DDos attacke was tun?

[dirk1405]

Hallo
ich leide seid mehreren Tagen unter mehreren DDos attacken auf mein strato vserver.
Ein Techniker hat mir sehr weitergeholfen, und hat gesagt, ich solle fail2ban installieren. Dies habe ich gemacht, aber keine Ahnung wie ich das ganze einrichte.
Wie stelle ich ein das solche attakcen unterbunden werden?
Also sagen kann ich, das wenig auf meine Seite zugreifen, also kann man das ganze sehr sensibel einstellen.
Würde mich um Hilfe freuen, da ich wenig Ahnung von dem ganzen habe.

MfG Dirk

 

[tomasini]

Wie hast du festgestellt, dass es sich überhaupt um eine DDos-Attacke handelt und dann gleich auch noch um mehrere? Kannst du mal bitte Logs posten mit den relevanten Entries? Bei DDos-Attacken hilft auch kein fail2ban, was helfen würde wäre, wenn der Strato-Support einfach die Anfragen der entsprechenden IPs auf die konkreten Ports deines Servers am Core-Switch verwirft. Das müsste eigentlich auch im Interesse von Strato sein, denn alle anderen VServer auf dem Host sind von diesen Attacken nämlich mehr oder weniger genau so betroffen.

Infos zu fail2ban gibts hier: http://www.fail2ban.org/wiki/index.php/Main_Page

 

[dirk1405]

also zwischendurch ging es kurzzeitig, da konnte ich einen blick auf mein Forum werden. Zufällig war ich grade bei der wer is online liste, da waren haufenweise ips ohne kennung drin.
Wenn du mir noch sagen könntest welche logs?
Weil viel ahnung habe ich nicht, wo die logs liegen und welche

 

[Lord Gurke]

Die IPs fingen nicht zufällig mit 66.249.... an?

 

[dirk1405]

ne sind total unterschiedlich.
Habe mir mal die error.log angeschaut, da sind lauter solcher einträge:

[Sat Aug 28 00:40:36 2010] [error] [client 78.93.1.145] File does not exist: /var/www/vhosts/default/htdocs/myadmin
[Sat Aug 28 00:40:36 2010] [error] [client 78.93.1.145] File does not exist: /var/www/vhosts/default/htdocs/webadmin
[Sat Aug 28 00:40:37 2010] [error] [client 78.93.1.145] File does not exist: /var/www/vhosts/default/htdocs/sqlweb
[Sat Aug 28 00:40:38 2010] [error] [client 78.93.1.145] File does not exist: /var/www/vhosts/default/htdocs/websql

Das ist oft hintereinander drin, dann kommts von einer anderen ip

edit: was ich grad merke, das dies älter ist. über das aktuelle steht nur:

[Sat Sep 18 17:56:27 2010] [warn] Init: SSL server IP/port conflict: rissland.dirk-rissland.de:443 (/var/www/vhosts/dirk-rissland.de/conf/httpd.include:619) vs. stamm.dirk-rissland.de:443 (/var/www/vhosts/dirk-rissland.de/conf/httpd.include:756)
[Sat Sep 18 17:56:27 2010] [warn] Init: SSL server IP/port conflict: hbfes08.dirk-rissland.de:443 (/var/www/vhosts/dirk-rissland.de/conf/httpd.include:482) vs. stamm.dirk-rissland.de:443 (/var/www/vhosts/dirk-rissland.de/conf/httpd.include:756)
[Sat Sep 18 17:56:27 2010] [warn] Init: SSL server IP/port conflict: com.dirk-rissland.de:443 (/var/www/vhosts/dirk-rissland.de/conf/httpd.include:345) vs. stamm.dirk-rissland.de:443 (/var/www/vhosts/********/conf/httpd.include:756)
[Sat Sep 18 17:56:27 2010] [warn] Init: SSL server IP/port conflict: *****:443 (/var/www/vhosts/********/conf/httpd.include:12) vs. ********:443 (/var/www/vhosts/*******/conf/httpd.include:756)
[Sat Sep 18 17:56:27 2010] [warn] Init: SSL server IP/port conflict: default-85-214-93-6:443 (/etc/apache2/conf.d/zz010_psa_httpd.conf:102) vs. s******:443 (/var/www/vhosts/*****/conf/httpd.include:756)
[Sat Sep 18 17:56:27 2010] [warn] Init: SSL server IP/port conflict: default-81-169-129-75:443 (/etc/apache2/conf.d/zz010_psa_httpd.conf:83) vs. horde.webmail:443 (/etc/apache2/conf.d/zzz_horde_vhost.conf:41)
[Sat Sep 18 17:56:27 2010] [warn] Init: SSL server IP/port conflict: ******:443 (/var/www/vhosts/*****/conf/httpd.include:486) vs. horde.webmail:443 (/etc/apache2/conf.d/zzz_horde_vhost.conf:41)
[Sat Sep 18 17:56:27 2010] [warn] Init: SSL server IP/port conflict: *******:443 (/var/www/vhosts/*****/conf/httpd.include:347) vs. horde.webmail:443 (/etc/apache2/conf.d/zzz_horde_vhost.conf:41)
[Sat Sep 18 17:56:27 2010] [warn] Init: SSL server IP/port conflict:

