter Geschwindigkeit Anfragen absetzte, obwohl er permanent nur mehr mit einer 403-Fehlermeldung bedient wurde. Nach Absetzen meiner E-Mail um 18:46 Uhr an den Betreiber wurden um 20:51 Uhr die Zugriffe aber komplett eingestellt. Danach gab es nur mehr am 3.1.2009 zwei kurze Requests und das Programm greift bis dato (2009-01-11) nicht mehr auf meine Domain zu.

Bei all diesen Spekulationen ist es natürlich sehr unwahrscheinlich, dass nur die Domain hyperkontext.at betroffen war (ist). Ansonsten müsste ich die Sache ja fast persönlich nehmen.

Wenn also jemand auch von der Amok laufenden Translation Search Machine heimgesucht wurde (wird), wären Informationen hierzu sehr aufschlussreich.

Nicht kommunizieren ist auch Kommunikation und hat Bedeutung.

Hinweisen möchte ich noch einmal auf die bisher fehlende Information des Betreibers und meine unbeantwortete E-Mail vom 1. Januar 2009, in der ich über die Vorgänge und die Aussperrung des Programmes informierte, zur Aufklärung aufforderte und einen Blog-Beitrag darüber ankündigte.

Aufgrund dieser fehlenden Erklärung sollte es den Betreiber nicht verwundern, wenn ich empfehle, sein vielleicht durchaus nützliches Programm auf die schwarze Liste zu setzen und einige Spekulationen über Gebarung und Verwendung anstelle.

Abschnitt 1 von 1

Verweise zum Thema

Externe Verweise dieses Artikels wurden zuletzt am 12. Januar 2009 auf Relevanz geprüft.

Datum:
veröffentlicht am 12 Januar 2009, 20:25 MET.
Artikel:
Translation-Search-Machine: Chronologie eines Amoklaufs [hyperkontext | Weblog]
(twittern)
Kurz-URL:
http://hyperkontext.at/s/183
Thema:
Kommunikation 
Stichworte:
,  
Dieser Eintrag kann nicht mehr kommentiert werden.

Mögliche themenverwandte Artikel aus dem Weblog

Blättern (chronologisch)

« neuerer Artikel
Open-Books: Kostenlos Bücher im Web lesen
älterer Artikel »
Dezember 2008 im Kontext