Ich habe einen normalen vserver, also 50GB Traffic frei im Monat. Als ich gestern meinen "Traffic im Abrechnungszeitraum" im Admin-Menü begutachtete, bin ich vom Stuhl gefallen:
Im Zeitraum vom 21.12.2004 bis zum 21.1.2005 hatte ich jeden Tag bis zum 1.1.2005 ca. 6Gb Downstream (also zum Server hin!), also ca. 10mal mehr als sonst. Was jetzt schon 88€ Aufpreis bedeutet für den Übertraffic in diesem Zeitraum von ca. 30GB.
Ein Blick in die "Detail-Ansicht" fördete noch Schlimmeres zu Tage. Seit dem 3.12.2004 hatte ich durschnittlich 6GB Downstream am Tag. Also ist auch der Abrechnungszeitraum vom 21.11.2004 bis zum 21.12.2004 betroffen.
Was mich stutzig gemacht hat, war, dass es sich um den Downstream handelte. Also Daten aus dem Internet zum Server hin. Und dass der Upstream nur ca. doppelt so hoch war wie an normalen Tagen. Dies läßt eigentlich nur den Rückschluss auf eine DOS Attacke zu.
Ich schaue jeden Tag in die von meinem Server gemailten Logs (srvreport), welcher mir FTP, MAIL, HTTP und alle FTP&SSH Logins anzeigt. Diese bewegten sich aber die ganze Zeit im normalen Rahmen und stimmten auch mit der Tarffic Ansicht aus dem Reseller Menü (welches HTTP/FTP anzeigt) auf das MB genau überein. Das habe ich auch nochmal überprüft.
Nach einer Analyse der Server-Logs schliesse ich auch die Dienste mysql, ssh, rync und mail (smtp, pop3) aus. Und was anderes hatte ich nicht am Laufen.
Deshalb denke ich, dass es eine ICMP DOS Attacke war.
Diesen zu hohen Traffic meldete ich dann heute der Hotline. Nachdem ich gestern, nach allem Überfluss, 2mal nach 10min aus der teueren Hotline geflogen bin, wegen Überlastung.
Der nette Herr an der Hotline machte einen Portscan und schrieb diesen in das gestern von mir erstellte Ticket. Da drunter setzte ich dann noch meine Analyse, ähnlich der hier oben, nur etwas kürzer.
Angeblich sollte sich bei mir die Buchhaltungsabteilung melden, tat sie aber leider nicht bis jetzt. Als ich da eben angerufen habe sagte die mir, das ich bis zur Abrechnung warten soll. Das möchte ich aber eigentlich ungerne machen, da mein Konto das doch arg mitnehmen würde.
Habt ihr irgendwelche Tipps oder Ideen?
Natürlich wird man sagen, dass ich es zu spät bemerkt habe. Aber da ich immer am Anfang des Monats in den Traffic schaue, konnte ich ihn gar nicht bemerken. Und die Dienste, die ich per täglicher Mail-Auswertung überwache, zeigten ja nichts Aussergewöhnliches an.
mfg
Subby
Im Zeitraum vom 21.12.2004 bis zum 21.1.2005 hatte ich jeden Tag bis zum 1.1.2005 ca. 6Gb Downstream (also zum Server hin!), also ca. 10mal mehr als sonst. Was jetzt schon 88€ Aufpreis bedeutet für den Übertraffic in diesem Zeitraum von ca. 30GB.
Ein Blick in die "Detail-Ansicht" fördete noch Schlimmeres zu Tage. Seit dem 3.12.2004 hatte ich durschnittlich 6GB Downstream am Tag. Also ist auch der Abrechnungszeitraum vom 21.11.2004 bis zum 21.12.2004 betroffen.
Was mich stutzig gemacht hat, war, dass es sich um den Downstream handelte. Also Daten aus dem Internet zum Server hin. Und dass der Upstream nur ca. doppelt so hoch war wie an normalen Tagen. Dies läßt eigentlich nur den Rückschluss auf eine DOS Attacke zu.
Ich schaue jeden Tag in die von meinem Server gemailten Logs (srvreport), welcher mir FTP, MAIL, HTTP und alle FTP&SSH Logins anzeigt. Diese bewegten sich aber die ganze Zeit im normalen Rahmen und stimmten auch mit der Tarffic Ansicht aus dem Reseller Menü (welches HTTP/FTP anzeigt) auf das MB genau überein. Das habe ich auch nochmal überprüft.
Nach einer Analyse der Server-Logs schliesse ich auch die Dienste mysql, ssh, rync und mail (smtp, pop3) aus. Und was anderes hatte ich nicht am Laufen.
Deshalb denke ich, dass es eine ICMP DOS Attacke war.
Diesen zu hohen Traffic meldete ich dann heute der Hotline. Nachdem ich gestern, nach allem Überfluss, 2mal nach 10min aus der teueren Hotline geflogen bin, wegen Überlastung.
Der nette Herr an der Hotline machte einen Portscan und schrieb diesen in das gestern von mir erstellte Ticket. Da drunter setzte ich dann noch meine Analyse, ähnlich der hier oben, nur etwas kürzer.
Angeblich sollte sich bei mir die Buchhaltungsabteilung melden, tat sie aber leider nicht bis jetzt. Als ich da eben angerufen habe sagte die mir, das ich bis zur Abrechnung warten soll. Das möchte ich aber eigentlich ungerne machen, da mein Konto das doch arg mitnehmen würde.
Habt ihr irgendwelche Tipps oder Ideen?
Natürlich wird man sagen, dass ich es zu spät bemerkt habe. Aber da ich immer am Anfang des Monats in den Traffic schaue, konnte ich ihn gar nicht bemerken. Und die Dienste, die ich per täglicher Mail-Auswertung überwache, zeigten ja nichts Aussergewöhnliches an.
mfg
Subby
