Mainframe Offline ?

Anscheinend weitet sich das Problem aus ...

Heute nachmittag waren auf meinem vServer 166247 bei S4Y plötzlich Merkwürdigkeiten festzustellen: interne Mails wurden versendet und empfangen, Externe Mails wurden aber nicht mehr angenommen.

Ein Blick über die Logfiles zeigte recht schnell, dass ein Einbruch stattgefunden hat.

Das Einspielen der letzten drei Backups sollte das Problem zunächst sofort beseitigen und es mir ermöglichen die notwendigen Änderungen an der erkannten Schwachstelle zu beseitigen .... wie gesagt: sollte.

Bei einspielen des Backups Nummer 3 - das nachvollziehbar noch ein intaktes und nicht durch Eindringling verseuchtes System enthält - wurde mein vServer gesperrt. Der Grund ist weder mir, noch der Hotline bekannt (wie man mir gerade mitteilte).

Hat irgendjemand das gleiche Problem oder eine Ahnung wie ich schnellstmöglich wieder aus der Nummer rauskomme?
 
Hi,

@voroe:

Du warst derjenige der das Hostsystem platt gemacht hat, ich habe den Server vorhin gesperrt (kurz nachdem Gisol dass hier geschrieben hatte) Dein Server wurde per http DoS von aussen angegriffen, was zu massive http forks fuehrt und so ein Hostsystem ordentlich aus dem Tritt bringen kann.
 
Hi,

der Support hat die Infos dazu schon (tcpdump usw...) Ich kann die wie gesagt sperren, wenn sie den Betrieb beeintraechtigen, freigeben macht der Support.
 
Hallo!
Maik, könnte mal jemand auszugsweise diesen TCP Dump posten? Ich habe da so ein merkwürdiges Gefühl.

mfG
Thorsten
 
Hi,

21:53:07.556012 IP 84.62.134.182.61463 > 62.75.166.247.http: S 2876399769:2876399769(0) win 65535 <mss 1452,nop,nop,sackOK>
21:53:07.556126 IP 84.62.134.182.61463 > 62.75.166.247.http: S 2876399769:2876399769(0) win 65535 <mss 1452,nop,nop,sackOK>
21:53:07.556136 IP 84.62.134.182.61463 > 62.75.166.247.http: S 2876399769:2876399769(0) win 65535 <mss 1452,nop,nop,sackOK>
21:53:07.556252 IP 84.62.134.182.61463 > 62.75.166.247.http: S 2876399769:2876399769(0) win 65535 <mss 1452,nop,nop,sackOK>
21:53:07.556259 IP 84.62.134.182.61463 > 62.75.166.247.http: S 2876399769:2876399769(0) win 65535 <mss 1452,nop,nop,sackOK>
21:53:07.556376 IP 84.62.134.182.61463 > 62.75.166.247.http: S 2876399769:2876399769(0) win 65535 <mss 1452,nop,nop,sackOK>
21:53:07.556386 IP 84.62.134.182.61463 > 62.75.166.247.http: S 2876399769:2876399769(0) win 65535 <mss 1452,nop,nop,sackOK>
 
WTF

Also ich denke ich träume wenn ich das richtig gelesse habe dann wird ein Server bei euch gesperrt wenn einer eine DDOS hacke auf den Server macht.

OMG was bin ich froh das ich in paar wochen weg bin von euch. Bei euch kriegt man für sein geld nur probleme mehr auch nicht.
 
Last edited by a moderator:
Hi,

@Outbreaker: Ich denke mal die anderen Nutzer inklusive Gisol sind froh darueber gewesen. ;) Und ja wir sperren DoSer, Spammer, Kunden mit richterlicher Anordnung usw...
 
Ja DoSer kann man ja sperren aber nicht die leute die geDoSt werden. Ihr seid zuständig die DoS attacken abzuwehren nicht der Kunde.
 
Hi,

ich glaub die Kunden die mal gedost wurden und von einer sehr teuren Uebertrafficrechnung dadurch bewahrt wurden, stimmen dir da sicherlich nicht zu. :)

PS: Incoming DoS-Attacken wendet man am Besten wie ab? Richtig, man sperrt die Ziel IP schon beim Carrier, denn den stoert das meistens auch ziemlich.
 
Hallo Outbreaker,
ein kompetenter Administrator weis sicherlich auch wie er seine Server davor schützt, oder? Ich halte das für Quatsch. Solche Dinge werden immer wieder passieren. Davor kann sich ein Anbieter nicht 100%ig schützen.

mfG
Thorsten
 
Ein seriöser anbieter weiß wie man seine netzwerk gegen kleine DDoS attacken schützt. ;)

Solange es "kleine attacken" sind, wird sich da wahrscheinlich auch noch kein Admin drum kümmern.
Wenn aber die eigene Infrastruktur des Anbieters gefährdet wird bzw. andere Kunden betroffen sind, wird jeder "seriöser anbieter" diese IP Adr. sperren.

Zeig uns doch mal einen "seriösen ;) " Provider der das nicht macht!
Ich vermute du hast mit deinen Posts zu hoch gepokert :D

Die Frage ist eher ob du bei einer Incoming-DoS wegen abuse gesperrt wirst, d.h. für den Schaden/Sperren bezahlen musst.
 
@Igel:

Wir sind sogar so serioes, dass der Kunde dadurch keine finanziellen Kosten hat, sollte es das erste mal sein. Er muss halt nur danach dafuer sorge tragen, dass sowas nicht nochmal passiert. :) Aber stimmt schon, ein ISP der die IPs nicht sperrt, wenn die Infrastruktur beeinflusst wird, den kenne ich auch nicht und hier war das ja der Fall.
 
Die Frage ist eher ob du bei einer Incoming-DoS wegen abuse gesperrt wirst, d.h. für den Schaden/Sperren bezahlen musst.
Soll das jetzt ein witz sein. :eek: Bezahlen wenn man geDoSt wird ? Da sag ich nur dann soll der Hoste mein Server geSperrt lassen und schauen wie er an das geld kommt. :) Bin doch kein geld schwein. :rolleyes:

Wir sind sogar so serioes, dass der Kunde dadurch keine finanziellen Kosten hat, sollte es das erste mal sein. Er muss halt nur danach dafuer sorge tragen, dass sowas nicht nochmal passiert.
Und wie soll der kunde bitte dafür sorgen dass sowas nicht noch mal passiert, totaler blödsinn. :rolleyes:

Die kleine DoS attacken wie http kann man mit seinem Dedicated Server noch selber abwehren. Aber gegen groß DDoS attacken kommt es auf den Hoster an wie gut sein netzwerk gegen so was geschützt ist.


Bei lebanese.nl wurde ich schon 4 mal geDosT, und das waren keine kleine DoS attacken. Und der support war da sogar besser als ich es gedacht hatte. Weil von denen kriegte ich eine E-mail mit der mitteilung das mein Server geDoSt wird und die Techniker dran arbeiten. Und nach +/- einer stunde ginge immer wieder alles. Und bei server4*** kann man schon froh sein das der support weis was DDoS ist. :D


@Gisol
Hoffe für dich das es keiner ist der dir böses will weil nach der nexten DDoS attacks heißt es Zahlen. :D
 
Last edited by a moderator:
Der Mainframe meines 2045025 will seit Donnerstag nicht mehr und auf mein Ticket kommt nix mehr. Selbes Problem?
 
Back
Top