Ein "man iptables" nennst du Hilfe?
Ich bin mir sicher das hier im Forum auch genug Mitglieder unterwegs sind die richtige Hilfe bieten können.
MfG
Abuse-Meldung
- Thread starter NRG21
- Start date
Ich bin mir sicher das hier im Forum auch genug Mitglieder unterwegs sind die richtige Hilfe bieten können.
MfG
Man kann auch mal selber einen Befehl nachschauen. Wie man Connections limitiert steht meiner Meinung nach recht gut beschrieben. Notfalls auch google.
Wenn ich mir jeden Befehl hier sagen lassen würde den ich brauch dann gut Nacht
Auf meine Fragen mit netstat sowie SSH KeyLogin bist du nicht eingegangen. Und ich bin sicher, der rkhunter kommt vom System direkt, nicht aus dem Rescue.
Wenn ich mir jeden Befehl hier sagen lassen würde den ich brauch dann gut Nacht
Auf meine Fragen mit netstat sowie SSH KeyLogin bist du nicht eingegangen. Und ich bin sicher, der rkhunter kommt vom System direkt, nicht aus dem Rescue.
Last edited by a moderator:
Ob ich Keys oder Passwörter für SSH nutze spielt für den Thread hier überhaupt keine Rolle. Wenn ich mich irre kannst du mich gerne verbessern.
netstat:
netstat:
HTML:
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 0.0.0.0:xxx(SSH PORT) 0.0.0.0:* LISTEN 0 5939424 4299/sshd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 0 75300801 11016/exim4
tcp 0 0 xxx.xxx.xxx.xxx:27100 0.0.0.0:* LISTEN 1001 84264538 13809/srcds_linux
tcp 0 0 xxx.xxx.xxx.xxx:27200 0.0.0.0:* LISTEN 1001 84265026 13837/srcds_linux
tcp 0 0 xxx.xxx.xxx.xxx:27015 0.0.0.0:* LISTEN 1001 84522434 13896/srcds_linux
udp 0 0 xxx.xxx.xxx.xxx:27200 0.0.0.0:* 1001 84265023 13837/srcds_linux
udp 0 0 xxx.xxx.xxx.xxx:27100 0.0.0.0:* 1001 84264535 13809/srcds_linux
udp 0 0 xxx.xxx.xxx.xxx:123 0.0.0.0:* 0 4752 1311/ntpd
udp 0 0 127.0.0.1:123 0.0.0.0:* 0 4751 1311/ntpd
udp 0 0 0.0.0.0:123 0.0.0.0:* 0 4726 1311/ntpd
udp 0 0 xxx.xxx.xxx.xxx:27005 0.0.0.0:* 1001 84522432 13896/srcds_linux
udp 0 0 xxx.xxx.xxx.xxx:27006 0.0.0.0:* 1001 84264536 13809/srcds_linux
udp 0 0 xxx.xxx.xxx.xxx:27007 0.0.0.0:* 1001 84265024 13837/srcds_linux
udp 912 0 xxx.xxx.xxx.xxx:27015 0.0.0.0:* 1001 84522431 13896/srcds_linux
udp 0 0 xxx.xxx.xxx.xxx:27020 0.0.0.0:* 1001 84522433 13896/srcds_linux
udp 0 0 xxx.xxx.xxx.xxx:27021 0.0.0.0:* 1001 84264537 13809/srcds_linux
udp 0 0 xxx.xxx.xxx.xxx:27022 0.0.0.0:* 1001 84265025 13837/srcds_linux
udp 0 0 xxx.xxx.xxx.xxx:26901 0.0.0.0:* 1001 84522612 13896/srcds_linux
udp 0 0 xxx.xxx.xxx.xxx:26902 0.0.0.0:* 1001 84264622 13809/srcds_linux
udp 0 0 xxx.xxx.xxx.xxx:26903 0.0.0.0:* 1001 84265157 13837/srcds_linux
Joe User
Zentrum der Macht
FullACK, darauf wies ich ja auch schon mehrfach hin, scheint hier aber Niemanden zu interessieren.
Damit ist genau gar nichts getan, da nicht die ausgehenden Pakete den Trigger bei Hetzner auslösten, sondern die eingehenden Pakete und die werden gezählt bevor sie den Server überhaupt erreichen. Schrieb ich aber auch schonmal...
Da der OP nicht ein einziges Mal auf die Theorie der zwischenmenschlichen Ursache einging, halte ich persönlich diese aus Erfahrung mit anderen Gamern für indirekt bestätigt. Wenn Gamer auf diese mögliche Ursache nichtmal abstreitend eingehen, war sie in meinen >10 Jahren Supporterfahrung bisher immer zutreffend. Bin gespannt...
PS: Ach ja, diejenigen die auf dem Amplifier-Attack-Trip waren/sind, sollten sich mal Gedanken darüber machen, warum Hetzner Hosteurope und/oder deren Kunden wegen den von dort kommenden Paketen kontaktierte und nicht umgekehrt...
