Probleme mit DNS

mikel6006

New Member
Hallo liebe Leute,
ich weis ehrlich nicht wo ich anfangen soll.
Mein Server wird für Spamnachrichten benutzt. (ddos attacken)
Mein DNSLog.txt steigt in Sekunden über mehrere 20 MB an.
Ich vermute mal ich hab ein Open Resolver Problem.

Kann mir irgendjmnd Tipps geben?

LG mikel6006
 
Danke für diesen Vorschlag aber der kommt nicht in Frage.
Außerdem weis ich ja nicht mal was ich falsch gemacht habe.
 
Hi,

zu a) wo seh ich das?

zu b) werd mich mal schlau machen ;)

zu c) Das ist ein Windows Server 2008 kein Linux daher fällt das mit dem Apache schon mal weg.

Aber danke schon mal.
 
Last edited by a moderator:
@globi: Du oder ich, irgendjemand von uns beiden, versteht seinen Beitrag falsch: Laut seinem Post kann ich daraus lesen, dass sein Server missbraucht wird um Spammails zu verschicken.
 
@globi: Du oder ich, irgendjemand von uns beiden, versteht seinen Beitrag falsch: Laut seinem Post kann ich daraus lesen, dass sein Server missbraucht wird um Spammails zu verschicken.

stimmt... ich habe nur das hinten in klammern beachtet (DDoS Attacken) :D
Keine Ahnung was er nun genau meint...

@mikel6006: Wir dein Server nun als Spamserver missbraucht oder werden darauf Floods/Attacken gemacht, dass der Server dadurch lahm ist und abstürzt. Gib mal deine Server IP durch, dann kann man mal guggen ob du wirklich Open resolve problem hast...
 
Last edited by a moderator:
@mikel6006: Aus deinem Posting geht nicht klar hervor, ob dein Server für den Spamversand mißbraucht wurde oder für DoS-Attacken. Nach deinen bisherigen Angaben mußt du aber davon ausgehen, daß jemand deinen Server unter seiner Kontrolle hat. Das bedeutet als erstes, daß du deinen Server herunter fahren mußt, damit dieser nicht mehr mißbraucht werden kann. Anschließend ein Image ziehen und dieses einer umfassenden Analyse zu uinterziehen, um die Lücke im System zu finden, diese zu schließen und auch alle Hintertüren, die der Eindringling sich nach seinem Eindringen geschaffen hat. Letzteres ist sehr problematisch, daher nach Finden der ursprünglichen Lücke den Server neu installieren und dabei diese Lücke schließen.
 
@danton: Es gibt nicht nur Spam per Email :D

Im vorliegenden Fall könnte es sich um eine sogenannte DNS Amplification Attack handeln.
Dabei kann man relativ anonym (verbindungslose UDP-Pakete mit gefälschtem Absender) mit kleinen Anfragen große Antworten in Richtung des potentiellen Opfers dirigieren. Ich sehe soetwas auch relativ oft in m Grundrauschen in den Logs, schicke aber natürlich keine Antworten.

Im einfachsten Fall sperrt man auf dem Server sämtlich externe Rekursionen.
Falls das nicht geht, ist hier z.B. ein Lösungsansatz: http://technet.microsoft.com/en-us/security/hh972393.aspx
 
Back
Top