Ausgehende DDOS Attacke - welche Firewall Einstellungen?

catwiesel

Registered User
Hallo Forum,

erst mal vorab, ich bin kein Linux-Profi, aber ich betreue einen Root Server mit Suse 10.1 und Plesk 8.2 von Strato.

Über Jahre hinweg hat es nie Probleme gegeben (Suse 9.x und Plesk 7.x - upgedatet/neuinstallation), bis vor etwa 4 Wochen.
Dann auf einmal war der Server gesperrt, Grund eine ausgehende DDOS Attacke.
Dies wiederholte sich 4 mal auf 2 Wochen.
Wenn ich nun die Firewall Dicht mache, hab ich das Problem nicht, dafür geht aber dann auch kein FTP und kein Mailversand nach extern (hängen dann in der Warteschleife)
Wenn ich wieder die Firewall etwas öffne (outgoing Traffic allowed), dann kann ich zuschauen, dauert nicht lange und der Traffik steigt inkl die Anzahl der Pakete (ca 40 - 50 Tausend per Sek)

Der Server wurde jetzt schon öfters Neu installiert, jedoch immer das gleiche.

Auf dem Server sind ein paar Domains und hauptsächlich nur Weblogs wie Textpattern, Wordpress und Joomla.
Die laufen schon lange, es waren nie Probleme, selbst wenn ich diese alle auf die aktuellen Versionen update, hab ich die Probleme.
Ich kann mit Gewissheit sagen, diese sind kein Problem, denn selbst auf einem blanken Server ohne irgendwas, passiert das gleiche.

Anbei eine Grafik, welche meine derzeitigen Einstellungen der Firewall darstellt.
Wie kann ich Regeln erstellen, das AUsgehend nur Mail und FTP erlaubt ist?
Mir kommt es vor, wenn die Firewall offen ist und ich mal mit netstat auf dem Server schaue, verdächtig viele Filesharing-Ports geöffnet sind (typische für Emule und Co).
 
Last edited by a moderator:
Es ist unsinnig das Problem mit einer Firewall loesen zu wollen.

Irgendwas macht Probleme. Benutzt du immer das selbe Passwort? Vielleicht ist dein rootPW bekannt.
du schreibst ja auch, dass auf einem blanken Server ohne irgend was (ausser ssh wohl) das gleiche passiert. Irgendwas muss da laufen, was nach draussen sendet.
Also noch einmal bei null Anfangen, andere sichere PW benutzen und beobachten was anfaengt zu senden.
 
Hallo!
Finde doch erst einmal heraus, welcher bzw. was da für Traffic entsteht (Mail, Web, FTP, etc. pp.). Sieh dir die Ausgaben der Systemlogs an (/var/log/syslog | /var/log/messages). Welche Prozesse laufen (ps aux) bzw. welche Programme oder Prozesse lauschen auf eingehende Verbindungen (netstat -lnp).

mfG
Thorsten
 
Klar, das ist unsinnig, das ganze mit einer Firewall zu lösen, soweit ist mir das auch klar.
Jedoch habe ich erst mal eine Verschnaufspause und die Websites sind online.
Mailempfang geht auch, Versand halt leider nicht. Dafür habe ich aber derzeit ein anderes Konto.
Das mit dem Passwort glaub ich nicht, denn das ist lang und ziemlich Sicher, auch jedesmal ein anderes.
Hab den Server schon öfters neu aufgesetzt und sofort immer die Passwörter geändert.

Die syslogs schau ich mir grad noch an, dauert etwas, da es doch etwas mehr ist.
Bei netstat -lnp finde ich keine besonderen Verbindungen, ausser Mail, WWW und MySql und die normalen Prozesse, die auch auf einem anderen Server laufen. Werde aber mal weiter beobachten.

Mir ist aufgefallen, bei einer Ausgehenden DDos Attacke sind immer die typischen Emule Ports offen und verbunden mit unterschiedlichen IP´s.

Werde jetzt mal einen neuen Server installieren und dann das ganze umziehen.
Jedoch bitte gebt mir noch Tips, was es sein könnte.

Vielleicht etwas mit dem PHP Code von Wordpress und Co? Jedoch dann bin ich der einzige, der Probleme damit hat. Hab zumindest noch nichts im Internet darüber gefunden.
 
Mir kommt es vor, wenn die Firewall offen ist und ich mal mit netstat auf dem Server schaue, verdächtig viele Filesharing-Ports geöffnet sind (typische für Emule und Co).
Dann mach doch mal ein netstat -pe und schau welchem Programm und User die Verbindungen gehören.
Wie kann ich Regeln erstellen, das AUsgehend nur Mail und FTP erlaubt ist?
ftp ist für die meisten Firewalladministratoren ein Albtraum ;) IMHO ist es am einfachsten nur Verbindungen zuzulassen die von bestimmten Usern erstellt werden. Wie das geht solltest du mit etwas lesen selbst herrausfinden können. [man]iptables[/man]/Modulname owner
 
Ich werf einfach mal noch was in die Runde:

Villeicht ist es nicht dein Server der Sicherheitsprobleme hat sondern dein PC von dem aus du dich auf dem Root anmeldest.

Gruß
Daniel
 
Danke erst mal für die Infos über iptables... Werde jetzt mal lesen.

Meinen PC schliesse ich voll und ganz aus, da es verschiedene sind und diese hinter einer sehr dichten FW hängen, aber danke für die Idee.
Habe grad 2 PCs komplett nach Trojanern und sonstigem durchsucht, bis jetzt nichts gefunden.
 
Back
Top