Linux Server absichern

[Geicher]

Alles klar!
Der CoD 4 Server war sowieso nur ein Test und soll nicht im Dauerbetrieb laufen.

Um es nochmal auf Anfängersprache nachzuvollziehen:
User y möchte Seite x DDosen, indem er meinen Gameserver mit "getstatus" anfragt, dieser dann antwortet und die Pakete an Seite x zurückschickt. (Demzufolge bekommt der unmengen an Daten zurück)

So müsste es grob gesagt sein oder?

Nachdem ich den Server gestoppt hatte, ging auch der ausgehende Traffic schlagartig zurück, der eingehende blieb.
Logisch, weil der CoD Server ja nicht mehr auf die Anfragen antworten konnte.

 

[Firewire2002]

Korrekt. (10 Zeichen)

 

[Karl34]

Das finde ich mal richtig gut , erst zu hause lernen bevor man Online geht.
Denke das sollte man auch mal loben , ist ja leider nicht mehr die Regel.
Weiter so

 

[Geicher]

Das finde ich mal richtig gut , erst zu hause lernen bevor man Online geht.
Denke das sollte man auch mal loben , ist ja leider nicht mehr die Regel.
Weiter so

Danke
Gleich mit vollen 100MBit's loszulegen ist mir doch ein bisschen zu riskant.
Erstmal noch ein paar Linux Bücher durchlesen und dann seh ich weiter.
Wenn man den Thread ein bisschen verfolgt sieht man ja wie schnell es gehen kann.

 

[Geicher]

So kleines Update, die Angriffe sind jetzt weg.
Nun würde ich gerne mit Apache + PHP und MySQL fortfahren.

Bzgl. PHP habe ich mir schon einiges zur Sicherheit durchgelesen, zum Apache selbst lese ich nur, das dieser schon in der Grundkonfiguration sehr sicher sein soll.

Liege ich da richtig?

 

[virtual2]

Wenn du DoS Attacken meinst dann ist dies nicht der Fall.

Zudem gibts immer wieder Leaks in den Modulen

 

[Karl34]

Apache+php als Suphp ist ganz gut, mysql ohne phpmyadmin bringt auch etwas.

 

[freakshow10000]

ich bekomme seit heute Nacht laut TCPDump Pakete einer IP aus Pakistan über Port 28960.

14:57:55.694738 IP 69.XXX.XXX.XXX.www > myserver.local.28960: UDP, length 15: UDP, length 15

Da bist du nicht der Einzigste, ich stehe von HBL.com (zufälligerweise fängt die IP mit 69 an , genaugenommen 69.172.200.88)unter DoS (natürlich schon geblockt) und zwar auf alle Quake Engine Gameserver (CoD4 ) Bei mir waren es jedoch 10Mbit.


MfG

 

[Geicher]

Da bist du nicht der Einzigste, ich stehe von HBL.com (zufälligerweise fängt die IP mit 69 an , genaugenommen 69.172.200.88)unter DoS (natürlich schon geblockt) und zwar auf alle Quake Engine Gameserver (CoD4 ) Bei mir waren es jedoch 10Mbit.


MfG

So siehts aus!
@freakshow wie hast du die geblockt?

 

[s24!]

Vermutlich mit iptables, viel einfacher sollte es nicht machbar sein.

 

[schnoog]

Da die Source IPs dynamisch gespooft werden, empfehle ich das SKript aus diesem Post:
http://wolffiles.de/?forum-showposts-44-p5#

 

[Geicher]

Das Script an sich scheint gut zu funktionieren, ich würde das ganze also gerne als Cronjob einrichten.
Dazu hab ich das per crontab -e in die config als root geschrieben:

#-----------------------------------------------------------------
# Shell variable for cron
SHELL=/bin/bash
# PATH variable for cron
PATH=/usr/local/bin:/usr/local/sbin:/sbin:/usr/sbin:/bin:/usr/bin:/usr/bin/X11
#M S T M W Befehl


#-----------------------------------------------------------------
*/10 * * * * /Pfad_zur_file/getstatus_ban.sh > /dev/null 2>&1

Passt das ganze so und wie kann ich sehen ob das Script auch ausgeführt wird/wurde?

 

[goofy6771]

Hi,

nur so als Einwurf wegen DDoS auf Cod4 Server.

LINK

Damit habe ich es in den Griff bekommen.

Lg

 

[Geicher]

Ja, das funktioniert aber dann geht der Manu Admin Mod allerdings nicht mehr...
Daher bin ich auf der Suche nach einer anderen Lösung.

 

[schnoog]

Goofy, bei mir läuft das Skript alle 5 Minuten via cron.

Das Skript sollte im Syslog seine Spuren hinterlassen
Vorher: device eth0 entered promiscuous mode
Beim Lauf: GetStatusBan Reason:
Danach: device eth0 left promiscuous mode

 

[razor168]

Das habe ich doch vorhin schon mal beschrieben: deinen Server als DDoS Bot missbrauchen.

• CoD4 Server abschalten/abgeschaltet lassen
• gepatchtes Binary nutzen
• oder getstatus Anfragen via IPTables drosseln:
  

  iptables -A INPUT -p udp --sport 30000:65535 --dport 28960:28962 -j DROP
  iptables -A INPUT -p udp --sport 7131:20000 --dport 28960:28962 -j DROP
  iptables -A INPUT -p udp --sport 1:7129 --dport 28960:28962 -j DROP
  iptables -A INPUT -p udp --sport 7130 --dport 28960:28962 -m string --string 'getstatus' --algo bm -m limit --limit 5/s -j ACCEPT
  iptables -A INPUT -p udp --dport 28960:28962 -m string --string 'getstatus' --algo bm -m limit --limit 1/s -j ACCEPT
  iptables -A INPUT -p udp --dport 28960:28962 -m string ! --string 'getstatus' --algo bm -j ACCEPT

Edit:
Ich hab die Range von 28960 bis 28962 ausgelegt, weil ich mehrere CoD4 Server betreibe.

Hallo. Vor einiger Zeit hatte ich ja auch schonmal was zu diesem Problem mit den DDOS und COD 4 Server und den entsprechend hohen Traffic geschrieben. Ich habe den Rat mit dem Anti DDOS Patch für alle meine COD 4 Server befolgt. Jetzt habe ich aber eines festgestellt. Nach dem Einspielen der Patches und dem restarten der Server haben diese laut HLSW massive Aussetzer. 1x pro Sekunde ca. Kann das jemand bestätigen? Ich suche jetzt natürlich nach einer optimaleren Lösung

 

[Xulunix]

Hlsw sendet auch nur Status Anfragen an den Server.
Anscheinend aber zu oft.
Setz das Limit vom Schutz hoch und gut is.
Die Server haben keine laggs

 

[Vodka]

Das scheint aber der Patch zu sein . Ich habe das selbe Problem mit HLSW wie Razor ! Das ist erst gekommen nachdem der Patch eingespielt wurde. Bisher habe ich dazu auch noch keine Lösung gefunden.