Mein Server wurde gesperrt

[society]

Yo Yo jetzt schreibe ich auch zum ersten mal in das Forum
Mein Server ist seit Heute morgen um 4 Uhr nicht mehr erreichbar... keine benachrichtigun nix von 1und1 für den Grund.
Nachdem ich dann um 6 Uhr morgens leicht angetrunken dort angerufen habe meinte der Herr am Telefon der Server wurde geDDOSt bzw wird immer noch. Warum auch immer sperren sie sofort meinen Server?! Ich kann das doch selber regeln.
Bis heute Mittag ging die zweiter IP Adresse noch.... ich war grade dabei die Domains umzustellen damit ich wenigsten Mails empfangen kann.... ging dann die IP Adresse auch nicht mehr. Ich errinnerte mich das ich mittags nochmal nach dem Stand der Dinge gefragt habe und er meinte ich soll doch auf die 2t IP Schalten.... Stunden der Arbeit umsonst.

Was kann ich tun damit 1und1 meinen Server wieder freigibt? Ich habe kein Bock zu warten bis die DDOserei aufhört besondert da auf meiner Kiste diverse Seiten laufen die angewiesen sind auf den Mailverkehr.

 

[traced]

Wieso sollte 1und1 Deinen Server sperren wenn er Ziel der Attacken ist? Oder hast Du "leicht angetrunken" vielleicht was falsch verstanden und er DDOSd?

Was sagt denn 1und1 dazu wenn Du die eh schon am Telefon hattest?

lg
Basti

 

[mr_brain]

Der DDOS läuft nur auf eine IP. Diese IP wurde genullroutet. Deshalb war der Server auch noch über die zweite IP erreichbar.

Vermutlich holen sich die DDOS-Bots die IPs über den DNS. Solltest vielleicht bei deinen Domains die IP mal auf 127.0.0.1 setzten.

 

[chris085]

Grundsätzlich erstmal fragen, eingehend oder ausgehend.
Hast du nur die MX Einträge geändert oder alles ?

 

[society]

Eingehend war ne riesen Attacke keine Ahnung warum weshalb und wieso
Eine IP geht nun wieder jetzt schaue ich einfach mal was ich dagegen tun kann

 

[DerFalk]

mod_evasive z.B. oder mal schauen woher die IP kam *g* Naja, ob das effektiv was bringt

 

[society]

Eine IP? lol es waren ca 40000 Kisten die mich angegriffen haben
Und auf unterschiedliche Ports.

 

[DerFalk]

ok, das ist dann nicht wirklich effektiv! Hoffe nur für dich das nicht "mehr" kaputt ist

 

[wstuermer]

Hi,

Im Zuge der Provider-Mithaftung usw. haben die Dich dann, auch zu Deiner Sicherheit, abgedreht, um das Netzwerk zu schützen.
Stell dir vor, es würden auf einmal 30 Kunden klagen weil Sie keine Aufrufe Ihrer Website mehr erhalten, weil Deine incoming-DoS die gesamte Switch-Breite zieht

-W

 

[society]

Schon verständlich ist ja auch okay... ich hoffe nur der Pisser (sorry für den Ausdruck) gibt endlich auf...

 

[blupp1]

Schon verständlich ist ja auch okay... ich hoffe nur der Pisser (sorry für den Ausdruck) gibt endlich auf...

woher weißt du, ob er weiter macht?

 

[chris085]

Ich verstehe hier 1und1, Starto und Co. nicht.
Wieso schalten die nicht eine Hardwarefirewall für Beispielsweise 100 Server vor, die incoming und outgoing DDos abblockt.
Sogar jeder poblige Telekom Router hat diese Funktion in der light version.

 

[Thorsten]

Hallo!
Weil man relativ schlecht (automatisiert) DDoS Angriffe erkennen kann. Sicherlich ließen sich Dinge wie SYN-Flood, Teardrop usw. durch technische Einrichtungen unterbinden - doch woher soll ein Anbieter wissen, ob dein Webangebot einschlägt wie eine Bombe, oder einem (D)DoS unterliegen. Möglich ist alles. Es ist immer nur eine Frage des (wirtschaftlichen) Aufwandes. Siehe auch Intrusion Detection System.

mfG
Thorsten

 

[Roger Wilco]

Wieso schalten die nicht eine Hardwarefirewall für Beispielsweise 100 Server vor, die incoming und outgoing DDos abblockt.

Weil bei 40K+ "angreifenden" Hosts (Zahl zuvor im Thread genannt) pro zu "schützendem" Server praktisch jede Tabelle überläuft. Außerdem: wie sähe der Schutz dann aus? Richtig, die IP-Adresse wird genullrouted.

Sogar jeder poblige Telekom Router hat diese Funktion in der light version.

Haha, du bist lustig...

 

[chris085]

okay, aber es Ist auch nicht die Regel das es sich um 40 000 handelt.
Woher weiß er diesen Wert überhaupt ?

Ich habe keine ahnung was der Telekom Router macht, aber diese Funktion ist immerhin vorhanden.

 

[Roger Wilco]

okay, aber es Ist auch nicht die Regel das es sich um 40 000 handelt.

Bei einer DDOS-Attacke ist diese Anzahl nicht ungewöhnlich.

Woher weiß er diesen Wert überhaupt ?

Das kann der Provider ermitteln. Oder wenn der Server nicht gesperrt wurde kann man auch dort die Anzahl der Verbindungen ermitteln, sofern man noch Zugriff auf ihn hat.

