DoS oder nicht? Serverloft Support enttäuscht mich

Patrick Bauer

New Member
Liebes Forum,

derzeit hab ich ein ziemliches Problem, welches ich als DoS ansehe, der Hoster so aber scheinbar nicht erkennt.

Angefangen hat das ganze gestern/vorgestern und hat sich dadurch bemerkbar gemacht, dass ein FTP-Backup zu einem externen Server immer langsamer wurde und dann mit einer Fehlermeldung aufhörte.

Gestern Morgen hab ich dann ein normales "apt-get update" und "apt-get upgrade" ausgeführt. Die hier zu downloadenden Pakete wurden nur sehr langsam geladen: Ich wurde skeptisch.

Testweise dann per wget eine Suse / Debian ISO gezogen, beide dümpelten bei 10-30kbps vor sich hin -> abgebrochen, an den Support geschrieben.

Wie der mir riet, hab ich ein MTR auf einen der Download-Server gemacht und bekam an jedem Knoten Packet-Loss: "Oha, was ist denn jetzt los?"

Nach einem weiteren Ticket des Supports und einigen Stunden Wartezeit:

"Sie senden/empfagen schlicht zu viele Pakete, mehr als ihre 100Mbit Anbindung leisten kann." (nachformuliert)

Code:
----- -----
Frame Size    Frame Counts  Frames/sec    Frame Type  Total       Total/sec
------------  ------------  ----------    ----------  ----------  ---------
64            1849802764    47            RX Bytes    3956393614  173541
65-127        2838735903    85592         RX Frames   754152984   131
128-255       180818678     5
256-511       91117837      1             TX Bytes    3517274697  9523840
512-1023      101675356     4             TX Frames   1117626175  85632
1024-1518     1104595916    114

Unicast RX    754150863     131
Multicast RX  417           0
Broadcast RX  1704          0
-----

Mittlerweile war der Server immer schlechter anzupingen, Webseiten und SSH nur noch stockend und langsam.
Also ich tcpdump angemacht und siehe da: sekündlich mehrere hundert/tausend Pakete von einem server4you-Server. Sah für mich ganz klar nach einen DoS aus... oder nicht?

Dann schon gestern Abend Ticket + Mail + Anruf an Serverloft, sie sollen den Server doch bitte vom Netz trennen erstmal. Heute morgen (nach 12+ Stunden :mad:) dann ne kurze Antwort:

"wie gewünscht wurde ihr Server vom Netzwerk getrennt. Bitte geben Sie uns in einem seperaten Ticket bescheid, wenn wir den Server wieder einstecken können."

Gleich drauf an abuse@server4you.de geschrieben... bisher noch keien Antwort. Ein Ticket zu Serverloft mit der bitte bescheid zu geben, wann der Ansturm vorbei ist und wir dem Support bescheid geben können, den Server wieder anzuschliessen:

"Da wir den Angriff nicht entdeckt haben wird von unserer seite her keine Überwachung stattfinden. Jedoch ist es so das wenn es sich um eine DoS Attacke handelt diese in der Regel nach 24 Stunden nach ausstecken des Hostes vorbei ist. Deswegen würde ich Sie bitten das Sie uns nach 24 Stunden über das Ticket informieren, dass wir den Server wieder einstecken."


Meine Frage an euch:
Ist das eine, wie ich sie identifizieren würde, DoS Attacke?
Wenn ja, wieso bemerkt der Hoster das nicht und macht auch nichts dagegen? Selbst nach Meldungen und Anrufen immer nur abgewimmelt oder oftmals nichtssagende Antworten.

Bin etwas unzufrieden, unsere Seiten sind jetzt seit 2 Tagen kaum noch erreichbar, seit gestern Nachmittag überhaupt nicht mehr. Alleine den Server vom Netz zu nehmen hat Stunden gedauert. Ich denke, es sei immer ein Techniker vor Ort?


