[AbuseID:061047:21]: AbuseNormal: Subject: UDP Flood Attack From

D

diblo

New Member
Guten Morgen, ich hoffe hier dürfen auch absolute Anfänger in Sachen Server Fragen?!
Und da ich neu in Sachen WinServer bin, weiß ich auch leider nicht, nach welchen Stichpunkten ich suchen muss um eine Lösung hier im Forum für mein Problem zu finden.
Nun zu meinem Grossen problem.
Ich habe einen Root Server von Hetzner dazu habe ich mir Windows Server Standard 2008 ( Service Pack 2 64 bit) Gekauft und installiert.
Diesen Server nutze ich nur TS3 und einige Gameserver( MW3, CoD 4, Homefront usw.)
Eine kleine Webanwendung wurde auch Installiert damit wir map und Mod Downloads realisieren können.
Jetzt bekomme ich von Hetzner Meldungen das mein Server für Angriffe auf andere Server verantwortlich sein soll.
Wie kann ich die Quelle finden und beseitigen ohne alles neu machen zu müssen.
Ich habe mir auch mal die Demo von AVG File Server Edition 2012 Installiert jedoch hat der auch nichts gefunden.

Recht Herzlichen Dank an dieser Stelle schon mal im vorraus.

Code: 
AbuseNormal: AUP complaint: 78.46.75.235: 1325644 : [ABUSE] Attack comming from IP 78.46.75.235 to 189.1.164.219
AbuseNormal: Subject: UDP Flood Attack From 78.46.75.235

Beispiel:
tcpdump logs for ip: 78.46.75.235
Total bytes received from this ip: 5334906
Logs truncated to 1000 lines. Full logs available upon request.

2011-11-06 19:42:14.791511 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#44853]
2011-11-06 19:42:14.791608 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#45109]
2011-11-06 19:42:14.791613 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#45365]
2011-11-06 19:42:14.792109 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#45621]
2011-11-06 19:42:14.792117 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#45877]
2011-11-06 19:42:14.792122 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#46133]
2011-11-06 19:42:14.792242 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#46389]
2011-11-06 19:42:14.792484 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#46645]
2011-11-06 19:42:14.792488 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#46901]
2011-11-06 19:42:14.792497 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#47157]
2011-11-06 19:42:14.792987 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#47413]
2011-11-06 19:42:14.792992 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#47669]
2011-11-06 19:42:14.793005 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#47925]
2011-11-06 19:42:14.793533 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#48181]
2011-11-06 19:42:14.793537 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#48437]
2011-11-06 19:42:14.794001 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#48693]
2011-11-06 19:42:14.794010 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#48949]
2011-11-06 19:42:14.794020 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#49205]
2011-11-06 19:42:14.794510 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#49461]
2011-11-06 19:42:14.794516 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#49717]
2011-11-06 19:42:14.794601 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#49973]
2011-11-06 19:42:14.795143 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#50229]
2011-11-06 19:42:14.795147 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#50485]
2011-11-06 19:42:14.795628 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#50741]
2011-11-06 19:42:14.795639 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#50997]
2011-11-06 19:42:14.795647 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#51253]
2011-11-06 19:42:14.795986 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#51509]
2011-11-06 19:42:14.796507 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#51765]
2011-11-06 19:42:14.796513 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#52021]
2011-11-06 19:42:14.796517 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#52277]
2011-11-06 19:42:14.796521 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#52533]
2011-11-06 19:42:14.796869 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#52789]
2011-11-06 19:42:14.796873 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#53045]
2011-11-06 19:42:14.796916 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#53301]
2011-11-06 19:42:14.797283 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#53557]
2011-11-06 19:42:14.797288 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#53813]
2011-11-06 19:42:14.797292 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#54069]
2011-11-06 19:42:14.797660 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#54325]
2011-11-06 19:42:14.797664 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#54581]
2011-11-06 19:42:14.797669 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#54837]
2011-11-06 19:42:14.797987 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#55093]
2011-11-06 19:42:14.798005 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#55349]
2011-11-06 19:42:14.798160 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#55605]
2011-11-06 19:42:14.798498 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#55861]
2011-11-06 19:42:14.798522 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#56117]
2011-11-06 19:42:14.798734 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#56373]
2011-11-06 19:42:14.799276 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#56629]
2011-11-06 19:42:14.799280 GMT ip 78.46.75.235.8305 > 208.110.65.133.20480: UDP (579 bytes) [#56885]
 
Vielleicht wird auch dein COD4 Server mit gespoofter IP Adresse für Attacken gegen andere missbraucht.

