Praxis & Anwendung

Ein ganz normaler Tag — was auf einen kleinen Server im Internet einprasselt

103.418 gescheiterte Zugriffsversuche, 23.203 gebannte IPs. Alltag.

Ein Monitoring-Report eines kleinen Webservers zeigt, was im Internet Normalzustand ist. Wer das nicht selbst gesehen hat glaubt es kaum — nackten Zahlen, die für sich sprechen.

Der Server

Ein Hetzner VPS mit 4 GB RAM. Darauf läuft ein Kirby CMS — eine kleine Website, die Bais von qzen.ch, keine Kundendaten, keine Kreditkartendaten, eigentlich kein lohnendes Ziel. Der Server steht seit 9 Tagen im Netz.

Der Report

Das folgende ist der automatische Monitoring-Report vom 15. März 2026, 23:00 Uhr. Ungekürzt, unkommentiert.

Schutzstatus (Fail2ban)

  • Gescheiterte Zugriffsversuche gesamt: 103.418
  • Gebannte IPs gesamt: 23.203
  • Letzte 24 Stunden: 650 gescheiterte Versuche, 127 gebannte IPs
  • Einzigartige Angreifer-IPs: 200
  • Davon hartnäckig (mehr als 1 Versuch): 163
  • Aktuell gebannt: 128 IPs
  • Schutzwirkung: 77,9%

Angriffsaktivität

  • 6 IPs mit über 100 Anfragen (DoS-Muster)
  • 57 IPs zielen gezielt auf Admin-Bereiche

Die aktivsten Angreifer auf Admin-Bereiche:

IP Versuche
20.203.144.43 368
20.151.11.236 185
158.158.99.19 177
4.194.131.131 60
172.64.213.173 43

Systemzustand

  • CPU-Last: 0,4% — der Server langweilt sich
  • RAM-Nutzung: 44,9%
  • Festplatte: 47% (9 GB von 20 GB)
  • Durchschnittliche Antwortzeit: 0,01 ms
  • PHP-Version: 8.4.12

Nginx-Anfragen (24h)

  • Gesamt: 3.660 Requests
  • Davon HTTP 200 (erfolgreich): 109
  • Davon HTTP 301 (Weiterleitung): 2.551
  • Davon HTTP 404 (nicht gefunden): 928
  • Davon HTTP 400 (ungültig): 70

Was das bedeutet

Von 3.660 Anfragen an diesem Tag waren 109 echte Seitenaufrufe. Der Rest: Bots, Scanner, automatisierte Angriffsversuche. Das Verhältnis: 3% echte Besucher, 97% Rauschen.

Der Server hat davon nichts gemerkt. CPU bei 0,4%, Antwortzeit unter einer Millisekunde. Fail2ban und Nginx erledigen den Rest — die strengen Türwächter, die ohne Gnade nur die reinlassen die da auch wirklich was zu suchen haben.

Das ist kein Ausnahmezustand. Das ist ein normaler Dienstagabend.

Monitoring-Report generiert vom Kirby CMS Server Monitoring System v2.1. Server: Hetzner CX23, Ubuntu 24.04, online seit 9 Tagen.