Nunja, vielleicht redet hier auch ein wenig der Frust aus mir, wäre schön wenn einige schreiben könnten, was sie davon halten :)

Liegt der Fehler bei mir oder beim Hoster? Ist es gar kein DoS? Ich bin zwar kein jahrelanger Profi, aber in den Logs oÄ konnte ich nichts entdecken.
Der Intraffic wurde nur immer höher. Alleine gestern gab es etwa 300GB In-Traffic und etwa 2GB Out (kommt wohl vom Backup auf externe Server). Könnte das ein Hackangriff sein? Aber dann gibts doch nicht so viel Intraffic?

Liebe Grüsse
Patrick
 
Last edited by a moderator:
Wie kommst du denn aus abuse@server4you.de? Ging der ganze Traffic an den oder wie?

Aus deinem Auszug ist erkenntlich, dass dein Server so viel sendet (TX = transceive = senden). Eingehend hat er nur wenig Traffic, ausgehend ist das Problem. Eventuell führt dein Server Angriffe auf andere Server aus. Sowas kann durch veraltete Software mit Sicherheitslücken etc. passieren.

Hast du schonmal mit iptraf geschaut, an wen der ganze Traffic geht?
 
An abuse@serv4you.de weil im tcpdump fast in jeder Zeile (und es waren tausende) nur immer ein server4you Server angegeben war. Leider hab ich derzeit keinen Auszug, da der Server mittlerweile vom Netz ist.


Aber das mit dem Senden kann ich mir nicht erklären. Vor allem weil heute dann im Serverloft Panel unter Traffic stand:

Code:
Start  	Ende  	IN  	OUT  	Gesamt  
01.04.09  	30.04.09  	227.5 GB  	1981.15 MB  	229.5 GB

Man sieht, gestern: 230GB *in* und nur 2GB *out*. Deshalb verstehe ich auch nicht diese Tabelle. Das OUT erkläre ich mir durch die morgendlichen Backups die etwa diese Grösse haben.

Mein Etch System habe ich eigentlich nach besten gewissen aufgebaut. Immer aktuelle Sicherheitspatches eingespielt, Vorkerhrungen getroffen etc.

Ich bin bei Gott kein Profi, aber zumindest fortgeschrittener Anfänger. Habe z.b. ein grosses Debian Buch durchgearbeitet und im Internet viel nachgeforscht um den Server aufzusetzen.

Bzgl iptraf: nein, hab von dem Tool auch noch nichts gehört.
Aber wie geschrieben, TCP Dump hat massenhaft Anfragen von einem s4y Server ausgespuckt.

Jedenfalls war bis heute morgen (da wurde endlich der Stecker gezogen), das System so langsam dass alle Verbindungen (ssh, http) nicht zu stande kamen durch ein "Connection timed out".
 
Last edited by a moderator:
Also da hat der Support schon recht, wenn deine Leitung dicht is, ist das mit Sicherheit die Ursache für den Connection timeout.
Aber wenn der Server jetzt wieder erreichbar is, hat deine Mail an den S4Y Abuse ja geholfen. Normalerweise reagieren die Anbieter ja sehr schnell darauf.

Interessant wäre jetzt natürlich noch, warum dein Server so viel gesendet hat. War das vielleicht zur zeit, als er die erwähnten Backups gemacht hat heute morgen?
 
Das hab ich ja selbst so hingestellt. Leitung dicht -> Timeout. Macht ja auch Sinn.

Der Server ist nicht erreichbar, er ist getrennt vom Netz. Morgen lasse ich ihn wieder anklemmen und hoffe er läuft.

Bist du sicher, dass der Server gesendet hat?
Wieso sollte es dann so viel Input-Traffic sein und kein Out-Traffic?
 
Kann ich dir nicht sagen, aber TX ist auf jeden Fall die Senderichtung, RX ist Receive also Empfangen.
 
Ein Tipp wo ich morgen früh nachsehen soll? Bestimmte Logs in denen man was verdächtiges sehen könnte, wenn es denn von unserem Server ausginge?
 
Ich werd mich umsehen, danke.

Nur ist weiterhin dann dieses Unverständnis, des eigentlich komplett umgekehrten In-Out Traffics den ich heute morgen in der Statistik sehen konnte.
 
