privvmpages Error und massiger Traffic

[Philco]

So Leute,

ich bin Philipp und das ist mein erster Post hier. Und gleich etwas was
für mich knifflig ist da mein Freund der sich auskennt 4 Wochen Afrika ist
und ich ihn auf keinem Wege erreichen könnte. Ich habe einen vServer
und seit 4 Tagen habe ich urplötzlich Täglich 12GB mehr Traffic als sonst.
Also 6GB down und 6GB up.

In den Errormeldungen vom Virtuozzo habe ich Meldungen das der " privvmpages"
im schwarzen, gelben oder auch im grünen Bereich ist. Könntet ihr
mir helfen mit was das zu tun hat?

Soweit ich gesehen habe kommen alle Aufrufe von nahezu einer IP-Adresse.


Freue mich auf Hilfe,
Philipp

 

[l0rd]

Bist du sicher, dass die IP dich aufruft oder dass du die IP aufrufst?

Evtl. fährst du einen DoS-Angriff, oder die andere Seite gegen dich. Deswegen fahre den Server schnellstmöglich in einen Rescue Mode, wenn es diesen gibt, und prüfe das. Falls von dir DoS ausgeht, kann das böse enden.
Prüfe, ob du angreifst oder dein gegenüber. Wenn es "nur" dein gegenüber ist, dann sperre die IP durch die Firewall und informier am besten den Support.


Dennis

 

[Philco]

Ich habe jetzt den Server mal gestoppt. Allerdings zeigt mir awstats z.B.

IP Seiten Zugriffe Bytes Letzter Zugriff
89.149.226.69 190646 190646 4.43 GB 03.01.2009 - 05:08

Wie kann ich genau überprüfen ob ich einen DoS Angriff auf andere mache?

 

[djrick]

Hallo,

Das abfragen der o.g. IP brachte:

inetnum:         89.149.226.0 - 89.149.227.255
netname:         NETDIRECT-NET
descr:           netdirekt e.K.
remarks:         INFRA-AW
country:         DE
admin-c:         WW200-RIPE
tech-c:          SR614-RIPE
status:          ASSIGNED PA "status:" definitions
mnt-by:          NETDIRECT-MNT
mnt-lower:       NETDIRECT-MNT
mnt-routes:      NETDIRECT-MNT
source:          RIPE # Filtered

Sieht so aus als entsteht der Traffic (zumindest diese 4 GB) von einem Netdirekt (V)server. Kannst du dir das erklären? Wenn das HTTP Zugriffe sind: Hast du auf dem Server vllt. einfach nur eine Große Datei liegen, die jemand runtergeladen hat?

-muss ja nicht immer gleich DDoS sein-

 

[Philco]

Nein, habe keine großen Dateien draufliegen, wieso sollte diese Person
auch 190.000 mal auf mich zugreifen

Ich bin mal im Rescuemodus komm aber nicht wirklich weiter, kann nicht das
Problem finden.

 

[djrick]

Zu nächst würde ich mir mal die Log Files anschauen ob dort in den letzten Stunden Auffälligkeiten zu sehen sind.

 

[Philco]

89.149.197.240 - - [28/Dec/2008:05:24:51 +0000] "POST http://www.chefrestaurants.com/defter/mesajyaz.asp?git=mesajisle HTTP/1.1" 200 3190 "http://www.chefrestaurants.com/defter/mesajyaz.asp" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

89.149.197.240 - - [28/Dec/2008:05:24:59 +0000] "POST http://preferencie.sk/component/option,com_joomlaboard/Itemid,32>/func,post/ HTTP/1.1" 200 10392 "http://preferencie.sk/component/option,com_joomlaboard/Itemid,32/func,post/do,quote/replyto,160236/catid,2/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

89.149.197.240 - - [28/Dec/2008:05:24:59 +0000] "POST http://www.hp-craft.com/fuji/craftmbbs.cgi HTTP/1.1" 404 396 "http://www.hp-craft.com/fuji/craftmbbs.cgi" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

89.149.197.240 - - [28/Dec/2008:05:25:00 +0000] "POST http://sem-ya.ru/component/option,com_joomlaboard/Itemid,37>/func,post/ HTTP/1.1" 200 74 "http://sem-ya.ru/index.php?option=com_joomlaboard&Itemid=37&func=post&do=quote&replyto=381946&catid=5" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

89.149.197.240 - - [28/Dec/2008:05:24:59 +0000] "POST http://eecad.sogang.ac.kr/cgibin/spboard/board.cgi HTTP/1.1" 200 96 "http://eecad.sogang.ac.kr/cgibin/spboard/board.cgi?id=guest&action=view&gul=105656&page=4&go_cnt=10" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