Hier ist es schon einmal diskutiert worden:

Attacks from Gameservers

Hallo, hab mit Gameservern nix am Hut, bin auch kein Player (keine Zeit und Lust). Dennoch habe ich Probleme mit Gameservern die mir nix dir nix einfach Pakete (meist UDP, u.a. an die Ports 27015, 11789, usw.) verschicken, obwohl diese Ports auf meinem Server überhaupt nicht besetzt sind...
serversupportforum.de serversupportforum.de
 
Danke für die schnelle Anwort!
Super das hilft ja schon mal weiter.
ich will jetzt die gameserver erst mal abschalten.

Gibt es den ein Tool für Win server womit ich testen kann ob da immer noch was raus geht?
So als Überwachung?
 
Dem Port nach zu urteilen, sieht es auch gut nach einem Trojaner aus, der sich auf dem System eingenistet hat.

absolute Anfänger in Sachen Server Fragen
Click to expand...

Mein Tipp: Daten sichern und von jemanden mit Fachkenntnis komplett neu aufsetzen lassen (inkl. aktuellster Patches).
 
Also interessant finde ich schonmal, dass die Ziel-IP die selbe ist, wie hier:

Attacks from Gameservers

Hallo, hab mit Gameservern nix am Hut, bin auch kein Player (keine Zeit und Lust). Dennoch habe ich Probleme mit Gameservern die mir nix dir nix einfach Pakete (meist UDP, u.a. an die Ports 27015, 11789, usw.) verschicken, obwohl diese Ports auf meinem Server überhaupt nicht besetzt sind...
serversupportforum.de serversupportforum.de

Da es sich hierbei auch vom Quell-Port 8305 und Ziel-Port 20480 handelt bei gleicher Konstellation (Win-Server mit CoD4) würde ich sagen, dass wie schon häufiger der CoD4-Server für die Attacken "missbraucht" wird.

Wann hast du eigentlich die Mails von Hetzner bekommen? Die Logfile-Einträge sind ja vom 06. November..
 
Die letzten meldungen sind vor ein paar tagen gekommen.
ich hatte mal vor einer weile ein Demo programm (AVG file server 2012) durch laufen lassen.
der hat aber nichts gefunden.
 
diblo said:
absolute Anfänger in Sachen Server [...]
Wie kann ich die Quelle finden und beseitigen ohne alles neu machen zu müssen.
Click to expand...

Genau an dieser Stelle steckt der grundlegende Widerspruch. Selbst für einen Profi ist es wirklich schwer, mit Sicherheit das Ausmaß eines Angriffs festzustellen und um eine Neuinstallation herum zu kommen. Du als Anfänger wirst kaum eine Chance haben festzustellen, ob dein Server im jetzigen Zustand wieder sauber zu bekommen ist.

Den ersten Fehlschlag hast du ja schon hingelegt. Die Abuses sind vom November und du hast ernsthaft geglaubt, mit einem Virenscanner für Home-PCs sei alles gut. Jeder Server-Admin schüttelt nur noch mit dem Kopf, bei so viel Naivität.

Wenn du also ernsthaft weitermachen willst mit deinem Server, obwohl dir klar geworden sein sollte, dass du die Kiste absolut nicht im Griff hast, dann setze sie wenigstens sauber neu auf.

Es gilt wie immer: http://root-und-kein-plan.ath.cx/
 
Vermutlich(!) wurde in diesem Fall nur dein Gamserver ausgenutzt.
Das Problem tritt in letzter Zeit häufiger auf und wird zZt. auch im Hetznerinternen Kundenforum diskutiert.