Solltest du nach dem Anschließen wieder die gleichen Probleme haben, solltest du mal mit iptraf nachsehen, auf welchen Ports denn so der ganze Traffic entsteht und ob das nun UDP- TCP- oder irgendwelche anderen Pakettypen sind.
Im Menüpunkt "Detailed Interface Statistics" kannst du dann auch den Datendurchsatz beobachten und sehen, ob die nun ein- oder ausgehend sind.
 
Danke, werde ich machen. Hab mich schon ein wenig erkundigt... iptraf scheint ja ein wirklich schickes Programm zu sein. Schön hier ein paar gute Tipps zu bekommen ^^
 
Mit iftop kannst du dann genau nachsehen welche Verbindung den hohe Traffic verursacht inklusive Destination.
 
Hallo Leute, ich verzweifel.
Der Server wurde heute wider angeschlossen und nach etwa 2 Stunden gehts wieder los:

Wie ihr hier sehen könnt ist es wirklich massiver IN-Traffic, Out geht eigentlich fast gar nichts.

Mod: Bilder bitte immer als Anhang! Danke.

Was kann ich tun? Die IP hab ich per IP-Tables schon gesperrt und lasse sie droppen, aber das hilft nicht. Was tun?
Ist das ein DoS? Oder ein erfolgreicher Hack und seine Auswirkungen?

Ich hoffe ihr könnt mir helfen, danke.

Gruss
Patrick
 

Attachments

  • incoming.jpg
    incoming.jpg
    188.1 KB · Views: 415
Last edited by a moderator:
Hallo,

Die Anfrage gehen Richtung Webserver. Schau mal in das error_log vom Apache rein.
 
Nur Massenhaft Einträge:

Code:
[Fri Apr 03 12:22:00 2009] [error] [client 127.0.0.1] Attempt to serve directory: /var/www/

Sonst nichts auffälliges, nur die Fehler die beim normalen Surfen auf unseren Foren so auftreten können (fehlende Bilder oÄ).

@Centy
Ja, werde ich nochmal machen, wobei ich eigentlich dachte, 1x sollte reichen :)
 
Hallo,

Ich habe mir deinen Screenshot nochmal angesehen.
Die Connects sind UDP Port 80. Das kann also nicht in den Apachelogs auftauchen.

Schreibe einfach eine Mail an den Support mit der bitte UDP Port 80 für deine IP im Corerouter zu droppen.
Selbst wenn du das auf der Maschine blockst, kommen die Pakete trotzdem bis zu deiner Netzwerkkarte und verursachen die Last.

Es sieht für mich nach einem gezielten DOS auf dein System aus.
 
Hab dem Support schon vor anderhalb Stunden geschrieben + Sceenshot + bitte im Router/Switch die Angreifer-IPs (sind ja 5 Angreifer wenn ich das sehe, das Hauptproblem geht aber von diesem einen aus) zu droppen.

Bisher keine Antwort, leider. Damit verweise ich dann nochmal auf den Titel meines Threads... leider teilweise enttäuschend (gab auch schon gute und schnelle Reaktionen).

Vor allem der ganze Traffic der anfällt ärgert mich tierisch. An einem Tag 300-500 GB nur Intraffic, auch wenn 5 TB frei sind, das muss nicht sein.
Die Webseiten sind zum Glück noch erreichbar, aber nur sehr langsam.
 
Rufe doch am besten an, dann kannst du ihnen auch direkt erklären, dass es höchste Priorität hat, auch in deren Sinne. Denn durch deinen Traffic wird deren Infrastruktur unnötig belastet.
 
Da muss ich sagen habe ich super Erfahrungen mit Hosteurope gemacht, am Sonntag haben die nach einer Stunde reagiert (ich hatte nur ein Supportticket erstellt) und den gesamten Traffic bei mir blockiert der auf UDP 22 kam.

Aber wie mein Vorredner schon sagt am Besten ist du rufst direkt an wenn es dringend ist.
 
Back
Top