mehr Traffik - Einbruchsversuche?

V

vserverix

New Member
Hallo,

auf meinem Strato V-Server verzeichne ich seit 4 Tagen ca. 450 % mehr Traffikaufkommen als im Durchschnitt der letzten Monate. Ich habe nur HTTP, HTTPS und einen Port für ssh offen. Die entsprechenden /var/log/**.log's zeigen auch nix außergewöhnliches. Die Zugriffe auf meine Domains waren in den letzten Tagen auch eher rückläufig.

1.) Könnte es sich hier um einen Einbruchsversuch handeln?
2.) Wie kann ich dem konkret nachgehen?
3.) Gibt es bei Strato vielleicht irgendwelche Tools, die den Traffik pro Port anzeigen?

Danke, vserverix
 
Armadillo: Danke für den Tip, ich kannte bis jetzt nur iftop - iptraf ist wesentlich besser.
 
Armadillo said:
Mit dem Tool iptraf kanst du ziemlich genau sehen, auf welchem Port so viel Traffic verursacht wird.
Click to expand...

Danke für den Tipp. Inzwischen ist klar, Port 80, auf dem lauter fehlgeleitete Pakete eintreffen (HTTP GETs von Domainen aus USA). Es scheint so, als gäbe es irgendwo ein Nameserverproblem. Was soll ich tun? Mich an Strato wenden?
Mein Nameserver (T-Online) kann die Domains jedoch richtig auflösen.

Danke,
vserverix
 
Hi,

von Domains aus den USA verstehe ich so, dass User aus den Staaten auf deine Websites zugreifen (der reverse lookup zeigt dann deren Hostnamen der ja logischerweise aus den USA kommt).

Oder meinst du es so, dass auf eine US-Domain zugegriffen wird, die sich eigentlich nicht auf deinem Server befinden sollte?

Also kurz zusammengefasst:
Zugrifft von einer US Domain oder auf eine US-Domain?

MfG
3-Stadt
 
Last edited by a moderator:
3-Stadt said:
Hi,

von Domains aus den USA verstehe ich so, dass User aus den Staaten auf deine Websites zugreifen (der reverse lookup zeigt dann deren Hostnamen der ja logischerweise aus den USA kommt).

Oder meinst du es so, dass auf eine US-Domain zugegriffen wird, die sich eigentlich nicht auf deinem Server befinden sollte?

Also kurz zusammengefasst:
Zugrifft von einer US Domain oder auf eine US-Domain?

MfG
3-Stadt
Click to expand...

Sorry, wenn ich mich nicht klar ausgedrückt habe. Es wird auf verschiedene US-Domains zugegriffen, die sich eigentlich nicht auf meinem Server befinden sollten. Die Zugriffe kommen aber selbst auch -- soweit ich es mittels utrace.de beurteilen kann -- auch aus den USA.
 
Last edited by a moderator:
Hilfe!

Hilfe, über Nacht ist es wirklich schlimm geworden, der Apache httpd hat schon so viel Speicher alloziert, dass ich gerade rebooten musste. Wenn das so weiter geht, reicht meine Festplatte bald nicht mehr für die httpd logs.

Brauche dringend Tipps.

Danke,
vserverix
 

Attachments

  • traffic.gif
    traffic.gif
    4.9 KB · Views: 114
Last edited by a moderator:
Die von der Strato-Hotline vermuten einen Angriff. Ich sollte die Firewall umkonfigurieren, dass ich einzelne Segmente herausnehme.

Wie bekomme ich die Nameserver heraus, die hier Mist bauen?
 
Allein durch einen erhöhten Traffic vermutest du einen Angriff?
Diesen Sprung hatte ich auch. Es deutet aber nichts darauf hin, das es einen Angriff gab.
Ich habe 5 Domains, die keine Sau besucht. Wenn ich dann mal doch was schreibe, im Blog oder Forum, und da zufällig etwas verlinkt wird, kann es schon mal zu solchen Massenbesuchen kommen. Das ist am nächsten Tag meist schon wieder vorbei.
 
wstuermer said:
In dem Du eine Whois-Abfrage auf die Domain machst und dich dann an den entsprechenden Zonenverwalter wendest.
Click to expand...

Danke. Also die Zeile network:Abuse-Email: auswerten?
Mein access_log File hat 500 MByte erreicht :mad: Wollte eigentlich die Weihnachtsfeiertage nicht mit Skripten verbringen ...
 