Abhilfe schafft hier eine entsprechende Firewall (bisher nur für Linux gefunden) und/oder ein Patchen der Serverdateien. (inoffizieller Patch, aber genau für dieses Problem).
Nähere Infos hier. Für Windows sollte der Patch auch irgendwo da auffindbar sein.

Du solltest dich allerdings schnellstens in die Materie einarbeiten und so lange einen fähigen Admin zu rate ziehen, ansonsten dauert es nicht lange, bis tatsächlich jemand dein System geknackt hat(falls nicht bereits geschehen).
 
PapaBaer said:
Genau an dieser Stelle steckt der grundlegende Widerspruch. Selbst für einen Profi ist es wirklich schwer, mit Sicherheit das Ausmaß eines Angriffs festzustellen und um eine Neuinstallation herum zu kommen. Du als Anfänger wirst kaum eine Chance haben festzustellen, ob dein Server im jetzigen Zustand wieder sauber zu bekommen ist.

Den ersten Fehlschlag hast du ja schon hingelegt. Die Abuses sind vom November und du hast ernsthaft geglaubt, mit einem Virenscanner für Home-PCs sei alles gut. Jeder Server-Admin schüttelt nur noch mit dem Kopf, bei so viel Naivität.

Wenn du also ernsthaft weitermachen willst mit deinem Server, obwohl dir klar geworden sein sollte, dass du die Kiste absolut nicht im Griff hast, dann setze sie wenigstens sauber neu auf.

Es gilt wie immer: http://root-und-kein-plan.ath.cx/
Click to expand...

Super mit sowas habe ich gerechnet!!!
Au Au wie konnte ich es nur wagen, mich damit auseinander setzen zu wollen.
Und mir gleich einen zu Mieten, um es zu lernen.

leider bin ich nicht in der Glücklichen Lage gleich bei der Geburt mit diesem Wissen gefüttert worden zu sein.
Ich verneige mich vor dir!
 
Jesaja said:
Vermutlich(!) wurde in diesem Fall nur dein Gamserver ausgenutzt.
Das Problem tritt in letzter Zeit häufiger auf und wird zZt. auch im Hetznerinternen Kundenforum diskutiert.

Abhilfe schafft hier eine entsprechende Firewall (bisher nur für Linux gefunden) und/oder ein Patchen der Serverdateien. (inoffizieller Patch, aber genau für dieses Problem).
Nähere Infos hier. Für Windows sollte der Patch auch irgendwo da auffindbar sein.

Du solltest dich allerdings schnellstens in die Materie einarbeiten und so lange einen fähigen Admin zu rate ziehen, ansonsten dauert es nicht lange, bis tatsächlich jemand dein System geknackt hat(falls nicht bereits geschehen).
Click to expand...

Danke für den ersthaften rat danke
 
ich möchte wirklich das Problem so schnell wie möglich beseitigen. Schon Alleine weil ein anderer unter meinen Server wahrscheinlich ernsthaft verärgert wird.
Notfalls werde ich auch alles wieder neu aufsetzen.

Ich habe jetzt erst mal alle Cod4 Server abgeschaltet!
Gibt es eine Möglichkeit wie ich es Überprüfen kann, ob diese At. Weiter raus gehen
 
Erstmal, hier findest du den fix.

Ansonsten Installier dir nen Packetyzer der auf deiner Netzwerkkarte lauscht, dann kannst du das denke ich ganz gut beobachten.
 
diblo said:
Au Au wie konnte ich es nur wagen, mich damit auseinander setzen zu wollen.
Click to expand...

Wieso in aller Welt müssen die Gamer-Noobs immer gleich pampig werden??? Nein, die anderen sind nicht mit Wissen geboren wurden. Aber sie wissen, was es heißt verantwortungsvoll zu handeln und haben ihr Wissen ZU HAUSE!!! geübt, bevor sie sich mit einem eigenen Server ins Netz wagen! Ein Server mit 100Mbit ist keine Spielwiese!!! Und dieses verantwortungslose naive Verhalten darf auch angemessen kritisiert werden, auch wenn es dir nicht schmeckt, sowas einstecken zu müssen.
 
