DDoS Attack von Illusion Botnetz ?

XxGabbah@dxX · #1 27.01.2009, 03:25

Seit Samstag Abend bekommt unser Server eine DDoS Attack. Nach ein wenig Recherche, habe ich die Vermutung, das es mit dem Tool/Malware Illusion oder einem ähnlichen Tool gemacht wird.

Hierbei wird eine typische Abfolge von Anfragen auf Standart Dateien und Ordner geschickt, die natürlich auch alle Fake User-Agent benutzen. Seltsam ist nur, das die ersten IP´s fast alle aus den Niederlande kommen. Illusion aber Malware ist, welche sich auf fremden Rechner installiert und die infizierten Rechner an ein BotNetz anschliesst.

Leider war es mir bisher noch nicht möglich mit meinem Hoster in Kontakt zu tretten und werde ohne seine Hilfe wahrscheinlich auch erstmal nix weiter tun können ausser warten und hoffen das sich das BotNetz ein anderes Opfer aussucht.

Dennoch würde ich mich über ein paar Informationen freuen und vielleicht auch ein paar Ratschläge.

Hier mal ein Auszug aus dem Log, als die DDoS Attacke angefangen hat. Mittlerweile ist die Log File auf Stolze 1.3 GB angewachsen. ^^

Zitat:

