[AbuseID:061047:21]: AbuseNormal: Subject: UDP Flood Attack From

TerraX said:
Das Deaktivieren der CoD-Server wird vermutlich nicht reichen, da die Sicherheitslücke offensichtlich bereits ausgenutzt und das System damit kompromittiert wurde - also Trojaner installiert.
Click to expand...

Wenn es sich hier um die "getstatus" Amplification Attacke auf Quake3-basierte Server handelt, kann man kaum von Exploit oder Trojanisierung reden. Es ist "lediglich" eine Protokollschwäche.

Mein Q3A-Server war auch betroffen und ich setzt unter Linux diese iptables-Lösung ein.

Ääähh DIT:
Es ist natürlich eine Implementierungsschwäche. ;)
 
Last edited by a moderator:
Ich kann nicht verstehen, wieso hier gleich von Trojanern und Co. die Rede ist.
Der kleine Auszug aus den Logfiles ist doch mehr als Indiz genug um mit an Sicherheit grenzender Wahrscheinlichkeit auf den DRDOS Angriff schliessen zu können.
Wie dotme schon schrieb, handelt es sich hierbei ausschliesslich um eine Schwäche im Protokoll, die ein "zu häufiges" Status-Afragen von einer Quell-IP erlaubt.
Das dies nicht auf eine Schwäche des Administrators beruht, zeigt auch das so gut wie alle Gamehoster das Problem auch schon hatten.
 
diblo said:
darf ich mich den hier im Forum weiterhin mit fragen beteiligen?
Click to expand...
"Verboten" wird das hier meines Wissens niemandem. ;) Es ist vielmehr so, dass der (subjektiv empfundene) Großteil der Leute mit in etwa deinem Wissen und ähnlichen Problemen sich schlichtweg nach gut gemeinten Tipps hier nie wieder blicken lassen.
Ich bin positiv überrascht, dass du nun tatsächlich an deinem Serverwissen arbeitest, statt wie viele andere einfach das Problem zu ignorieren und dieses Forum zu verlassen. Damit bist du vielen anderen "Anfängern" deutlich voraus, was gesagt sein muss! :)

diblo said:
Oder ist dieses Forum doch eher für Profi Admins gedacht?
Click to expand...
Nein... Wie gesagt, es gibt hier viele Leute mit deinem Wissen, die allerdings noch dazu an Beratungsresistenz leiden.
Ich bin jetzt auch nicht der Inaktivste hier und würde mich keineswegs als "Profi" bezeichnen. Natürlich auch nicht als Noob. :D Richtige "Profis" sind hier glaube ich weniger vertreten als "normale" oder "fortschrittene" User.

dotme said:
Protokollschwäche.
Implementierungsschwäche.
Click to expand...
Implementation hin oder her - ich hasse UDP in seinen Grundzügen manchmal. :(
 
Last edited by a moderator:
So ich bin jetzt dabei, meine Daten auf das Backup System hochzuladen.
Mal sehen wie schnell mir Hetzner ein Laufwerk Anschließt (es ist ja bald Neujahr) für die Installation.
Kann mir noch jemand sagen worauf ich unbedingt achten muss bei der Installation?
Kann ja sein das es selbst da schon Sachen gibt, die Noobs wie ich falsch machen.
Oder auch Programme die unbedingt mit bei sein sollten, um den Server besser zu sichern und zu Überwachen?
 
Installier nicht zu vieles, wenn du nicht weißt, ob du's brauchst.
Weniger Software => weniger Sicherheitslücken.
Freigabedienste deaktivieren.
Anschließend einen Portscan machen, um zu gucken, dass nur die nötigen Ports offen/besetzt sind.

Lasse Programme nicht als Administrator laufen, sondern richte hierfür einen eigenen Benutzer ein.
 
Jesaja said:
Lasse Programme nicht als Administrator laufen, sondern richte hierfür einen eigenen Benutzer ein.
Click to expand...

Da war schon mein erster Fehler, die Gameserver und TS sind über ein Admin Benutzer gelaufen.
Wobei ich mir auch FireDaemon Pro gekauft hatte, um gewisse Sachen zu Automatisieren.
Damit ich nicht jeden Server usw. Manuel Starten muss .
Also werde ich einen Benutzer Anlegen der keine Adminrechte hat. Wo ich das alles laufen lasse.
 
demo iso

So der erste Versuch win 2008 zu Installieren ist gescheitert.
Da die Version die mir, Hetzner als CD bereitstellen wollte Fehler hat.
Und sich nicht Installieren lässt. Jetzt möchten die von mir eine iso haben.
Da es aber mit meiner Leitung doch etwas zu lange dauert diese Hochzuladen.
Dachte ich mir das ich mir eine Demo direkt von Microsoft Runterlade.
Und diese Datei dann direkt für Hetzner Verlinke.
Jetzt komme zu der entscheidenden Frage, die demo kann ich doch Hoffentlich mit der Original Key auch dauerhaft freischalten?
 
Trojaner o.Ä. wird durch reines Ausnutzen von einem UDP DRDOS nicht installiert, was mich aber interessieren würde ist welches RZ spoofed Packets rauslässt.

Auch so einen exploit zu schreiben, erfordert mehr Kentnisse da man nicht einfach mit php fsockopen und fputs machen kann.
 
was mich aber interessieren würde ist welches RZ spoofed Packets rauslässt.
Click to expand...
Eher DSL-Anschluesse von Scriptkiddies. Und du waerst verwundert wie wenig sich die ISP's und RZ-Anbieter oft um solche Sachen kuemmern.