Ich habe keine ahnung was der Telekom Router macht, aber diese Funktion ist immerhin vorhanden.

Hm, du vergleichst Äpfel mit Birnen und Regional- mit Bundesliga...

 

[chris085]

Ich habe zur WM Zeit in einem Artikel der ct gelesen das Internetganoven Wettanbieter wie bwin oder Interwetten erpressen und damit drohen ihre Webseiten lahm zu legen.
Gibts da wirklich keinen schutz ?
Bzw. wie machen es die ganzen großen google & co ?

 

[society]

Did großen wie Google und Co laufen sicherlich nicht nur auf einem Server sondern eben über sogenannte Cluster Da macht es dennen nix aus wenn da mal 1 Server nen DDOS hat.

 

[Huschi]

Moin moin Society,

gibt es was neues von der Front?

PS: 1und1 schickt in der Regel immer eine automatische Sperr-Email raus.
Allerdings auf die Email-Adresse in den Vertragsdaten, die natürlich nicht gerade auf dem besagten Server liegen sollte...

huschi.

 

[society]

Sooooooooo.

Inzwischen ist der Server wieder Online... naja so halb... die DDOS Attacken haben aufgehört. Die ganze Aktion ist einfach total beschissen gewesen. Das ich keine mail bekommen habe hatte mir auch der Supportler gesagt... er weiß auch nicht wieso warum ich nicht informiert worden bin.

Nun habe ich das nächste Problem das meine IP teilweise nicht Routbar ist. Die zweite IP geht wieder komplett ohne Probleme

Beispiel aus meiner Firma via Standleitung:

M:\>tracert djnews24.net

Routenverfolgung zu djnews24.net [212.227.83.117]  über maximal 30 Abschnitte:

  1    <1 ms    <1 ms    <1 ms  router0-e1.seitenbau.net [192.168.1.254]
  2    <1 ms    <1 ms    <1 ms  router1.seitenbau.net [192.168.1.1]
  3     1 ms    <1 ms    <1 ms  217.24.207.25
  4   155 ms   131 ms    77 ms  217.24.193.245
  5   125 ms   124 ms   124 ms  fe-1-1-202-cr1.fn.td-fn.net [217.24.192.113]
  6   128 ms   124 ms   124 ms  ge-0-2-20-cr2.fn.td-fn.net [217.24.192.66]
  7   127 ms   131 ms   130 ms  ge-0-1-cr4.muc.td-fn.net [217.24.192.57]
  8   144 ms   136 ms   137 ms  INXS.gw-backbone-a.muc.schlund.net [194.59.190.46]
  9   136 ms   136 ms   136 ms  so-6-0.bb-b.sps.str.de.oneandone.net [212.227.120.34]
 10     *        *        *     Zeitüberschreitung der Anforderung.

Dort z.B. wiederum geht es von einen S4U vServer aus:

vsX6X1XX:~ # traceroute djnews24.net
traceroute to djnews24.net (212.227.83.117), 30 hops max, 40 byte packets
 1  static-ip-85-25-57-149.inaddr.intergenia.de (85.25.57.149)  0.000 ms   0.000 ms   0.000 ms
 2  static-ip-85-25-95-185.inaddr.intergenia.de (85.25.95.185)  0.313 ms   0.250 ms   0.134 ms
 3  static-ip-62-75-135-27.inaddr.intergenia.de (62.75.135.27)  3.443 ms   3.378 ms   11.971 ms
 4  bb-d.fra3.fra.de.oneandone.net (80.81.192.123)  4.452 ms   4.450 ms   4.329 ms
 5  te-2-3.bb-d.bs.kae.de.oneandone.net (212.227.120.17)  7.230 ms   7.100 ms   7.112 ms
 6  te-3-2.gw-distp-a.bs.ka.oneandone.net (212.227.121.210)  6.889 ms   7.119 ms   6.892 ms
 7  ae-1.gw-prtr-r11-a.bs.ka.oneandone.net (195.20.247.159)  7.705 ms   7.798 ms   7.818 ms
 8  root-help.net (212.227.83.117)  7.112 ms   7.049 ms   7.466 ms

Manche Provider gehen manche wiederum nicht.... Es ist auch echt nervig nachdem ich nun zum 5ten mal dort angerufen habe konnten sie bisher mir nicht helfen. Es kammen immer wieder die Standardantworten zurück das der Server erreichbar ist. Auch mit zusatz der Tracert ausgaben haben die jedesmal nur Netzintern getestet. Das es dort geht ist mir ja auch bewusst
so-6-0.bb-b.sps.str.de.oneandone.net Sperrt einfach noch meine IP und das ist nen Router von 1und1...
Sie meinten auch inzwischen ich solle dennen mal die Zugangsdaten geben damit sie schauen können ob die Subnetmaske richtig ist (har har).

Ich habe jetzt noch ein Ticket offen mit der Hoffung es wird nun endlich gelöst ich wurde auch nun leicht patzig am Telefon und sagte auch das es mich richtig ankotzt das meine Mails nicht richtig gelesen werden.

Ich gebe 1und1 noch ein paar Tage Zeit wenn es dann nicht geht liegt die Kündigung bei dennen auf den Tisch den. 3 Jahre war ich echt beeindruckt von 1und1 nur jetzt komme ich mir eher vor als ob sie mich mit dem Problem alleine lassen. Von den Telefonkosten der letzten Tage will ich garnicht reden.

Also 1und1 schaut das ihr das wieder hinbekommt und euer Service wieder gewohnt gut wird wie es vorher war.