82.75.241.131 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/qwerty.php HTTP/1.1" 404 316 "-" "Mozilla/4.0 compatible ZyBorg/1.0 (wn.zyborg@looksmart.net; http://www.lolyousuck.com)"
80.56.128.187 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/cgi-bin/index2.pl HTTP/1.1" 404 323 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Avast Browser [avastye.com]; .NET CLR 1.1.4322)"
82.75.241.131 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/1.php HTTP/1.1" 404 311 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.5a) Gecko/20030728 Mozilla Firebird/0.6.1"
82.75.241.131 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/test.php HTTP/1.1" 404 314 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Avast Browser [avastye.com]; .NET CLR 1.1.4322)"
24.230.178.113 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/index.htm HTTP/1.1" 404 315 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; FunWebProducts-MyWay; (R1 1.3); .NET CLR 1.1.4322)"
82.75.241.131 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/list.php HTTP/1.1" 404 314 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.5a) Gecko/20030728 Mozilla Firebird/0.6.1"
195.240.229.129 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/index2.php HTTP/1.1" 404 316 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
81.206.188.132 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/db.php HTTP/1.1" 404 312 "-" ""
24.230.178.113 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/index.htm HTTP/1.1" 404 315 "-" "Mozilla/4.75 [en]"
71.40.148.74 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/index.htm HTTP/1.1" 404 315 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; ODI3 Navigator)"
195.240.229.129 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/left.php HTTP/1.1" 404 314 "-" "Googlebot/2.1 (+http://www.googlebawt.com/bot.html)"
93.125.169.171 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/phpBB2/ HTTP/1.1" 404 313 "-" "Mozilla/5.0 (Slurp/si; slurp@inktomi.com; http://www.inktomi.com/slurp.html)"
93.125.169.171 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/chat/ HTTP/1.1" 404 311 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Avast Browser [avastye.com]; .NET CLR 1.1.4322)"
93.125.169.171 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/index2.php HTTP/1.1" 404 316 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.5a) Gecko/20030718"
77.194.204.188 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/cgi-bin/index.pl HTTP/1.1" 404 322 "-" "FAST-WebCrawler/3.8 (atw-crawler at fast dot no; http://i.love.teh.cock/support/crawler.asp)"
83.84.21.220 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/index.php3 HTTP/1.1" 404 316 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.5a) Gecko/20030728 Mozilla Firebird/0.6.1"
83.84.21.220 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/game.php HTTP/1.1" 404 314 "-" "Mozilla/5.0 (Slurp/si; slurp@inktomi.com; http://www.inktomi.com/slurp.html)"
77.194.204.188 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/list.php HTTP/1.1" 404 314 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Avast Browser [avastye.com]; .NET CLR 1.1.4322)"
81.49.228.17 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/index.dhtml HTTP/1.1" 404 317 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.5a) Gecko/20030728 Mozilla Firebird/0.6.1"
81.49.228.17 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/game.php HTTP/1.1" 404 314 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; FunWebProducts-MyWay; (R1 1.3); .NET CLR 1.1.4322)"
83.84.21.220 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/list.php HTTP/1.1" 404 314 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; ODI3 Navigator)"
91.85.187.176 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/index.cgi HTTP/1.1" 404 315 "-" "Mozilla/5.0 (Slurp/cat; vaginamook@inktomi.com; http://www.supercocklol.com/slurp.html)"
81.49.228.17 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/index2.php HTTP/1.1" 404 316 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; FunWebProducts-MyWay; (R1 1.3); .NET CLR 1.1.4322)"
93.125.169.171 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/index2.php HTTP/1.1" 404 316 "-" "Mozilla/5.0 (Slurp/cat; vaginamook@inktomi.com; http://www.supercocklol.com/slurp.html)"
96.51.207.39 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/footer.php HTTP/1.1" 404 316 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 1.0.3705)"
93.125.169.171 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/index2.php HTTP/1.1" 404 316 "-" "Mozilla/4.75 [en]"
85.150.252.95 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/index.php3 HTTP/1.1" 404 316 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Q312461)"
85.150.252.95 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/cgi-bin/index.pl HTTP/1.1" 404 322 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
81.49.228.17 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/index.cgi HTTP/1.1" 404 315 "-" ""
81.49.228.17 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/footer.php HTTP/1.1" 404 316 "-" "Lynx/2.8.4rel.1 libwww-FM/2.14 SSL-MM/1.4.1 GNUTLS/0.8.6"
85.150.252.95 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/1.php HTTP/1.1" 404 311 "-" "Mozilla/5.0 (Slurp/cat; vaginamook@inktomi.com; http://www.supercocklol.com/slurp.html)"
85.150.252.95 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/list.php HTTP/1.1" 404 314 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.5a) Gecko/20030718"
86.88.55.244 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/bottom.php HTTP/1.1" 404 316 "-" "Googlebot/2.1 (+http://www.googlebawt.com/bot.html)"
91.85.187.176 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/index.dhtml HTTP/1.1" 404 317 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Q312461)"
85.150.252.95 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/db.php HTTP/1.1" 404 312 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.5) Gecko/20031007"
195.240.229.129 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/index.pl HTTP/1.1" 404 314 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.5a) Gecko/20030718"
85.28.127.43 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/index.php3 HTTP/1.1" 404 316 "-" "Lynx/2.8.4rel.1 libwww-FM/2.14 SSL-MM/1.4.1 GNUTLS/0.8.6"
195.240.229.129 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/db.php HTTP/1.1" 404 312 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Avast Browser [avastye.com]; .NET CLR 1.1.4322)"
195.240.229.129 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/chat/ HTTP/1.1" 404 311 "-" "Googlebot/2.1 (+http://www.googlebawt.com/bot.html)"
195.240.229.129 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/chat/ HTTP/1.1" 404 311 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
85.150.252.95 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/config.php HTTP/1.1" 404 316 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.5a) Gecko/20030728 Mozilla Firebird/0.6.1"
78.27.63.242 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/old.php HTTP/1.1" 404 313 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Q312461)"
80.56.155.75 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/forum/ HTTP/1.1" 200 288746 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.5) Gecko/20031007"
85.150.252.95 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/old.php HTTP/1.1" 404 313 "-" "Mozilla/4.75 [en]"
85.150.252.95 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/index.php3 HTTP/1.1" 404 316 "-" ""
85.150.252.95 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de/db.php HTTP/1.1" 404 312 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.5) Gecko/20031007"
85.150.252.95 - - [24/Jan/2009:22:32:22 +0100] "GET http://meine-Domain.de//~/~/~/~/~/ HTTP/1.1" 404 317 "-" "Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)"

djrick · #2 27.01.2009, 08:43

Hallo,

Zur Abwehr von DDos Attaken kannst du: mod_security oder mod_evasive einsetzen, das sollte dem ganzen ziemlich schnell Abhilfe schaffen.

