Angebliche DoS Attacke vom vserver bei Server4You

Status
Not open for further replies.
W

Wirus

Registered User
Hi,

ich habe gestern Nachmittag eine Mail vom Server4You Support bekommen mit dem Hinweis, dass mein Server gesperrt worden sei, da eine DoS Attacke von Ihm gestartet wurde. Ich solle den Serverinhalt innerhalb von 4 Tagen sichern und eine Neuinstallation beantragen.

Also habe ich mich in die Administrationsseite vom vserver eingeloggt (admin.vserver.de) und auf das Ticket, welches eröffnet wurde, geantwortet. Und zwar mit der Bitte, mir zu sagen, wann der angebliche Angriff stattgefunden habe, da mein Server laut uptime 26 Tage online war und laut ifconfig grade mal einen gesamttraffic von 1GB hatte, was sich auch mit dem Status im vservermenu deckte. Da ich vor längerer Zeit schonmal 10GB Übertraffic wegen so einer Attacke hatte, und dieser Traffic innerhalb von ein paar stunden angefallen ist, kommt mir 1GB/Monat eigentlich lachhaft wenig vor, für eine DoS Attacke.

Wie gesagt, das habe ich denen schriftlich geantwortet, nachdem der Server schon mehr als 4 Stunden gesperrt wurde. Wie dem auch sei...ich gehe mal davon aus, dass diese Anfrage zu dreist von mir war, da ich heute nichtmals mehr der Aufforderung, meine Daten zu sichern nachkommen kann, da mein Server garnicht mehr erreichbar ist. "Witzigerweise" ist selbst das Menu der Adminseite nicht mehr verwendbar, da ich immer nur die Nachricht bekomme, dass ich doch bitte eine knapp 2€ teure Telefonnummer anrufen solle. Und der absolute Hohn ist meiner Meinung nach, dass die DoS Attacke von irgendjemand externes gemeldet wurde...steht zumindest so auf der Adminpage und ich jetzt quasi gezwungen werde einmal die 39€ Pauschale für das sperren (wahrscheinlich das gleiche nochmal für das entsperren ?) zu bezahlan, und die verbindungskosten zu einer 0190/0900 Nummer übernehmen muss um überhaupt eine Möglichkeit zu haben nachzuschauen, ob ich wirklich schuld bin, oder ob es einfach eine Fehlinformation an Server4You war.

Hat von euch jemand schonmal ähnliche Erfahrungen gemacht, oder ist vielleicht ein kollege von Server4You hier, der mir weiterhelfen könnte?
 
Also Server4You scheint mir, was ich auch so in anderen Foren gelesen habe, nen MOD : entfernt zu sein.

Also ich will keinem Böse absicht unterstellen aber wie oft liest man, das der S4Y Server einfach heruntergefahren wurde wegen einem Angriff....Und so viele Angriffe und nur alle bei S4Y???

Weisst du wer der externe war?

Also ich weiss nicht wie mein Hoster damit umgeht aber ich habe kein Problem wenn der Server gleich heruntergefahren wird nur sollte man da auch dann nicht nur abzocken sondern auch dem Kunden entgegen kommen und das scheint von S4Y zu viel verlangt zu sein...

Haben die einen Nachweis das es wirklich einen Angriff gab? Denn behaupten kann man viel....

MfG
Sascha
 
Last edited by a moderator:
saschabu said:
Also Server4You scheint mir, was ich auch so in anderen Foren gelesen habe, nen ... zu sein.
Click to expand...

Also, wenn es läuft ist es mittlerweile OK. Aber wenn es mal Probleme gibt, dann wird es teuer. Ich musste bereits mehrmals bei S4Y anrufen und teure Verbindungspreise bezahlen, auch wenn es garnicht mein Fehler war. z.B. als SIE die Virtualisierungssoftware umgestellt haben ist mein Server nicht mehr hochgekommen (warum auch immer) Also hing ich 5 minuten am Draht bis geklärt wurde, was passiert ist und das ist ja immerhin fast eine Monatsmiete extra, ohne dass es durch mich verschuldet war...


saschabu said:
Weisst du wer der externe war?
Click to expand...