Ich hatte mal einen Serveranbieter (bei dem ich gott sei dank(!!) weg bin) darauf hingewiesen dass jemand etwas ping-of-death-aehnliches mit klar gespoofter MAC und Absender-IP versuchte. Reaktion war dass dieser Abschnitt des Tickets einfach ignoriert wurde und der Server wochenlang damit bombardiert wurde...
 
d4f said:
Ich hatte mal einen Serveranbieter (bei dem ich gott sei dank(!!) weg bin) darauf hingewiesen dass jemand etwas ping-of-death-aehnliches mit klar gespoofter MAC und Absender-IP versuchte.
Click to expand...
Ein Hoster mit drei Buchstaben, der sich auf Gameserver spezialisiert hat?

@mta: Das schreiben des Exploits (wobei es imho eigentlich kein Exploit ist, da es keine Schwachstelle penetriert) mag Kenntnisse erfordern. Das Runterladen und Ausführen, was die meisten Script-Kiddies machen, dagegen nicht.
 
@Jesaja, mir war die Thematik mit DRDOS durch einen zufallsfund seit ca. 12 Monaten bekannt, das Konzept dahinter ist genial. Genial im sinne von "Auf welche Ideen die Leute kommen", mit geringer Bandbreite einen mehreren Gbit starken Angriff zu erzeugen. Ein paar eigene Tests bei 5 Providern haben meine Test damals aber nicht bestätigt, es klappte einfach nicht. Sowas muss ja outgoing gefiltert werden, wo es funktionieren würde wäre evtl. gleiches RZ aber wie sinnig ist es denn sich bei dem RZ einen Server zu mieten um da einen Angriff zu starten. mhm.

Es war ja nur eine Frage derzeit bis so etwas public wird und die Kinder damit in den Ferien Angriffe starten...
 
@s24! Probiert mit KabelD, Telekom und einem Städitschen Provider, klappte nicht. Auch beim einfachen UDP fakeing.
 
mta said:
... mit geringer Bandbreite einen mehreren Gbit starken Angriff zu erzeugen.

...

Es war ja nur eine Frage derzeit bis so etwas public wird und die Kinder damit in den Ferien Angriffe starten...
Click to expand...

Diese Art von Angriff wird mitlerweile seit rund 20 Jahren in-the-wild genutzt und war damals schon sehr effektiv.
Heute machen es einem die überwiegend miserabel programmierten Game/Voice/Messaging-Server und deren Kinderzimmeradmins deutlich einfacher, als damals...
 
Heute machen es einem die überwiegend miserabel programmierten Game/Voice/Messaging-Server und deren Kinderzimmeradmins deutlich einfacher, als damals...
Click to expand...
Stimmt, vor paar Jahren reichte meist ein Multicast mit gespooftem UDP an Port 7, nicht korrekt verarbeitete uebergrosse ICMP-Pakete oder ein Multicast-Ping mit gespooftem Absender; wenigstens musste man da nicht aufwendig noch Gameserver suchen weil so ziemlich jeder Server antwortete.

:cool:
(Wannabe-Admins machen solchen Kiddies aber trotzdem das Leben viel zu leicht...)
 
Joe User said:
Diese Art von Angriff wird mitlerweile seit rund 20 Jahren in-the-wild genutzt und war damals schon sehr effektiv.
Heute machen es einem die überwiegend miserabel programmierten Game/Voice/Messaging-Server und deren Kinderzimmeradmins deutlich einfacher, als damals...
Click to expand...

Solche DDoS Attacken werden nichtmal in den ganzen Scriptkiddie Foren behandelt, da muss man schon tiefer im Sumpf stecken um da Infos zu bekommen. ;)
 
Die Infos in Form von Hinweisen zum Schutz findet man in den Hersteller-eigenen Foren zur Genuege, daraus ein Skript zu bauen ist dank vorgefertigter Script-Kiddy Tools ein wortwortliches Kinderspiel.
Das RCON-Protocol ist schliesslich alles andere als Magie; der Paketinhalt des Requestpaketes ist statisch und spezielle Verifizierungen sind nicht notwendig, Drosslungen meist nicht vorgesehen...

Ich weiss nicht welches Forum du versucht hast, aber die entsprechenden Informationen findet man zur Genuege.
In ein paar Jahren taucht das Problem eh wieder auf...
 
mta said:
Solche DDoS Attacken werden nichtmal in den ganzen Scriptkiddie Foren behandelt, da muss man schon tiefer im Sumpf stecken um da Infos zu bekommen. ;)
Click to expand...

Heute wird auch keine Bootsektormalware mehr behandelt, obwohl sie nach wie vor wunderbar funktioniert ;)
Script-Kiddies sind für manche Dinge schlicht zu jung und verstehen heute glücklicherweise viel zu wenig von der Materie. Ihre natürlichen "Lehrer" sind rar geworden und die Klickibunti-Malware-Baukästen können und sollen gar nicht alles abdecken, sonst würden deren Hersteller nicht mehr genug verdienen. Beim Geld hört die Liebe zum Script-Kiddie auch beim nettesten Black-Hat schnell auf...

Brauchbare Infos gab es im Script-Kiddie-Wonderland allerdings auch noch nie.
 
Naja ^^ eigentlich war das nur zum einlesen, mal schauen was im Moment für Angriffe modern sind in der Kiddyszene ;-) So tief hab ich mich damit aber auch nicht befasst, da ich das eig zu nervig finde da es dort noch um heftigere sachen geht wie ein paar ddos attacken. Stichwort Kreditkartenbetrug usw.

ein paar gute NP Boards wo es richtig um Wissen geht, wo man skill zeigen kann usw. hab ich leider bis heute nicht gefunden.
 
You must log in or register to reply here.
Back
Top