XxGabbah@dxX · #3 27.01.2009, 16:33

Bei 8Mbit und 1000 Anfragen pro Sec. soll das aber nicht wirklich viel bringen oder ?

Mordor · #4 27.01.2009, 22:04

Anderer Ansatz:
Weißt du ob das viele verschiedene Adressen sind, oder ob es immer wieder die 20 gleichen sind?
Denn wenn es immer wieder die gleichen sind, könnte man sie via IpTables blocken.

mod_security und mod_evasiv kann da schon helfen. Denn es besteht ja die Möglichkeit, dass die Bots auch aufhören, wenn sie keine vernünftige Verbindung mehr implementieren können.

djrick · #5 27.01.2009, 23:25

Zitat:

Zitat von Mordor

mod_security und mod_evasiv kann da schon helfen. Denn es besteht ja die Möglichkeit, dass die Bots auch aufhören, wenn sie keine vernünftige Verbindung mehr implementieren können.

...und mod_evasive könnte man zum Beispiel beibringen die Spamer per iptables gleich zu blocken

MadimaC · #6 07.02.2009, 11:19

Ich hatte auch solche Probleme und hatte nie eine richtige lösung gefunden, Wie kann man gegen so was mit iptables Blokieren.

MFG

#7 07.02.2009, 13:39

Evtl könnte (D)DoS-Deflate auch noch helfen.

d4f · #8 07.02.2009, 14:22

Um ohne das Risiko von false-positives eine DDoS EINZUSCHRÄNKEN (!!!nicht eliminieren!!!) kannst du auch die Anzahl an Verbindungen je IP in der Iptables limitieren
http://serversupportforum.de/forum/d...tml#post158225

Jakarta · #9 12.03.2009, 15:44

Wir haben dafür einen Script erstellt, der jede Sekunde über netstat alle Connections ermittelt und IPs mit den meisten Connections automatisch über iptables blockiert. Das ist sehr effektiv bei den meisten DDoS angriffen.

Es gibt zwei nachteile:
- Manchmal werden unschuldige IPs blockiert (suchmaschinen IPs muss man natürlich in exceptionlist hinzufügen)
- Das hinft bei sehr großen angriffen nicht, da ab ca 150000 IPs die iptables nicht mehr effektiv arbeitet und System CPU usage deutlich steigt.

NeoXx · #10 12.03.2009, 18:55

Hey,
hab wegen sowas hier auch schonmal geschreiben.
Da ist sowas wie SnortSam bei rumgekommen, was super helfen kann. Ich hatte nur immer zuviel respekt von den IpTables um das mal richtig aus zu probieren.

k36 · #11 17.03.2009, 23:49

Ich schließe mich dem Thread mal an... Habe auch ein DDOS-Problem das anscheinend vom Illusion-Bot kommt. Der Angriff ist nicht so arg stark, wenn ich zufällig am Rechner sitze kann ich die IPs manuell über IPtables droppen. Ist halt keine Lösung auf dauer. Hab einiges ausprobiert, mod_evasive kommt leider nicht damit zu recht. Hoffnungsvoller scheint diese IPtables-Kette zu sein:

Code:

iptables -N DDOS_CHECK    

iptables -I INPUT -p tcp --dport 80 --syn -j DDOS_CHECK     
 
iptables -A DDOS_CHECK -m hashlimit --hashlimit 60/sec --hashlimit-burst 30 --hashlimit-mode srcip --hashlimit-name apache_DDOS --hashlimit-htable-expire 30000 --hashlimit-htable-max 65535 -j ACCEPT    

iptables -A DDOS_CHECK -j LOG --log-level 4 --log-prefix DDOS --log-tcp-sequence --log-tcp-options  

iptables -A DDOS_CHECK -j DROP

Im syslog werden die "Bad Ips" auch geloggt, aber der letzte Schritt, nämlich

Code:

iptables -A DDOS_CHECK -j DROP

funktioniert anscheinend nicht. Ich komm leider nicht drauf wo's hakt, hat jemand 'nen guten Tip für mich?