Leider keine Infos, sonst hätte ich mich beim "Opfer" schon gemeldet und nachgefragt was passiert sei. Und wie es scheint, hab ich auch zukünftig nicht wirklich eine Möglichkeit zu erfahren, was vorgefallen ist.

saschabu said:
Also ich weiss nicht wie mein Hoster damit umgeht aber ich habe kein Problem wenn der Server gleich heruntergefahren wird nur sollte man da auch dann nicht nur abzocken sondern auch dem Kunden entgegen kommen und das scheint von S4Y zu viel verlangt zu sein...
Click to expand...

Ich hätte eigentlich auch kein Problem, wenn wenigstens die Admin-Seite und der SSH zugang laufen würde. Dann könnte ich die logfiles nachschauen ob dort was auffällt...aber wie gesagt...seit meiner Anfrage komme ich garnicht mehr aufs System. Vorher lief alles bis auf httpd...ich konnte Mails abrufen und verschicken und im Adminmenu alles sehen und hätte auch ein Backup machen können. Da es aber um halb 11 war, wollte ich es heute machen. Ich könnte mir immer noch im hintern beissen, dass ich die logs nicht gesichert und das Backup angestossen habe.

saschabu said:
Haben die einen Nachweis das es wirklich einen Angriff gab? Denn behaupten kann man viel....

MfG
Sascha
Click to expand...

Tjo...S4Y hat gesprochen ;)
 
Last edited by a moderator:
Tja, da wirst Du wohl anrufen müssen, damit Du noch ne Chance hast an deine Daten zu kommen...

...nachdem was ich hier im Forum über S4Y Support gelesen habe (M.Broemme ausgenommen, finde SEINEN Einsatz hier mehr als super) ist das denen sowas von sch*** egal ob sie einen vserver Kunden verärgern oder verlieren - die Masse machts.
Es ist einfach nur dreist da so mit Kunden umgegangen wird - Du kannst den Ticketverlauf hier ja mal posten (ohne Namen logischerweise) - damit es nciht wieder heißt es läge nur am "Ton" in den Tickets...

Viel Glück JPsy


- btw, mein server wurde letztens ca 12 Std auf 10 MBit runtergestuft weil er _angegriffen wurde_. Nur konnte mir mein Anbieter (FirstDedicated) das ncihtmal beweisen, also haben sie wieder freigeschaltet. Als Kunde bist Du immer der Dumme...

Edit : Ich kann jedem nur eine Traffic Auswertung ala MRTG auf dem server empfehlen, um dem Provider auch daten präsentierne zu können...
 
Last edited by a moderator:
Hi,

ist das zuafellig 210202, die hab ich am Samstag wegen einer echt ueblen DoS gesperrt. Nochwas: Wir sperren unabhengig vom Traffic, nach Moeglichkeit so frueh wie es geht, erstens um den Kunden von Uebertraffic zu schuetzen und zweitens um unser eigenes Netz und die anderen Kunden auf dem Hostsystem zu schuetzen.
 
Last edited by a moderator:
MrMasterJPsy said:
Es ist einfach nur dreist da so mit Kunden umgegangen wird - Du kannst den Ticketverlauf hier ja mal posten (ohne Namen logischerweise) - damit es nciht wieder heißt es läge nur am "Ton" in den Tickets...
Click to expand...

Naja, ich bin eigentlich erstmal immer neutral den Dingen eingestellt :D Ich habe einfach nur gefragt, ob sie mir sagen können wann es passiert ist (damit ich einen Anhaltspunkt für die Log-File Suche habe.) und dass 1GB Traffic eigentlich zu wenig für einen DoS Angriff ist. Und dann habe ich ein Ticket nachgeschickt, dass uptime 26 Tage und ifconfig nichtmals 1GB Traffic angezeigt haben und dass meiner meinung nach kein DoS Angriff ausgeführt wurde.

Witzigerweise sind die letzten paar (3 oder 4..kanns ja nicht mehr nachschaun und muss mich auf das beziehen was mein Biologischer Server bereithält ;)) Monate knapp 4GB Traffic angefallen. Also wenn die Attacke dort angefallen ist und bereits seit nem viertel jahr stattfindet, hätte man mich doch eigentlich gleich draufhinweisen können, dass dort etwas nicht stimmt...also gehe ich mal davon aus, dass es diesen Monat passiert ist.

MrMasterJPsy said:
Viel Glück JPsy
Click to expand...