Es geht doch genau um die ausgehenden Pakete. Die sind das Problem. Nicht die eingehenden. Mein Server hat auf die ganzen Anfragen geantwortet und somit musste ich bei Hetzner Stellungnahme schreiben. Hätte mein Server nicht auf die Paketflut geantwortet wäre alles gut gewesen. Und genau darum gehts: Die Ausgehenden Pakete limitieren.
Ich kann Dir nicht folgen. Was für eine Theorie? Was für eine zwischenmenschliche Ursache?!
C
cider23
Guest
Ciao!
SSH vernünftig konfiguriert aber PW-Login? Wiederspricht sich doch selber. Nur den Port ändern bringt wenig.
Also nicht nur outbound-Probleme.
Zum Abschluss einen gut gemeinten Ratschlag: Während des Threadlesens hatte ich in manchen Posts das Gefühl, du weisst ein bisschen alles besser und kannst keine anderen Ansätze akzeptieren.
Zum bsp: Man kann (wie glaub schon jemand hier erwähnt hat) nie hundertprozenttig sicher sein, das niemand in den Server eingebrochen ist. Ich empfehle, das Problem an der wurzel zu suchen. Und nicht einfach alles droppen.
Cheers!
Cider
SSH vernünftig konfiguriert aber PW-Login? Wiederspricht sich doch selber. Nur den Port ändern bringt wenig.
Im Post ganz am Anfang sind aber zwei Emails, eines mit einer Inbound und eines mit Outbound attacke.
Also nicht nur outbound-Probleme.
Man hört immer wieder von sogenannten "Clans", welche sich gegenseitig nicht leiden können. Vielleicht pure Absicht?
Zum Abschluss einen gut gemeinten Ratschlag: Während des Threadlesens hatte ich in manchen Posts das Gefühl, du weisst ein bisschen alles besser und kannst keine anderen Ansätze akzeptieren.
Zum bsp: Man kann (wie glaub schon jemand hier erwähnt hat) nie hundertprozenttig sicher sein, das niemand in den Server eingebrochen ist. Ich empfehle, das Problem an der wurzel zu suchen. Und nicht einfach alles droppen.
Irgendwie - sorry @OP - FULL ACK!
Cheers!
Cider
Vielleicht irre ich mich, aber ich denke mal das Incoming Pakete weit aus weniger schlimm sind als Outgoing, da beim Outgoing mein Server jemand anderen Flooden kann. Daher der Denkansatz mit dem Limitieren. Was schlägst Du vor? Schreibe doch mal konkreten Aussagen, was zu tun ist, um den Incoming Paketen entgegenzuwirken. Aus Deinen Posts habe ich noch keinen konkreten Vorschlag rauslesen können.
Clans, die sich gegenseitig nicht leiden können, gibt es immer. Auch gibt es immer Leute, die meinen, andere Server lahmlegen zu müssen mit Angriffen. Das ist aber nicht nur im Gaming-Bereich so, das ist überall so. Ob man ein Forum betreibt oder Gameserver - das kommt aufs gleiche raus. Wo ist da der Unterschied? Auch da gibt es Communitys die sich gegenseitig nicht leiden können.
Besser wissen tu ich definitiv nichts. Die Sache ist: Es gibt hier im Forum viel zu viele Leute, die meinen mit ihren hochnäsigen und eingebildeten Posts einem Helfen zu können (Du bist aber nicht gemeint). Das sieht man ja nicht nur an diesem Thread, das sieht man in einigen Threads.
Ich versuche rauszufinden, was die Ursache des Angriffs ist und wie man dem entgegenwirken kann. Jetzt haben wir einen 4-Seiten-Thread und ich bin genauso schlau wie vorher.
MfG
C
cider23
Guest
Howdy!
Na dann bin ich ja mal beruhigt wenn ich nicht damit gemeint bin.
Schonmal darüber nachgedacht dass man nicht dir schaden will sondern jemand anderem über dich? Bzw weist du was eine AmplifierAttack ist und wieso sie funktioniert?
Cheers
Na dann bin ich ja mal beruhigt wenn ich nicht damit gemeint bin.
Schonmal darüber nachgedacht dass man nicht dir schaden will sondern jemand anderem über dich? Bzw weist du was eine AmplifierAttack ist und wieso sie funktioniert?
Was willst du mir damit sagen?
Cheers
Ja, das könnte natürlich auch sein.
Tief habe ich mich mit dem Thema nicht befasst, aber ich weiß was es ist und das es funktioniert, indem der Angreifer eine Anfrage z.B. an meinen Server schickt mit der IP-Adresse des Servers der angegriffen werden soll, sodass mein Server darauf antwortet. Oder wolltest du auf etwas anderes hinaus bzgl. wieso es funktioniert?
Joe User hat ja auf das "zwischenmenschliche Problem" hingedeutet, und da er damit warscheinlich die "Clans" meint habe ich nur hinzugefügt das das nicht nur im Gaming-Bereich der Fall ist.
Joe User
Zentrum der Macht
Falsch, denn Hetzner hat auf Grund der eingehenden Pakete Alarm geschlagen, nicht wegen den ausgehenden Paketen.
Dann lies halt genauer, denn ich schrieb mehrfach, dass Du erstmal die Ursache für die eingehenden Paketflut finden musst und man erst dann über geeignete Massnahmen nachdenken kann.