Diblo, die Reaktion u.A. von PapaBaer lässt sich vielleicht besser verstehen, wenn du bedenkst, was für ein Schaden durch gehackte Server angerichtet wird.
Für DDOS-Angriffe oder gezieltes Scanen nach Sicherheitslücken/Ausprobieren vom Passwörtern werden überwiegend gehackte Server/Clients verwendet und du warst nun einer davon.

Niemand ist mit vollständigem IT-Wissen geboren worden.
Aber die meisten haben haben sich dieses Wissen durch entweder eine Ausbildung oder durch das Lesen von Fachliteratur und testen in einer geischerten(!) Umgebung, also zuhause erworben.

Vergleiche das ganze doch mal mit dem Autofahren:
Geübt wird auf einem sicheren Verkehrsübungsplatz oder direkt in der Fahrschule.
Kein vernünftiger Mensch würde sich das erste Mal ins Auto setzen und in der Innenstadt üben, wo er Menschen gefährdet.
Ein Auto ist von alleine genauso ungefährlich wie ein Server, der mit 100MBit/s am Netz hängt.
In den falschen (unerfahrenen) Händen kann man damit aber viel Scheiße anstellen.
 
PapaBaer said:
Wieso in aller Welt müssen die Gamer-Noobs immer gleich pampig werden??? Nein, die anderen sind nicht mit Wissen geboren wurden. Aber sie wissen, was es heißt verantwortungsvoll zu handeln und haben ihr Wissen ZU HAUSE!!! geübt, bevor sie sich mit einem eigenen Server ins Netz wagen! Ein Server mit 100Mbit ist keine Spielwiese!!! Und dieses verantwortungslose naive Verhalten darf auch angemessen kritisiert werden, auch wenn es dir nicht schmeckt, sowas einstecken zu müssen.
Click to expand...

Ich gebe zu das ich sehr wahrscheinlich doch recht naive war wo ich mir diesen Server angemietet habe. Diesen Server habe bereits zwei Jahre. und vor ca. 18 Monaten habe ich mir win Server Standard R2 gekauft und Installiert.
und bis gesagtem Datum Lief auch alles ohne prob.
Jetzt ist ein Problem Aufgetreten, was ich ohne Hilfe nicht in den Griff bekomme.
Deshalb habe ich mich jetzt hier in diesem Forum und euch gewandt, um dabei auch zu lernen.
Und alle Situationen, kann ich zu Hause auch nicht lernen.
Solltest ich dich durch meinen Beitrag dich persönlich beleidigt haben, so möchte ich mich entschuldigen.
Das war nicht meine Absicht. ( Aber bitte lese mal auch deinen beitrag nochmal)
Für mich ist hilfreich was ich machen kann und nicht was besser gelassen hätte.
 
diblo said:
Notfalls werde ich auch alles wieder neu aufsetzen.

Ich habe jetzt erst mal alle Cod4 Server abgeschaltet!
Click to expand...
Das Deaktivieren der CoD-Server wird vermutlich nicht reichen, da die Sicherheitslücke offensichtlich bereits ausgenutzt und das System damit kompromittiert wurde - also Trojaner installiert.

Ein komplettes Neuaufsetzen wird mit sehr hoher Wahrscheinlichkeit unumgänglich sein. Das Suchen und Entfernen von Schadsoftware gerade unter Windows-Systemen erfordert IMHO ein sehr hohes Know-How. Mit einer sauberen Reinstallation wirst Du besser kommen und letztlich ruhiger schlafen können.

Das "blutigen" Anfängern, die sehenden Auges in's offene Messer laufen - hier oftmals von den Fachleuten eine gereizte Stimmung entgegenschlägt, kann ich sehr gut nachvollziehen. Mit dieser kalten Dusche muss man leben, sich einen Ruck geben und entsprechend den Hinweisen handeln.