Dank dir :)
 
saschabu said:
Also Server4You scheint mir, was ich auch so in anderen Foren gelesen habe, nen ... zu sein.

Also ich will keinem Böse absicht unterstellen aber wie oft liest man, das der S4Y Server einfach heruntergefahren wurde wegen einem Angriff....Und so viele Angriffe und nur alle bei S4Y???

Weisst du wer der externe war?

Also ich weiss nicht wie mein Hoster damit umgeht aber ich habe kein Problem wenn der Server gleich heruntergefahren wird nur sollte man da auch dann nicht nur abzocken sondern auch dem Kunden entgegen kommen und das scheint von S4Y zu viel verlangt zu sein...

Haben die einen Nachweis das es wirklich einen Angriff gab? Denn behaupten kann man viel....

MfG
Sascha
Click to expand...

Ja ich hab immer einen Nachweis, wenn der Support euch die nicht gibt, ist das nicht mein Verschulden, ich geb den tcpdump und den Prozesstrace immer an den Support weiter. :)
 
Last edited by a moderator:
mbroemme said:
Hi,

ist das zuafellig 210202, die hab ich am Samstag wegen einer echt ueblen DoS gesperrt. Nochwas: Wir sperren unabhengig vom Traffic, nach Moeglichkeit so frueh wie es geht, erstens um den Kunden von Uebertraffic zu schuetzen und zweitens um unser eigenes Netz und die anderen Kunden auf dem Hostsystem zu schuetzen.
Click to expand...

nee, meine nummer ist die 149084. Wenn Ihr die Attacke bemerkt, dann klar...sollte das zeitnah geschehen sein. ABER...im Menu steht ja, dass euch jemand das erzählt hat, dass er durch mich angegriffen wird. und da muss ja dann doch schon das eine oder andere bit durch mich übern router geschickt worden sein, richtig? ;)
 
Hi,

ich klaer das gerade, bisher sieht das wie ein Versehen aus, ich hab in meiner Inbox, naemlich kein "Complaint" ueber diese VPS. :/ Wenn ich keine Infos zu bekomme, ist er in einer Stunde wieder entsperrt, ohne die AE Kosten. :)
 
Und bei 1 gig fällt das nicht so extrem auf....

Ich sage ja nichts, das die Server heruntergefahren werden und das so früh wie möglich.

Ist ja alles legitim, nur das man fast immer nur von S4You Servern liest ist schon etwas komisch....

Aber das der Support dann so unfreundlich und nicht mal im geringsten hilft, das Problem aufzudecken, hmmm...

Denn wenn das nachher bloß ein Fehlalarm war oder sich einer einen Spaß erlaubt hat und der Admin dann denkt, wird schon wahr sein und fährt die Kiste runter, wer kommt dann für die Kosten auf?
Und den Ärger?

Ich könnte mir bei dieser Meldung wirklich eine ver*****e vorstellen...

Das bei S4Y viele Anfänger sind wird wohl klar sein, ich bin ja auch einer, zumindest im Bereich Miet Server, nur ich setze mich mit dem Thema auseinander und kontrolliere täglich die Logs und den Traffic :) Updates werden ja auch immer brav eingespielt.... (Hatte früher SUSE auf meinem Heim PC)

So lange, bis die Kiste wirklich so sicher ist, wie es nur möglich ist....

MfG
Sascha
 
Last edited by a moderator:
@Wirus:

Der wurde wegen Phishing gesperrt, der Grund ist nur falsch. :/ Anscheinend Webserver gehackt und phischt nach Bankseiten. :)
 
mbroemme
Hi,

ich klaer das gerade, bisher sieht das wie ein Versehen aus, ich hab in meiner Inbox, naemlich kein "Complaint" ueber diese VPS. :/ Wenn ich keine Infos zu bekomme, ist er in einer Stunde wieder entsperrt, ohne die AE Kosten.
Click to expand...

Für den Einsatz brauchste vermutlich n Orden von server4you. Warum hängst du dich da eigentlich so rein und bietest den (angeblich) schlechten Service wie deine Kollegen auch?

Btw. ich bin nicht bei Server4you, kann also nichts beurteilen oder bestätigen - wollte nur mal mbroemme für den Einsatz loben.
 
Und das Phising verursacht so wenig Traffic?