gerne schicke ich das ganze komplett, aber nur per pn, da nicht jeder das lesen soll.

 

[IP-Projects.de]

Die SSL Warnings weisen nicht wirklich auf eine DDOS Attacke hin. Hier wird nur mitgeteilt, dass ein Konflikt bei den SSL vHosts vorherrscht.

Eine DDOS Attacke kann man wohl am schnellsten über den Befehl

netstat -anp

sehen, hier werden alle eingehenden Verbindungen von x IPs auf den Server angezeigt. Entgegenwirken kann man eventuell schon mit einer IPTable Firewall, hier ist aber der Nachteile, dass die Pakete dennoch auf den Server eintreffen. Sollen die Pakete gar nicht erst auf den Server zugestellt werden, ist eine Hardware Firewall Lösung zweckmäßig.

 

[bibabu]

Moin,

du hast bestimmt keine DDoS. Wenn dein Server wirklich eine DDoS abbgekommen würde, dann wäre dein Server schon längst von Strato gesperrt. Weil durch die DDoS möglicherweiße andere Strato Kunden beeinträchtigt wären.

Die Zugriffe im access.log/error.log sind nicht ungewöhnlich. Habe ich auch zu hauf. Das sind automatisierte Bots die nach Sicherheitslücken suchen.

Am besten kaufst du dir einfach einen preiswerten Webspace. Damit bist du nämlich auf jeden Fall besser bedient als mit einem Vserver.

 

[dirk1405]

so genau das habe ich gemacht, raus kam ein 503 error.
Ich habe langsam kein Bock mehr, soll das wirklich heissen, hacker haben mehr drauf?
Kann man nicht mal mehr seinen Server hosten ohne gleich angegriffen zu werden?
Ey echt bekomm ich von dem depp die ip geh ich mit dem Baseballschläger hin und zeig ihm ma was sache is.
Wenigstens The Busfreak hat mir geholfen, fail2ban installier etc.
Hat anfangs gut geklappt, doch jetzt gehts grad weiter.
Wenn mir mal jemand sagen könnte, welche logs ich auslesen soll etc.
habe jetzt dem www verzeichnis alle rechte genommen, somit hat er keinen zugriff.
Wenn ich es wieder an mache, habe ich werder zugriff auf ssh noch auf ftp.
Ich kann euch gerne meine icq nummer geben.
Habe auch Teamviewer aufm pc.
Also wenn sich jemand auskennt HILFE!!
Ich konnte auch beim Traffik monitor sehen, das ein erhöhter Traffikverbrauch vorhanden war.

 

[mr_brain]

Mal beim Apache die Timeout-Zeit geändert?

 

[d4f]

Ey echt bekomm ich von dem depp die ip geh ich mit dem Baseballschläger hin und zeig ihm ma was sache is

Und landest in aller Regel bei einem 0815-Buerger der einen Virus auf dem Rechner hat.
Gewalt-Ausbrueche respektiv den "Coolen" zu markieren helfen nicht wirklich weiter.