Auch Fachleuten kann es passieren, dass ihre Systeme gehackt werden. Es gibt keine 100% Sicherheit. Der Unterschied besteht i.d.R. darin, dass Profis sowas beizeiten erkennen und zeitnah sowie angemessen reagieren.

Wir hatten vor einiger Zeit eine ähnliche Situation. Die von uns verwendete Forensoftware wurde durch frühere Admins dermaßen mit Addons "vermoddet", dass das normale Einspielen von Updates nicht mehr möglich war, sondern nur noch unter sehr viel Aufwand von Hand Zeile für Zeile realisiert werden konnte.

Wie es nunmal im Alltag so ist, hat jeder im Technik-Team genau diesen enormen Aufwand gescheut. Und eines Tages ist halt wirklich eine Lücke im Portal-Addon ausgenutzt wurden, um ein PHP-Spamscript zu installieren. Im Gegensatz zu Anfängern aber, werden bei uns Logs und Systemaktivitäten regelmäßig und zeitnah kontrolliert, so dass der Vorfall innerhalb weniger Stunden auffiel und wir das System überprüft sowie die betreffende Webanwendung komplett neu aufgesetzt haben. In der Nachbetrachtung des Vorfalls haben wir dann neue Guidelines für das Installieren von Addons aufgesetzt sowie einige Systemrichtlinien verschärft.

Im Gegensatz dazu sitzt Du seit Anfang November auf einem gehackten System. Vielleicht wird Dir jetzt die "Begeisterung", welche Dir hier entgegenschlägt, klar.
 
Last edited by a moderator:
Zum jetzigen Zeitpunkt und mit den hilfreichen Beiträgen von euch bin ich jetzt auch schlauer geworden. Deshalb habe ich auch hier gefragt, und nicht auf jemanden gehört der der Meinung ist Ahnung zu haben. Für mich Steht also die Erkenntnis dass ich jetzt erst mal alles neu machen muss.
Jedoch hätte ich dieses gleich gemacht, (die Überlegung war im November bereits da) hätte ich den gleichen Fehler mit eingebaut und die Sicherheitslücke wäre wieder drin gewesen. Jetzt weiß ich dass es ein Problem mit den Gameserver gibt und kann das gleich bei der Installation berücksichtigen. Und somit den Server ein Stück sicherer zu machen.
Ich danke allen die mir mit echten Ratschlägen geholfen haben. Und die Kritik an meiner Person, wie ich das mit der Sicherheitslücke Gehändelt habe nehme ich mir wirklich ernsthaft zu Herzen.
Jetzt steht für mich nur noch eine Frage, darf ich mich den hier im Forum weiterhin mit fragen beteiligen?
Ich denke mal das ich jetzt mehr hinterfragen werde als vorher, alleine schon um damit gewissenhafter umzugehen. Oder ist dieses Forum doch eher für Profi Admins gedacht?
 
Also Dir wird bestimmt auch weiterhin geholfen werden,solange man erkennen kann das Du dich bemühst verantwortunsvoller mit dem umzugehen was Du da am laufen hast.

Den Dämpfer von PapaBaer haste ja zu recht bekommen,und diesmal waren sogar 2 Hilfreiche hinweise dabei.
 
diblo said:
Jetzt steht für mich nur noch eine Frage, darf ich mich den hier im Forum weiterhin mit fragen beteiligen?
Ich denke mal das ich jetzt mehr hinterfragen werde als vorher, alleine schon um damit gewissenhafter umzugehen. Oder ist dieses Forum doch eher für Profi Admins gedacht?
Click to expand...
Ich bin der Überzeugung, dass es sicherlich hilfreich ist, Leute hier zu haben, die es auf die harte Tour lernen mussten aber irgendwann ihren Irrweg erkannt und ihr Handeln dem entsprechend geändert haben.

Für Dich wird sicherlich das Technet von Microsoft die kommenden Wochen und Monate der erste Anlaufpunkt sein. Da findest du viele wertvolle Infos, wie Du mit Deinem System umgehen musst. Tja, und Du wirst erkennen, dass Dein Weg kein leichter sein wird :D
 
You must log in or register to reply here.
Back
Top