Mir fiel auch schon in der kurzen Zeit wo ich hier bin mbroemme positiv auf...

MfG
Sascha
 
mbroemme said:
Hi,

ich klaer das gerade, bisher sieht das wie ein Versehen aus, ich hab in meiner Inbox, naemlich kein "Complaint" ueber diese VPS. :/ Wenn ich keine Infos zu bekomme, ist er in einer Stunde wieder entsperrt, ohne die AE Kosten. :)
Click to expand...

Hi, ist ja nett zu hören. Danke für den Einsatz. Falls es wirklich ein versehen war (wovon ich einfach mal ausgehe ;-)) wäre es nicht eine Überlegung wert, eine erste Anlaufstelle für fragen warum der Server gesperrt wurde, einzurichten...mit normaler telefonnummer oder von mir aus eine 0180 (oder der Buchhaltung einblick zu geben, damit die es beantworten kann)? Falls es wirklich selbstverschulden war, kann man ja immer noch an die Kostenpflichtige Nummer verweisen.

Ich warte jetzt erstmal ab, was passiert ;)
 
mbroemme said:
@Wirus:

Der wurde wegen Phishing gesperrt, der Grund ist nur falsch. :/ Anscheinend Webserver gehackt und phischt nach Bankseiten. :)
Click to expand...

hmm...seltsam. Kann mir eigentlich nicht erklären, wie das passiert ist, da meine Kennwörter jetzt eigentlich nicht wirklich leicht zu erraten sind...nunja, sei's drum. Gibt es denn irgendwie eine Möglichkeit den Server wieder ohne HTTP Dienst zu starten, damit ich wenigstens die Möglichkeit habe, die Daten zu sichern? Vielleicht auch im vserver menu, damit ich ein Backup beauftragen kann? oder (ggf einfacher) die Kennwörter neu setzen lassen?
 
So...neuer Stand...ich habe nun in den sauren Apfel gebissen und die Hotline angerufen. Nach 8 Minuten kamen wir (Hotlinemitarbeiter und ich) zum Schluss, des Server im "Rescuemode" hochzufahren.

Soweit sogut. Nach ein paar minuten kam ich dann wieder auf die Adminpage und wollte ein Backup anlegen. Anscheinend hat ein Kollege bei S4Y bereits ein Komplettbackup gestartet, da dort ein Eintrag von heute drinne stand...hab trotzdem ein INC Backup beauftragt (hoffentlich passiert das automatisch ;)) Gut...dann wollte ich nachschaun was sich in den Tickets getan hat und dass hat mich dann schon gewundert.

Um 13:36 hat ein Kollege (wohl dank des einsatzes von mbroemme, danke nochmal!) auf meine Anfrage geantwortet und hat mir wunderbar beschrieben, was genau passiert ist (anscheinend ne alte PHPBB Version eines "Kunden" von mir) und versprach mir, dass der Server wieder hochgefahren würde, wenn ich damit einverstanden wäre...bloß leider konnte ich die Antwort nicht lesen, da ja sämtliche Bereiche (bis auf neubestellungen von Domains ;)) gesperrt wurden.

So...der Kollege von der Hotline, hat mir also quasi 5 Minuten aus der Antwort vorgelesen,welche ins Ticketsystem geschrieben wurde...die anderen 3 Minuten habe ich versucht zu erreichen, dass der Server im Normal Modus hochgefahren wird, damit ich die befallene Seite vom netz nehmen kann...,was aber anscheinend nur per Fax zu erreichen ist (und die sind ja in Zeiten von eMail inflationär in privaten Haushalten vorhanden :D)

So...und jetzt das was mich noch mehr nervt...ich komme nicht mehr per SSH auf mein System :'(. Ich konnte mich kurz mit root und Kennwort draufschalten, aber kurz drauf war das System nicht mehr anpingbar. Eine Minute später gings dann wieder, aber Putty hat mich mit der Sicherheitsabfrage begrüsst, ob ich den Server vertrauen möchte...und nun funktioniert mein Kennwort nicht mehr und ich komme nicht mehr an meine Mails, da dort anscheinend auch das Kennwort geändert wurde...was tun? Hilfe! ;)
 
Hi,

deine VPS ist im Rescuesystem, du meldest dich auch mit den richtigen Zugangsdaten an? Dein root-Passwort ist "NICHT" dein root-Passwort des normalen Servers (das waer ja bescheuert, wenn der root-Account gehackt waer) sondern dein Kundeninterface-Passwort. Das steht aber in der E-Mail drin die du bekommen hast, wenn du das Rescue ueber das Kundeninterface aktivierst.