Unter Gamern/Clans kommt es allerdings expotenziell häufig vor, oder anders ausgedrückt: Unter Gamern/Clans ist es die Regel und nicht die Ausnahme.
Genau das tust Du eben nicht, sonst hättest Du ja bereits rausgefunden, wer Dich nicht mag, oder hättest Dir mittels tcpdump angesehen, was für Pakete auf Deinen Server prasseln und was dort wie "angegriffen" wird.
Solange Du Deine Hausaufgaben (Ursache finden) nicht machst, können wir Dir auch nicht helfen. So einfach ist das und das wurde Dir auch nicht nur von mir oft genug mitgeteilt.
Was soll er denn gegen den eingehenden Paketflut tun? Alle Gruppierungen anschreiben, die in letzten Wochen auf dem Server gespielt haben mit der Bitte, ihn in Ruhe zu lassen? Jemand der so weit geht sich der Computersabotage strafbar zu machen, wird sich dafür wohl kaum interessieren.
Wohlgemerkt hat Hetzner nur für die ausgehenden Pakete eine Stellungnahme und Maßnahmen gefordert, bei den eingehenden hatte die Mail, bzw. der zitierte Teil, nur informativen Charakter.
Wohlgemerkt hat Hetzner nur für die ausgehenden Pakete eine Stellungnahme und Maßnahmen gefordert, bei den eingehenden hatte die Mail, bzw. der zitierte Teil, nur informativen Charakter.
Ich bin seit 8 Jahren aktiv in der Gamingszene unterwegs, für mich sind diese Kleinkriege definitiv die Ausnahme, nicht die Regel.
Seit ich die Splatterladder (ET/RtCW Gamer werden sie u.U. kennen, in den letzten Monaten auch der eine oder andere CODx sowie UrT Spieler) übernommen hab, sitz ich ein Stück weit am Puls der Zeit.
Wird ein Server attackiert, so merke ich das indirekt durch das Tracking (Spielerzahl-Drop, Latenz etc.).
Ich persönlich kenne nur 3 Clans (bei über 1000 registrierten) die sich gegenseitig zerfetzen.
Und das spiegelt sich auch wieder, wenn man die Trackingdaten einer MVDA unterzieht (hatte @work einen Studenten der sich im Bereich Sstatistischer Auswertungen profilieren möchte).
Was IN / OUT betrifft, so hab ich bei Hetzner die Erfahrung gemacht, dass ausgehender Traffic stärker in den Abuse-Fokus rückt als eingehender.
Zwar kenne ich Serverbetreiber deren Kiste wegen massiven INBOUND vom Netz genommen wurden, jedoch war dies bei meinen Bekannten nie aufgrund der Paketanzahl, sondern nur wegen des Traffics der Fall.
Und so wie ich das verstanden habe, wird der TS aufgefordert eine Stellungnahme zu den ausgehenden Paketen abzugeben. Also ist für ihn verständlicherweise dies das Hauptproblem.
Das widerspricht sich in keiner Weise. Wenn es jemand schafft auf meiner Mühle nen Keylogger zu platzieren, dann schafft er es auch den PrivateKey auszulesen. Die passende Passphrase wird dann halt vom Keylogger abgegriffen.
Und ein erfolgreicher Bruteforce-Angriff quer durchs Net bei einem entsprechend komplexem Passwort ist bisher doch eher im Reich der Mythen angesiedelt, zumindest ist mir keiner bekannt. Las mich aber gerne eines Besseren belehren.
@TS:
Hast Du mal bei Hetzner / HE nachgefragt, ob die zufällig Pakete mitgeschnitten haben?
@Rest: Weshalb ich auf die Idee eines DrDOS kam, war die Aussage, dass neben SSH und Gameserver nix lief.
Soweit ich weiss, sind die CSS Engines gegen die von Q3 bekannte getstatus-Amplification abgesichert.
Jedoch kann man z.B. über gespoofte Connect-Pakete beliebig viele Antwort-Pakete an die gespoofte IP Adresse schicken. Diese sind IRC nur ähnlich gross wie die Connect-Pakete, jedoch wird natürlich die Herkunft über den zusätzlichen "Proxy" namens Gameserver verschleiert.
Last edited by a moderator:
Die Mail über die eingehenden Pakete dient nur der reinen Information. Die Ausgehenden sind die wichtigen, da mein Server hier andere flooden kann. Bei einem DDoS hast Du auch massig an eingehenden Paketen. Was willst Du dagegen tun? Mit dem Verantwortlichen reden, wie Mr. Check sagt?!
Und wie soll das gehen, wenn aktuell keine Angriffe stattfinden? Ich kann schlecht in die Vergangenheit blicken.
Das klingt für Dich wie eine selbstverständlichkeit, aber bedenke das nicht jeder sich in dem Bereich gut auskennt und weiß was zu tun ist und welche Tools einem helfen. Was meinst Du warum ich hier um Hilfe bitte?
Richtig.
Habe ich gerade getan! Danke für den Tipp!
MfG
Last edited by a moderator: