Iftop Komische Verbindungen

sonne

sonne

Registered User
Servus,
habe seit gestern wiedereinmal komische Verbindungen.
Seht am besten mal selbst nach. per Iptables wurde es geblockt, ist aber trotzdem noch in den verbindungen zu sehen.
unbenannt1dhl.jpg


Fail2ban, Denyhost sind eingerichtet. Die Logs sind alle sauber.

Sys: Debian Lenny / läuft kein Mail, Web, PHP SQL drauf.

Mfg
 
Last edited by a moderator:
Ja,

habe sie mit
Code: 
iptables -A INPUT -s <IP> -j DROP
hinzugefügt.

Wenn ich dann mit
Code: 
iptables -L
nachschaue steht sie auch drinnen.
 
Existiert der Jail?

Probier mal

iptables -I INPUT -s IP -j DROP

Gehen eigentlich andere iptables Regeln? Vielleicht hat dein Provider iptables deaktiviert.
 
michael-08 said:
http://forum.spamcop.net/forums/lofiversion/index.php/t7870.html

http://www.aboutus.org/SecureServer.net

http://unblock.secureserver.net/
Click to expand...

Und was sagt mir das?!

mr_brain said:
Existiert der Jail?

Probier mal

iptables -I INPUT -s IP -j DROP

Gehen eigentlich andere iptables Regeln? Vielleicht hat dein Provider iptables deaktiviert.
Click to expand...

Ja der Jail ist drinnen. Hab mal bei dem Hoster nen Ticket erstellt (bzgl.: Iptables)

Wie geht ich dann vor wenn Iptables deaktiviert wurde..?!
Der Hoster nuzt das Interface von vAdmin. Da wird der Traffic, der durch diese Verbindungen entsteht aber nicht gebucht.
Kommt mir auch komisch vor.

Da ja auch die Logs und alls sauber sind verstehe ich nicht wie diese Verbindungen zustande kommen.
In Punkto Sicherheit: SSh Port geändert, Login nur mit Key, Root Login deaktiviert.
 
Last edited by a moderator:
Hab jetzt auch nochmal mit iptraf nachgeschaut

Code: 
UDP (66 bytes) from 208.109.78.200:36373 to 188.72.193.37:53 on eth0         │
│ UDP (66 bytes) from 208.109.78.195:7924 to 188.72.193.37:53 on eth0          │
│ UDP (66 bytes) from 208.109.78.202:25838 to 188.72.193.37:53 on eth0         │
│ UDP (66 bytes) from 208.109.78.199:35932 to 188.72.193.37:53 on eth0

kleine UDP Pakete. wie gesagt Iptables will es nicht blocken.

€: Da ist aber keine IP von meinem Server dabei..
 
Last edited by a moderator:
Keine IP von dir?

Und dann Anfragen an Nameserver.

Vielleicht ist da auf dem Host irgendwie der Promiscuous Mode an.
 
Desswegen wird mir auch im vAdmin kein Traffic berechnet?!

Mein Server hat die 95.168.XXX.XXX

Wie kann ich das jetzt unterbinden!? Nur durch den Anbieter?!
Muss dazu sagen, das ich bis jetzt noch nicht solche UDP Packets bekommen habe, sprich das über meinen Server liefen.

Ist das jetzt weiter schlimm?! Zur Zeit ist der Server nämlich Offline!
 
Keiner mehr eine Idee oder eine Lösung?!

Wichtig ist erstmal zu wissen ob ich den Server wieder hochfahren kann...

Mfg Schöne Ostern!
 
Mach doch mal ein traceroute auf die 188.72.193.37. Wie weit ist die von deinem Server denn weg?

Hast du eine DomU auf einem XEN-Server? Da hatte ich auch mal den Effekt, daß ich fremden Traffic mitlesen konnte.
 
Cenic said:
Mach doch mal ein traceroute auf die 188.72.193.37. Wie weit ist die von deinem Server denn weg?

Hast du eine DomU auf einem XEN-Server? Da hatte ich auch mal den Effekt, daß ich fremden Traffic mitlesen konnte.
Click to expand...

Code: 
traceroute to 188.72.193.37 (188.72.193.37), 30 hops max, 40 byte packets
 1  89-149-218-93.internetserviceteam.com (89.149.218.93)  4.000 ms  4.000 ms  4                          .000 ms
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
....

Und das ist die andere IP

Code: 
traceroute to 208.109.78.196 (208.109.78.196), 30 hops max, 40 byte packets
 1  89-149-218-93.internetserviceteam.com (89.149.218.93)  4.000 ms  4.000 ms  4.000 ms
 2  r8-nh86.gatewayrouter.net (89.149.218.185)  0.000 ms  0.000 ms  0.000 ms
 3  77.109.91.121 (77.109.91.121)  0.000 ms  0.000 ms  0.000 ms
 4  router02.bruix.be.edpnet.net (212.71.1.9)  12.000 ms  12.000 ms  12.000 ms
 5  mpr1.ams1.nl.above.net (195.69.144.122)  44.000 ms  44.000 ms  44.000 ms
 6  ge-3-1-0.mpr1.ams1.nl.above.net (64.125.25.13)  12.000 ms  12.000 ms  12.000 ms
 7  so-3-0-0.mpr2.ams5.nl.above.net (64.125.28.90)  12.000 ms  12.000 ms  12.000 ms
 8  xe-3-2-0.mpr1.lhr2.uk.above.net (64.125.31.246)  20.000 ms  16.000 ms  16.000 ms
 9  so-1-1-0.mpr1.dca2.us.above.net (64.125.31.186)  88.000 ms  88.000 ms  88.000 ms
10  so-1-0-0.mpr3.iah1.us.above.net (64.125.29.37)  116.000 ms  116.000 ms  116.000 ms
11  xe-1-1-0.mpr4.phx2.us.above.net (64.125.28.73)  140.000 ms  140.000 ms  140.000 ms
12  xe-0-0-0.mpr3.phx2.us.above.net (64.125.27.41)  140.000 ms  140.000 ms  140.000 ms
13  64.124.196.38.allocated.above.net (64.124.196.38)  140.000 ms  140.000 ms  140.000 ms
14  ip-208-109-112-137.ip.secureserver.net (208.109.112.137)  140.000 ms  140.000 ms  140.000 ms
15  ip-208-109-112-161.ip.secureserver.net (208.109.112.161)  140.000 ms  140.000 ms  140.000 ms
16  ip-208-109-112-145.ip.secureserver.net (208.109.112.145)  140.000 ms  140.000 ms  140.000 ms
17  ip-208-109-112-173.ip.secureserver.net (208.109.112.173)  140.000 ms  140.000 ms  140.000 ms

Was meinst du mit DomU?!
 
Last edited by a moderator:
Das ist jetzt nicht wirklich erhellend, weil die fehlenden Antworten vom traceroute die entscheidenden Details verbirgt. Wenn ich von meinen Servern ein traceroute auf die 188.72.193.37 mache, dann endet das allerdings auch im Bereich 89.149.218.*.

Mit anderen Worten: die Verbindung von außen endet in dem Netz, welches bei dir als erstes angezeigt wird. Damit dürfte die 188.72.193.37 in unmittelbarer Nähe zu deinem Server genutzt werden.

Ich habe sowas bei einem auf XEN basierenden Server von mir schonmal gesehen. Da hat vnstat auch riesigen Traffic angezeigt, der in vAdmin nicht angezeigt wurde, da man dort offenbar die IP Adresse auswertet. Mit tcpdump war das dann auch sichtbar.

Und jetzt sehe ich, dass du vAdmin auch schonmal erwähnt hast. Ich denke, daß sich dein XEN-vServer und die 188.72.193.37 den gleichen Host teilen.
 
Nen Whois von der 188.72.193.37 zeig aber an das die aus Belgien kommen soll, oder liege ich da jetzt falsch?! Mein Serv steht in Dresden.

Wie bekomme ich denn dann jetzt die Verbindungen weg, bzw greifen die meinen Server an!? Der Server ist nämlich immernoch Offline :-/

Der Traffic läuft ja dann über meinen Host, nicht über meinen Vserver, oder wie soll ich das verstehen!? vnstart, nload, iftop und iptraf zeigen die Verbindungen an, und loggen sie auch.

Wie soll ich jetzt weitermachen!?

Wenigstens schonmal wieder Online gehen!?

Mfg
 
Last edited by a moderator:
Meine DSL-IP steht laut whois in Nürnberg, wo ich aber nicht sitze. Was sagt die Firmenadresse über die Nutzung?

Würde mich übrigens wundern, wenn du mit netstat wirklich Verbindungen siehst. Du siehst Pakete auf dem Netzwerkinterface, mehr nicht. Als wir nur ThinWire hatten, war das vollkommen normal...

Ich habe den Eindruck, dass das bei XEN (vielleicht im Zusammenspiel mid vAdmin) so üblich ist, weil ich genau das auch schon bei mehreren XEN-Installationen bei unterschiedlichen Hostern bemerkt habe.

Frag' doch deinen Hoster, was da passiert. Würde mich wundern, wenn du da mehr als "das muß so sein" hörtst. Alternativ suche dir einen Anbieter, der auf sauber geroutete Installationen setzt. Bei den Hosteurope vServern beispielsweise sehe ich definitiv kein Paket, was nicht für mich bestimmt wäre. Da läuft noch nicht mal arp.
 
Das ist eine Wiederholung der DNS-Attacke von vor anderthalb Jahren, nur daß diesmal die Pakete etwas variiert werden, in der Hoffnung, die Filter auszutricksen (falls sie überhaupt noch existieren).

Man nutzt aus, daß UDP verbindungslos ist und er Absender nicht stimmen muß, Opfer ist diesmal ein Spamfilter.

Zur Verdeutlichung mal eine etwas ältere Illustration - Dein Rechner soll der "reflector" werden.
 

Attachments

  • dns2.GIF
    dns2.GIF
    16.2 KB · Views: 107
Mein Hoster hat leider noch nicht geantwortet. Ich werde ihn aber jetzt aber auf alle fälle wieder Hochfahren!
Es geht ja nicht vom meinem Vserver, sondern vom Host aus.
 
Also der Hoster ist nicht sehr gesprächsbereit:

Support:188.72.193.37 das ist keine von unseren ips
Support:ich versteh nicht wo dein problem ist ?
Ich:>>Ich zeigte ihm dann den Thread hier<<
Support:188.72.193.37 gehört nicht zu uns
Support:wir haben damit nichts am hut ?!


Habe das dann beendet. Kam nichts Sinnvolles bei raus.
 
You must log in or register to reply here.
Back
Top