Probleme mit DoS-Attacken

[opportunist]

Hallo,

seit März diesen Jahres darf ich mich Besitzer eines Strato Root-Servers schimpfen. Seitdem ich den Server nutze habe ich Probleme mit DoS-Attacken, und der Server ist mehrere Stunden am Tag offline.

Hat jemand von euch Erfahrung mit der Absicherung von Servern? - Denn die normale SuSE Firewall 2 hilft leider nicht.

Bin auf euer Feedback gespannt!

 

[xTraMen]

Ich habe zwar noch keine gehabt (TOI TOI TOI) aber hab den Server ja auch erst seit 1 Monat.

Bi aber auf der Suche nach Sicherungsmöglichkeiten auf das Apache Modul mod_security gestoßen.
Ich hoffe das Modul erschwert es wenigstens ein bissle.

Was meint Ihr.

 

[Thorsten]

Hallo!

...habe ich Probleme mit DoS-Attacken, und der Server ist mehrere Stunden am Tag offline.

Wie äußert sich das ganze denn genau? Sind das wirklich DoS Attacken? Woran machst du das fest?

Denn die normale SuSE Firewall 2 hilft leider nicht.

S.o. Warum nicht? Nur die Pakete akzeptieren die auch wirklich gebraucht werden. Alles andere wird gedroppt. Eventuell irgendwelche Scripte im Einsatz die mißbraucht werden?

mfG
Thorsten

 

[opportunist]

Es handelt sich um einen Webserver mit einem ViSAS-Bundle.
Die Firewall war so konfiguriert, dass ausschließlich die Ports "80, 22222, 3306" offen gewesen sein dürften. Der Server konnte jedoch über jeden beliebigen Port angegriffen werden.

Es handelt sich um einen Strato Power-Server mit ViSAS 2.3 Bundle.
Unsichere Scripte die auf dem Server zum angreifen missbraucht werden könnten, gibt es nicht. Es laufen im Grunde ausschließlich ein Wotlab Burning Board und ein gt-Chatsystem.
Die Ports die genutzt werden sind jedoch meist nach Zufallsprinzip gewählt. (Also keine gezielten Ports des Webservers o.Ä.)

Woran ich festmache, dass ich angegriffen werde, ist recht einfach:

Es handelt sich um ein 15 Jähriges Kind, welches schon seit X Jahren durch das Internet rennt, und dort Unruhe stiftet. Seitdem wir nun einen eigenen Server haben, kommt er in den Chat, floodet irgendwelche Beschimpfungen oder Werbung und kündigt an, dass der Server offline geht.
Ca. 30 Sekunden später ist der Server offline.

Ich hoffe, dass das ausführlich genug war, bin nicht sicher ob ich was vergessen habe.

 

[Thorsten]

Hallo!
Anlaufstellen zur Analyse wären /var/log/messages sowie das Apache Logfile. Gibt es die Möglichkeit, einen Blick auf diese files zu werfen? Sind gtChat und BB aktuell?

mfG
Thorsten

 

[HornOx]

Es handelt sich um ein 15 Jähriges Kind, welches schon seit X Jahren durch das Internet rennt, und dort Unruhe stiftet. Seitdem wir nun einen eigenen Server haben, kommt er in den Chat, floodet irgendwelche Beschimpfungen oder Werbung und kündigt an, dass der Server offline geht.
Ca. 30 Sekunden später ist der Server offline.

Steigt der Traffic in dem Zeitraum in dem der Angriff stattfindet stark an? Wenn ja dann installiere Ethereal (gibt sogar fertige rpms ) oder ähnliches, lass alle Packete mitprotokolieren, provoziere einen Angriff und werte dann das Ergebniss aus. Dann weißt du um was für eine Art von Angriff es sich handelt, was für Ports betroffen sind, ob es ein DoS, dDoS ist und jede Menge nützlicher Informationen mehr und solltest damit die Firewall Regeln gezielt anpassen können.

 

[opportunist]

Hallo!
Anlaufstellen zur Analyse wären /var/log/messages sowie das Apache Logfile. Gibt es die Möglichkeit, einen Blick auf diese files zu werfen? Sind gtChat und BB aktuell?

mfG
Thorsten

Beim Chat ist "aktuell" relativ. Ist nicht mehr der neueste, da er lange nicht weiterentwickelt wurde. Der Chat ist jedoch nicht das Angriffsziel, er nutzt keine separaten Ports, ganz normal Port 80 wird genutzt. Vom Woltlab Burning Board nutze ich Version 2.3.3, also die zuletzt erschiehene.

Die Möglichkeit die Files anzuschauen ist da, wolltest du sie dir anschauen, und war die Frage so gemeint, ob ich sie mir anschauen kann?

@Horn0x:
Der Traffic steigt nicht wirklich an, zumindest soweit ich das beobachten konnte. Ich habe mir gerade mal einen IP-Paketfilter erstellt und versucht sogut es geht zu konfigurieren, jedoch erfolglos. Habe es dann zeitweise selber probiert den Server anzugreifen, fazit:
Absolut null Wirkung.

Ich werd mir Ethereal mal draufhauen und schauen.
Danke für den Tipp.

Danke an euch für Eure Unterstützung.

 

[Thorsten]

Hallo!
Wenn du die logfiles selbst analysieren kannst um so besser. Ansonsten müsstest du uns diese zugänglich machen.
Ich würde mir als erstes den Logabschnitt zum Zeitpunkt eines Angriffs des Apache Servers vornehmen. Such nach Auffälligkeiten die auf Cross Site Scripting hindeuten. Also Dinge wie ls, cat, exec, grep, usw. Eventuell auch Einträge in denen externe Dateien includiert werden sollen.

mfG
Thorsten

 

[Huschi]

Seitdem ich den Server nutze habe ich Probleme mit DoS-Attacken, und der Server ist mehrere Stunden am Tag offline.

Definier bitte 'offline' und beschreib was Du gegen 'offline' getan hast.
Z.B. er ist nur für Browser nicht erreichbar aber per ssh, etc.
Hast Du nach dem 'offline' einen Server-Reboot gemacht oder einfach laufen lassen, bis er wieder ging?

Ich will damit darauf hinaus, rauszufinden, was genau das Angriffsziel/-objekt war.

huschi.

 

[h00ch]

Ich empfehle dir natürlich auch Etheral.
Jedoch bin ich der Meinung, dass die im Fall eines "geplanten" Angriffs (wenn auch nur durch ein Script Kiddie) dir der sehr gute (meine Erfahrung bisher, habe einen Root seit 4 Monaten dort) STRATO Support hilft.
Und auch wenn es ein "15 jähriges Kind" ist, mach es im Chat auf die rechtlichen Konsequenzen aufmerksam.

Solltest du uns die Logfiles von Ethereal uppen können, kann ich dir gerne die IP des Angreifers nennen und zu prüfen ob evtl ein Proxy benutzt wurde.

Solltest du eine eindeutige IP+Uhrzeit, sowie gültige Logfiles haben, würde ich einen Anwalt nehmen und Anzeige zu erstatten (Die meisten Rechtschutzversicherungen bezahlen die Kosten).

 

[HornOx]

Solltest du uns die Logfiles von Ethereal uppen können[...]

Ist wegen Datenschutz nicht zu empfehlen.