ATLAS said:
Allein durch einen erhöhten Traffic vermutest du einen Angriff?
Diesen Sprung hatte ich auch. Es deutet aber nichts darauf hin, das es einen Angriff gab.
Ich habe 5 Domains, die keine Sau besucht. Wenn ich dann mal doch was schreibe, im Blog oder Forum, und da zufällig etwas verlinkt wird, kann es schon mal zu solchen Massenbesuchen kommen. Das ist am nächsten Tag meist schon wieder vorbei.
Click to expand...

Nene, ich vermute dies inzwischen aufgrund der Apache logs. Meine 4 Domains schreiben alle ihr eigenes Log/Error File, alles, was woanders hinmöchte, erzeugt mir inzwischen eine halbe GByte Logfiles.
 
Erste Auswertung: Seit Montag 0:00 haben 905 verschiedene IPs versucht, fremde Domains auf meinem Port 80 abzurufen. Laut whois sind diese auf der ganzen Welt verteilt. Es scheint sich also um eine DDoS-Attacke zu handeln, ein Botnet. Vielleicht ein Virus, der lokal auf den jeweiligen Rechnern einen Nameserver installiert hat, der Anfragen auf mich weiterleitet?

Aber alles nur Spekulation.
Nächster Schritt: gesperrten Port 80 wieder an der Firewall freigeben und die 905 IPs im Gegenzug sperren. (besser umgekehrt)
 
Stellt sich noch die Frage: Why me?
Ich hoste eine Vereinsseite, eine Visitenkarte eines kleinen Geschäfts, meine Domain und eine Testdomain. Normales Traffikaufkommen im Monat ca. 400-600 MByte.
 
Ich denke die Frage "Why me" stellt sich jeder der Opfer von sowas wird. Gerade weil man nicht damit rechnet muss man um so vorsichtiger sein was den Server angeht!
 
Das Problem, was ich jetzt habe, ist, dass iptables nicht 905 einzelne IPs sperren kann, es tritt irgendwann einmal das "unknown error (-1)" Problem auf.

Ich tue mir schwer, hier vernünftig zu clustern, weil die IPs wirklich bunt auf alle möglichen Netze verteilt sind.

Da ich Centos 5 am Laufen habe, wird auch der tcpd nicht mehr verwendet, d.h. /etc/hosts.deny wird ignoriert, oder?
 
MauriceM said:
Ich denke die Frage "Why me" stellt sich jeder der Opfer von sowas wird. Gerade weil man nicht damit rechnet muss man um so vorsichtiger sein was den Server angeht!
Click to expand...

Sei mir nicht böse, aber Deine Aussage klingt ziemlich nach einer Binsenweisheit. Oder vielleicht kannst Du mir konkret sagen, was ich falsch gemacht haben könnte?

Trotzdem: frohes Fest!
 
Ich hoffe, ich langweile Euch nicht mit diesem Thema.

Aber mein Lösungsansatz ist jetzt folgender: Ich gehe mal davon aus, dass lokale DNS-Server einige Einträge aufweisen, die auf meine IP gerichtet sind. Gleichzeitig wird ein Virus per HTTP GET diese Seiten periodisch aufrufen und so für eine Ddos Attacke sorgen.

Glücklicherweise habe ich bei Strato zwei IPs, wovon ich nur eine gebraucht habe. Ich habe nun die DNS-Reverse einträge so geändert, dass die ungenutzte IP auf den Server weitergeleitet wird und die bisherige nicht mehr weitergeleitet wird. Gut, bekanntlich dauert es zwei Tage, bis sich das bei den Nameservern herumgesprochen hat. Aber damit kann ich leben. Natürlich muss ich die neue IP nun den Providern mitteilen, aber bei 4 Domains ist das noch machbar.

Also mal bis zum 27. Dezember abwarten ...
 
Hi,

wenn du nur den Reverse für die IPs änderst werden beim rückwärts Auflösen zwar andere Namen angezeigt aber die IPs werden weiterhin auf deinen Server geroutet du müsstest wenn schon deinen Apache an die andere IP binden sodass er auf der alten nicht mehr lauscht.

Wenn die Ursache für diese Aufrufe eine solche Attacke ist und diese einen der Domainnamen nimmt hast du aber trotzdem pech weil deine Domains ja dann auf die neue IP zeigen und die Attacke genau so weiter gehen kann, bloß auf der anderen IP ;)


Euch allen ein frohes Fest =)
 
You must log in or register to reply here.
Back
Top