PS: Es ist absolut normal, dass die Sicherheistabfrage in putty kommt, wenn du im Rescuesystem bist, da die SSH Hostkeys neu erstellt werden fuer das Rescuesystem.
 
mbroemme said:
Hi,

deine VPS ist im Rescuesystem, du meldest dich auch mit den richtigen Zugangsdaten an? Dein root-Passwort ist "NICHT" dein root-Passwort des normalen Servers (das waer ja bescheuert, wenn der root-Account gehackt waer) sondern dein Kundeninterface-Passwort. Das steht aber in der E-Mail drin die du bekommen hast, wenn du das Rescue ueber das Kundeninterface aktivierst.

PS: Es ist absolut normal, dass die Sicherheistabfrage in putty kommt, wenn du im Rescuesystem bist, da die SSH Hostkeys neu erstellt werden fuer das Rescuesystem.
Click to expand...

Hi, mensch auf dich ist halt verlass ;) Danke, aber ich habe dummerweise die Mailadresse einer URL angegeben, welche nachträglich auch auf diesen Server umgeswitcht wurde...deshalb hab ich die mail nicht bekommen *g* Hab ich aber jetzt sicherheitshalber geändert.

Muß ich denn die Dateien noch per hand sichern, oder kann ich direkt ne neuinstallation durchführen, da heute ja jemand von S4Y ein Backup für mich gemacht hat (richtig?). Und (sorry, aber ich habe nix in den FAQs gefunden) wie kann ich teile des Systems "restoren" (geht das überhaupt?).
 
mbroemme said:
Hi,

ist das zuafellig 210202, die hab ich am Samstag wegen einer echt ueblen DoS gesperrt. Nochwas: Wir sperren unabhengig vom Traffic, nach Moeglichkeit so frueh wie es geht, erstens um den Kunden von Uebertraffic zu schuetzen und zweitens um unser eigenes Netz und die anderen Kunden auf dem Hostsystem zu schuetzen.
Click to expand...
Also wenn mein Server gesperrt werden würde, 'nur' weil ich mehr als den Inklusiv Traffic verbrauche, dann würde ich sofort kündigen!!! Denn ich habe im Vertrag stehen, das ich Übetraffic extra zahlen muss, was ich auch in Ordnung finde (wenn ich denn mal mehr als 1000 GB verbrauche :p).

Das interessiert meine Kunden und Freunde sicher nicht, ob ich im Traffic-Limit bin oder nicht, wenn deren Websites nicht erreichbar sind, und die keinen E-mail-verkehr mehr führen können.

Und ich wäre dann erst recht nicht bereit eine teure rufnummer anzurufen um um Erbahmung zu betteln.. :S
 
Mir ist heute Morgen, gegen 10:00, mein Server stillgelegt worden, ebenfalls bei S4Y und auch mir wollte man nicht sagen wehn mein Server per DoS Attake angegriffen haben soll oder über welches Protokoll. Da ich von anfang an nicht glauben konnte das dies war ist habe ich einfach meinen Server neu gestartet und als erstes alle Dienste ausßer SSH deaktiviert. Nach und nach alle Passworte geändert und mich dann mit einem Kollegen bis jetzt dran gesetzt und den Server auf den Kopf gestellt, nur konnten wir absolut keinen Anhaltspunkt für einen Angriff jedweder Art finden. Es gibt aber natürlich immer unsicherheiten, so das wir uns nicht 100% sicher sind. Eine Hilfe von S4Y wäre echt toll gewesen denn ich sehe nicht ein mir die riesen Arbeit zu machen meinen Server von vorne bis hinten wieder neu einzurichten. Das Kostet mich noch sehr viel mehr als mal den Server gesperrt zu bekommen.

Was ich ja besonders dreist fand, ist die Ausßsage, das mein Server hätte ic es nicht bemerkt (z.B. weil ich im Urlaub bin) nach 4 Tage nichts tuens meiner seits einfach neu installiert wird. Toll!
 
Status
Not open for further replies.
Back
Top