DOs Attacke

Ich habe das gleiche Problem.

Server hängt sich auf durch httpd prozesse

Hallo, sobald ich den Apache starte habe ich innerhalb von ca.5 Minuten totale Server überlastung. Ich habe Suse10 mit Plesk8 Rootserver bei Strato Ich hab nicht viel gefunden, aber das was ich habe reicht wohl. Brauche jetzt nur ein paar Tips. Oder ein Hinweis wo das zeug zumindest...
serversupportforum.de

Vorher Visias...wurde jetzt vor paar Tagen gehackt. Dann habe ich mich für Plesk entschieden. Alle Domain usw. habe ich mit viel aufwand migriert und alles Joomla installationen auf den aktuellen stand gebracht. Und jetzt schon wieder. Alle Stunden mal ganz zufällig hängt der Server.

Verdächtige Dateien finde ich keine, chkrootkit auch nichts und Pfade/Url's die irgendwie häufig aufgerufen werden finde ich auch keine in den Logs.

Wie löst den das 1&1 zum Beispiel. Bei denen gibts damit keine Probleme und wird einfach als geblockt angezeigt.

Wenn ich jetzt neu installiere kann ich absehen, daß es gleich wieder passiert.

Vielleicht hat jemand interesse sich das direkt anzusehen. Per PN kann man ja weiteres besprechen.
 
Hallo,

ich nenne mal ein paar Stichworte.

Im Bezug auf den Apache :
mod_evasive
mod_security

Ganz grundlegend sei gesagt das man schon wissen muss was man sich da auf den Server legt (in diesem Beispiel Joomla) und auch immer wieder notwendige Updates einspielen.
 
Hallo,

otc said:
Und jetzt schon wieder. Alle Stunden mal ganz zufällig hängt der Server.
Click to expand...

welche sonstigen Anzeichen für gehackt hast Du? Ein Server kann auch aus anderen Gründen hängen.
Wie löst den das 1&1 zum Beispiel. Bei denen gibts damit keine Probleme und wird einfach als geblockt angezeigt.
Click to expand...
Was wird wann als geblockt angezeigt?
Wenn ich jetzt neu installiere kann ich absehen, daß es gleich wieder passiert.
Click to expand...
register_globals = off
allow_url_fopen = off

Kein Wundermittel, aber ein großer Teil der Angriffe durch Möchtegern-Hacker wird damit verhindert.
 
Die Einstellungen passen alle.

Habe die Lücke gefunden *aufholzklopf*. 1x FacileForms und 1x Community Builder von Joomla. Waren alte Versionen die ein Kunde installiert hatte, die ich einfach noch übersehen habe in den Logs.
Das läuft jetzt.

Danach hab ich einen Neustart gemacht und jetzt funktioniert die Namensauflösung nicht mehr. Bind läuft. Jetzt kann qmail natürlich keine mails versenden.

Hat da vielleicht noch jemand eine Idee?
Anbei mal meine named.conf ... ich seh fast nichts mehr von lauter logs lesen.
 
Hallo,

otc said:
Waren alte Versionen die ein Kunde installiert hatte, die ich einfach noch übersehen habe in den Logs.
Click to expand...
Glückwunsch. :D :D
Danach hab ich einen Neustart gemacht und jetzt funktioniert die Namensauflösung nicht mehr.
Click to expand...
Seit dem Neustart oder schon seit der Neuinstallation?
Betreibst Du überhaupt einen eigenen Nameserver?

Code: 
cat /etc/resolv.conf
und Ergebnis zeigen.
 
Bitteschön.

Code: 
nameserver 81.169.163.104
nameserver 81.169.163.106
domain serverkompetenz.net
### BEGIN INFO
#
# Modified_by:  dhcpcd
# Backup:       /etc/resolv.conf.saved.by.dhcpcd.eth0
# Process:      dhcpcd
# Process_id:   4840
# Script:       /sbin/modify_resolvconf
# Saveto:
# Info:         This is a temporary resolv.conf created by service dhcpcd.
#               The previous file has been saved and will be restored later.
#
#               If you don't like your resolv.conf to be changed, you
#               can set MODIFY_{RESOLV,NAMED}_CONF_DYNAMICALLY=no. This
#               variables are placed in /etc/sysconfig/network/config.
#
#               You can also configure service dhcpcd not to modify it.
#
#               If you don't like dhcpcd to change your nameserver
#               settings
#               then either set DHCLIENT_MODIFY_RESOLV_CONF=no
#               in /etc/sysconfig/network/dhcp, or
#               set MODIFY_RESOLV_CONF_DYNAMICALLY=no in
#               /etc/sysconfig/network/config or (manually) use dhcpcd
#               with -R.  If you only want to keep your searchlist, set
#               DHCLIENT_KEEP_SEARCHLIST=yes in /etc/sysconfig/network/dhcp or
#               (manually) use the -K option.
#
### END INFO
# yast2 needs a nameserver (inst_netsetup)
 
Achja ich habe den Plesk DNS Server ein. Ist ja wohl nur für interne Domains, wenn standard eingestellt.
 
Hallo,

nameserver 81.169.163.104
nameserver 81.169.163.106
Click to expand...
ist da Deine IP dabei? Ich vermute nicht, müßten die Forwarders von Strato sein.

Dein Bind ist also nur wichtig, wenn er als authoritativer NS für Deine Domains eingetragen ist, ist das der Fall?
 
Code: 
ist da Deine IP dabei? Ich vermute nicht, müßten die Forwarders von Strato sein.
Nein. Und ja das sind die von Strato.

Code: 
Dein Bind ist also nur wichtig, wenn er als authoritativer NS für Deine Domains eingetragen ist, ist das der Fall?
Nein ist er nicht. War eigentlich auch immer egal ob der ein oder aus war, wenn ich mich recht errinere.
 
Keine ahnung. War nur eine Vermutung.

Es ist ja nicht nur qmail. Es kann nirgends der Name aufgelöst werden.
Z.b. Plesk Update kommt ein fehler aus diesem Grund usw.

Oder zum Beispiel:
Code: 
# ping google.de
ping: unknown host google.de

# nslookup google.de
;; connection timed out; no servers could be reached
 
MOD: Full-Quote entfernt!

Das hatte ich alles schon getestet. Ping funktionierte und Firewall aus machen hat nichts geholfen.

ABER jetzt gehts auf einmal. Manchmal muss man einfach nur warten. :)

Trozdem danke für dein bemühen.
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top