DDos Attacke auf Server

V

viron32

New Member
Hallo zusammen,

auf meinen Server läuft seit 3 Tagen ohne Unterbrechung eine DDos Attacke. Ich habe jetzt schon probiert die Ips zu bannen / blacklisten was allerdings nicht wirklich viel bringt da sich die IPs immer wieder ändern.

Das einzige was hilft ist den apache zu stoppen.. was allerdings nicht wirklich eine Lösung ist da dann das Forum nicht erreichbar ist ;)

Was noch dazu kommt ist das gestern jemand während der DDos Attacke irgendwie Zugriff auf die MySQL Datenbank vom Server bekommen hat und einen Dump von der KOMPLETTEN VBulettin Datenbank jetzt im Internet veröffnetlicht hat (in nem anderen Forum)

Auf dem Server war von den Scripten her nur ein VB installiert.

Das Forum war relativ groß (125622 angemeldete Benutzer)


Ich hoffe mir kann jemand helfen ;)
 
Hi,

so wie sich deine Schilderung anhört, zielt die Attacke nur auf den Apache. Schau dir mal mod_evasive und mod_security an.
Ansonsten kann man bei eingehenden DDoS-Attacken nicht viel machen.


-W
 
Hallo!
Woran machst du aus, das es sich um einen dDOS handelt? Was genau passiert auf deinem Webserver?

Die vBulletin Datenbank solltest du sichern und das Forum vorerst außer Betrieb nehmen. Hat jemand wirklich Zugriff zum mySQL Server, hast du ein ernsthaftes Problem.

mfG
Thorsten
 
Hallo!
Hier sprudelt es ja nur so von Antworten :). Hier noch eine:
Aktiviere mal Apache mod_status und setzte ExtendedStatus On. Dann könnten wir zumidest mal sehen, was auf deinem Webserver wirklich passiert.

mfG
Thorsten
 
Also sobald ich den Apache wieder starte steigt die Auslastung vom CPU innerhalb von ca. 1 min auf 100%

@Thorsten
Mach ich ;)


Edit: Der jenige der die Datenbank gekommen ist hat mir auch folgenden Screen zukommen lassen:
http://img3.imagebanana.com/view/6sbj2v32/Bildschirmfoto.png
Sieht man gut das er die Datenbank lokal auf seinem PC hat - ich denk mal das der ersteller dieses Screenshots auch hinter den Angriffen steckt.
 
Last edited by a moderator:
Hallo!
Ich hoffe doch, den Screenshot hat er dir via Email zukommen lassen. Damit hätest du ja schon mal einen Anhaltspunkt zum Täter.

mfG
Thorsten
 
Sieht aus wie ein möchtegern "haxx0rkind"
Hat Linux, arbeitet mit XAMPP ?! Was ist das bitte?

Er muss nich umbedingt auf dein SQL Server zugriff haben, evtl hat schon eine SQL-Injecten im VB gereicht um ein Dump zu ziehen.

Wegen dem Ddos würde ich zum Hoster gehen und den fragen ob er was machen kann, bzw ob er dir rechtlich helfen kann.
 
Hi,

der Hoster kann was machen... die Ziel-IP blackholen. Bringt nur recht wenig, weil dann der ganze Server nicht mehr erreichbar wäre.


-W
 
Ich würde Thorstens Ansatz verfolgen. Sachverhalt in Ruhe zuhause niederschreiben, Email mit Header ausdrucken, zur Polizei gehen und Anzeige erstatten.

--marneus
 
Also durchs Screenshot glaube ich eher das "Paulchen" (vermutlich hier viron32) den Screenshot via ICQ bekommen hat. Sieht man aufm Screen hats sich praktisch mit seinen Daten Local auf seinen Rechner eingeloggt als Paulchen um bissel was zu demonstieren und man sieht das nen icq fenster mit "Paulchen" offen ist. Da hat der "hacker" sich wohl einfach die icq nummer von paulchen aus diesen forumsystem rausgesucht und ihn angeschrieben.
 
NacKteOmA said:
Also durchs Screenshot glaube ich eher das "Paulchen" (vermutlich hier viron32) den Screenshot via ICQ bekommen hat. Sieht man aufm Screen hats sich praktisch mit seinen Daten Local auf seinen Rechner eingeloggt als Paulchen um bissel was zu demonstieren und man sieht das nen icq fenster mit "Paulchen" offen ist. Da hat der "hacker" sich wohl einfach die icq nummer von paulchen aus diesen forumsystem rausgesucht und ihn angeschrieben.
Click to expand...
Guter Punkt.
 
Da sehe ich nun aber wirklich genügend Anhaltspunkte, um dem Kerl juristisch eins reinzuwürgen. Wenn der mich mit ICQ anschreiben würde, wäre seine IP ratzfatz mit Screenshot bei den Unterlagen dabei.

--marneus
 
Ob genau getroffen weiss ich nicht, aber sicherlich machen deine Ausführungen Sinn.
 
Die Tipp's mit der Polizei kannst Du alle erstmal in den Papierkorb verschieben...

Mit ziemlich großer Sicherheit wird nämlich NICHTS passieren. Wenn die Person die DDoS-Attacke gezielt gegen Dich bzw. Dein Forum gerichtet hat, wird er sich in irgendeiner Art und Weise abgesichert haben.

Zudem wird die Polizei nicht seitenweise Log-Dateien auswerten. In der Regel werden DDoS Attacken durch ein komplettes Netz von meist gehackten Server gestartet - den eigentlichen Verursacher zu finden ist dabei meist sogut wie unmöglich. Im Endeffekt bleibt nur: Abwarten.

Gerade bei Angriffen aus einem Botnet hat man kaum eine Chance, da es sich um unzählige verschiedene IPs handelt und dieses Netz ggf. ständig erweitert wird. Da DDoS Attacken von Providern und RZ Betreibern sehr ungern gesehen werden, wundert es mich, dass Dein Server überhaupt noch Online ist...
 
Achso,... da es "eh nix bringt" geht man gar nicht erst dagegen vor...

Dank solcher Leute ist es doch so einfach ungeschoren davon zu kommen.

Wie ich solche unsinnigen Kommentare liebe...
 
Danke Wachert - besonders den letzten Satz teile ich. Was der gute Chrisl nämlich gänzlich vergisst, ist die Tatsache, dass evtl. auch Haftungsansprüche gegen den Threadersteller durch den Ausfall entstanden sind. Da hilft nur eine Anzeige.

--marneus
 
Ich bin auch ganz Wacherts Meinung man muss es zumindest versuchen gegen die Leute vorzugehen. Wers nicht versucht hat mit Sicherheit keine Chance da irgendwas zu erreichen. Und diese Kiddies immer ungeschoren davon kommen zu lassen ist nicht super.

Wenn du mal ne saftig Abmahnung oder ne Sperrung ihrer Internetleitung haben denken sie nämlich schon darüber nach ob dass was sie da getan haben wirklich so toll war. Vorallem wenn man das ganze evtl. vor seinen Eltern rechtfertigen muss.

Und so selten ist es nun auch nicht dass wenn du die IP hast und den Internetprovider anschreibst zu dem sie gehört dass dieser etwas unternimmt. Im Gegenteil meistens sind die froh dass sie so etwas mitbekommen.

Chrisl deine Einstellung versteh ich nicht wenn dir jemand in der Nacht das Auto zerkratzt oder wenn du nicht da bist in deine Wohnung einbricht stellst du dann auch keine Anzeige? Weil es bringt ja echt nichts?
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top