Wenn ich es wieder an mache, habe ich werder zugriff auf ssh noch auf ftp.

Scheint als dein Server einfach zu ausgelastet sei. Ich bezweifele anhand der Tatsache dass dein Server online ist und dass der Techniker dich auf fail2ban verwiesen hat dass die Attacke bandbreitenfressend (zb LOIC) ist. -Sofern es ueberhaupt eine Attacke ist

Ohne konkrete Informationen respektiv ohne den Angriff(?) "live" mit zu erleben kann man nicht viel machen, allerdings kann man (fast) alle nicht-bandbreiten-fressende Attacken (von Syn-Flood ueber Slowloris bis hin zu PHP-Fresser) relativ schnell unterbinden sofern man weiss wo man ansetzen soll.
Kannst mich ja mal in ICQ adden (248 -- 978 -- 444) oder in den ServerSupportForum IRC (Zugangsdaten auf der Hauptseite von SSF) kommen

 

[dirk1405]

ja wie gesagt, ihr müsst mir dann noch sagen wie ich das mache
Also groß geändert habe ich nichts.
Da ich mich mehr mit php etc. beschäftige.
Und nein ich werde nicht auf Webspace umziehen.
Die Zeit ist geändert.
Das hier sind die ips, die ich übers forum (wer ist online) herausgefunden habe.
Da kurzzeitig mein server wieder da ist.

187.35.59.87
97.92.204.3
110.136.188.171
79.178.5.251
84.57.185.35
203.156.43.77
202.134.24.32
93.245.192.14

 

[tomasini]

Dass die paar IPs da wirklichen Schaden anrichten können, bezweifle ich jetzt mal. Wie schaut denn aktuell die konkrete Ressourcenauslastung (top/htop/netstat) des Servers aus?

 

[dirk1405]

also wie gesagt, das ist ja nur ausgelastet wenn der angriff kommt. und da habe ich auch kein ssh und kein ftp zugriff mehr.
Und die Ips sind es nicht weiß ich auch, das sind über 60.
Das waren nur ein paar, die ich zwischendurch auffindbar machen konnte.

 

[tomasini]

Kannst du mal bitte die Systemdaten deines VServers posten und auch Angaben zur Ressourcenauslastung im "Normalzustand". Ich habe nämlich schlicht die Vermutung, dass dein Server eventl. nicht genug Power hat oder deine Konfiguration suboptimal ist, um in den Stoßzeiten alle Anfragen bedienen zu können.

Für eine effektive Analyse würden sich z.B. auch so Tools wie munin anbieten, mit denen die das Ganze über einen längeren Zeitraum beobachten könntest.

 

[killerbees19]

Für eine effektive Analyse würden sich z.B. auch so Tools wie munin anbieten, mit denen die das Ganze über einen längeren Zeitraum beobachten könntest.

Die brauchen leider ebenfalls ziemlich viele Ressourcen. Installiere dir einmal atop, das ist rein textbasiert, ist für diesen Einsatzzweck aber genau richtig


MfG Christian

 

[Ben.]

Die brauchen leider ebenfalls ziemlich viele Ressourcen.

munin braucht viele Resourcen? Das wäre mir neu.

Der winzige CronJob der alle paar Minuten läuft fällt nicht ins Gewicht.

 

[killerbees19]

Munin erstellt viele Grafiken, je nachdem wie viele Plugins aktiviert sind, und das kann je nach (v)Server doch ziemlich an den Ressourcen ziehen. Und wir wissen bisher noch nicht, wie viele er zur Verfügung hat


MfG Christian

 

[Ben.]

Die Ressourcen werden nur verbraucht wenn der Server mit auf dem gleichen Node läuft.

Abgesehen davon habe ich noch nie erlebt, dass munin für Serverlast verantwortlich ist.

Egal, jeder hat seine Erfahrungen gemacht ;-)

 

[killerbees19]

Die Ressourcen werden nur verbraucht wenn der Server mit auf dem gleichen Node läuft.

Davon ging ich im aktuellen Fall aus


MfG Christian