ddos attacke?

helloworld · Apr 3, 2007

ich fürchte wir sind opfer einer ddos attacke geworden..

der server ist kaum ansprechbar und völlig überlastet..

die access_log sagt folgendes:

80.145.218.175 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.0" 200 175 "-" "Mozilla/4.0 compatible ZyBorg/1.0 (wn.zyborg@looksmart.net; http://www.lolyousuck.com)"
80.145.218.175 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.0" 200 175 "-" "Mozilla/4.0 compatible ZyBorg/1.0 (wn.zyborg@looksmart.net; http://www.lolyousuck.com)"
164.100.41.26 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.5a) Gecko/20030718"
71.246.62.174 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; ODI3 Navigator)"
65.105.224.226 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 9"
65.82.83.226 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Q312461)"
80.134.46.71 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)"
12.240.2.193 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.5a) Gecko/20030728 Mozilla Firebird/0.6.1"
85.22.28.68 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Lynx/2.8.4rel.1 libwww-FM/2.14 SSL-MM/1.4.1 GNUTLS/0.8.6"
213.65.95.204 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Googlebot/2.1 (+http://www.googlebawt.com/bot.html)"
65.162.123.5 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; DigExt)"
208.120.157.153 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Hotbar 4.3.1.0)"
194.105.9.84 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/5.0 (Slurp/cat; vaginamook@inktomi.com; http://www.supercocklol.com/slurp.html)"
75.57.138.172 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Hotbar 4.3.1.0)"
80.250.125.162 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/5.0 (X11; U; FreeBSD i386; en-US; rv:1.5) Gecko/20031021"
211.247.88.178 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "FAST-WebCrawler/3.8 (atw-crawler at fast dot no; http://i.love.teh.cock/support/crawler.asp)"
85.94.138.198 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/5.0 (X11; U; FreeBSD i386; en-US; rv:1.5) Gecko/20031021"
199.216.204.19 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.5a) Gecko/20030728 Mozilla Firebird/0.6.1"
123.4.143.222 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; DigExt)"
218.24.72.195 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.5) Gecko/20031007"
132.252.176.18 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.0" 200 175 "-" "Mozilla/5.0 (X11; U; Linux i586; de-DE; rv:1.7.5) Gecko/20041122 Firefox/1.0"
172.174.193.200 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)"
203.84.186.246 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; ODI3 Navigator)"
84.134.177.236 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
80.145.218.175 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.0" 200 175 "-" "Mozilla/4.0 compatible ZyBorg/1.0 (wn.zyborg@looksmart.net; http://www.lolyousuck.com)"
221.203.207.196 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.5a) Gecko/20030718"
211.217.174.118 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Googlebot/2.1 (+http://www.googlebawt.com/bot.html)"
84.138.83.253 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"

wie geht man da am besten vor?

Thorsten · Apr 3, 2007

Hallo!
Bisher sehe ich hier nur Zugriffe auf ein Index Dokument einer deiner Websites. Es sind ein paar Besucher und ein paar Suchmaschinen. Eigentlich nichts außergewöhnliches. Was lässt dich annehmen, dass es sich hierbei um einen Angriff handelt?

mfG
Thorsten

ClemensBW · Apr 3, 2007

Möglicherweise ist er keine 20 gleichzeitigen Zugriffe pro Sekunde gewöhnt

helloworld · Apr 3, 2007

die situation ist im moment so:

mein server A mit der domain xxx.de ist völlig überlastet (load average ca. 300), deswegen reagiert der apache nicht und verwirft die anfragen.

wenn ich nun die domain xxx.de auf einen anderen server B umleite (per IP) und dort per script eine weiterleitung auf den server A mache, funktioniert der server A wunderbar und der server B ist sofort überlastet. Die Anzahl der eingehenden pakete steigt um das vierfache. Ausgehende pakete halbieren sich.

helloworld · Apr 3, 2007

Thorsten said:
Hallo!
Bisher sehe ich hier nur Zugriffe auf ein Index Dokument einer deiner Websites. Es sind ein paar Besucher und ein paar Suchmaschinen. Eigentlich nichts außergewöhnliches. Was lässt dich annehmen, dass es sich hierbei um einen Angriff handelt?

mfG
Thorsten

ist das auch nichts ungewöhnlches?

http://www.lolyousuck.com

Alien.pc · Apr 7, 2007

Hi,

du leitest die Domain um oder schiebst die ganze Website um ?
Geb doch mal die TOP abfrage her ... Bandbreiten Stats und soweiter.

Den der Log sieht soweit ok aus

ddos attacke?

helloworld

Guest

Thorsten

SSF Facilitymanagement

ClemensBW

Registered User

helloworld

Guest

helloworld

Guest

Alien.pc

New Member

We value your privacy