89.149.197.240 - - [28/Dec/2008:05:24:56 +0000] "GET http://www.hanguglq.gov.cn/zfgb.asp HTTP/1.1" 200 21886 "http://www.hanguglq.gov.cn/zfgb.asp?action=Add_New" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

89.149.197.240 - - [28/Dec/2008:05:25:00 +0000] "POST http://www.rainbowpark.com/public/kax/kax-net/view.cgi HTTP/1.1" 503 392 "http://www.rainbowpark.com/public/kax/kax-net/view.cgi?mode=view;Code=17786" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

89.149.197.240 - - [28/Dec/2008:05:25:00 +0000] "POST http://www.ryudentaiko.com/FS-APL/FS-BBS/index.cgi HTTP/1.1" 200 1104 "http://www.ryudentaiko.com/FS-APL/FS-BBS/index.cgi?Session=S49196282797b6928a&Code=main&Mode=New" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

Das ist mal ein Ausschnitt der Logfiles. Gerade gesehen das das alles Links zu Gästebüchern sind, also bin ich wohl der "Angreifer"

 

[djrick]

Was sagt der Log denn über diese IP:
89.149.226.69

 

[Philco]

In der Access Log? Bin grad am runterladen vom Server, ist nun eine 350MB Datei -.-

Kannst du irgendwas draus schließen was sein könnte?

 

[djrick]

Kannst du irgendwas draus schließen was sein könnte?

Rootkit ? Wikipedia

Wenn die Angriffe über http laufen, dann kann es sein dass dein Apache kompromittiert worden ist. Allerdings musst du der Sache noch mehr auf den Grund gehen und detailierte Informationen über dein System rausfinden.

Es kann sein, dass eine Webseite ein Sicherheitsloch aufweißt, über das die Angreifer in dein System gekommen sind.

 

[Philco]

Das hätte ich auch gedacht, kannst du mir sagen wie ich schnellstens die Informationen herbekomme, oder wo? Das Problem ist ich kenne mich nur so halbgut (gibs das?) bei Linux aus wo ich mir etwas schwer tu wenn mir niemand hilft.

Wenn sich das Problem nicht so beseitigen lässt kommt eh nur eine Neuinstallation in Frage, aber das "Loch" würde ich doch noch gerne aufdecken wo das ist.

 

[djrick]

Zu nächst solltest du alle relevanten Daten vom Server sichern, solange er im Rescue Modus ist.
Vorallendingen die Log Dateien.

Informationen bekommst du über die Log Dateien und wenn du dein Filesystem durchsuchst und nach "auffälligen" Dateien ausschau hälst. Beispielsweise Verzeichnisse die gar nicht existieren dürften.

Vor ein paar Tagen hatten wir etwas ähnliches, ich denke aus diesem Thread kannst du viele nützliche Informationen ziehen:

vServer von Server4You gesperrt

Hi, ich hab ein relativ großes Problem: ich hab heute von Server4You eine Mail erhalten Sehr geehrter Kunde, aufgrund von illegalen Tätigkeiten über Ihr System, waren wir gezwungen den Server zu sperren. Illegale Tätigkeiten eines Systems meint zumeist einer oder mehrere der folgenden...

serversupportforum.de

 

[Philco]

Danke, ich hab mir den Thread nun durchgelesen, aber ich komme leider immer noch nicht auf den Fehler.

Die von dir gefragte IP hab ich nun auch gefunden.

89.149.226.69 - - [28/Dec/2008:20:40:38 +0000] "POST http://89.149.226.69/a-poster/proxy.php HTTP/1.1" 200 1268 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

89.149.226.69 - - [28/Dec/2008:20:40:38 +0000] "POST http://www.diggpoint.com/wp-comments-post.php HTTP/1.1" 302 - "http://www.diggpoint.com/google-censorship-how-it-all-works/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

89.149.226.69 - - [28/Dec/2008:20:40:39 +0000] "POST ClickClick (.net) Contact Us HTTP/1.1" 200 23515 "http://clickclick.net/contactus.aspx" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

Aber für was gerade diese IP?

 

[Philco]

Hallo,

so nachdem ich die Apachelogs durchesehen habe und dort nicht wirklich was gefunden habe außer das die ganze Zeit zugriffe rausgeschickt werden.

Hat jemand noch einen Tipp wo ich nachsehen könnte, also logs etc.