Hallo Leute,
ich hoofe das ich hier mit meinem Thema richtig bin; ich habe die ganze Zeit geschaut, wo das rein könnte aber nichts passendes gefunden.
Folgendes hat sich ereignet:
Ich habe seit über einem Jahr einen Vserver. Vor ca 4 Monaten habe ich dann den Server auf das OS Opensuse 10.1 transferiert (also einen neuen Vertrag und dann mit Plesk das ganze "rüberkopiert")
Auf dem Server läuft eigentlich nichts spektakuläres: ein Forum, zwei CMS (drupal) ein Teamspeakserver, ein Gameserver und ein Mailserver. Das ist alles in allem recht kleingehalten. Die Passwörter die ich verwende setzen sich immer aus Zahlen und Buchstaben zusammen und sind doch recht komplex; die verwendete Software ist auf dem aktuellsten Stand.
Nun war es so, das ich ,seit dem ich auf dem neuen Server bin, immer wieder keinen connect zu meinem Server hatte: bei putty bin ich immer eider mal rausgeflogen, die Webseite war immer wieder mal nicht erreichbar und die Verwaltungssoftware des Gameserver flog auch immer wieder mal raus. Manchmal war es für 5 sec. manchmal aber auch bis zu einer Minute. Das waren aber bisher alles nur "gefühlte" angaben, also nichts schrftliches/beweisbares. Daraufhin habe ich den Provider kontaktiert, sie mögen doch bitte mal dort nachsehen, ob da etwas nicht richtig läuft, da (noch mal anbemerkt) ich die gleiche konfiguration auf dem alten System mit Suse 9.3 hatte und dort NIE diese Aussetzer hatte.
Zeitgleich habe ich dann mit PRTG den Server gepingt um zu Testen wann der nicht erreichbar war/ist ; und siehe da, ich habe dieses auch festhalten können. Aber ich konnte daraus keine Regelmäßigkeit erkennen.
Nachdem sich der Support !einen! Monat nicht gemeldet hatte, habe ich dort mal angerufen und wollte wissen, ob die noch ein gemütliches Mittagsschläfchen halten-> war wohl nciht so, da jemand an das Telefon ging. Auf meine Frage, warum ich noch keine Antwort erhielt, erhielt ich keine direkte Antwort sondern nur so etwas wie " äh ja, keine Ahnung"
Naja, ich habe den Fall dann noch mal geschildert. Mir wurde darauf hin geraten, das ganze aufzuzeichnen und dem Support zukommen zu lassen. Ich sagte, das mache ich bereits seit einem Monat (aufzeichnen) und der Support kann alles was "pdf, jpeg, " oder so ähnlich ist, annehmen und analysieren.
Gut dachte ich mir, hast ja von PRTG die Aufzeichnung. Ich habe daraus einen Bericht angefertigt und als PDF gespeichert. Das waren "mal eben" > 36 Seiten. Das habe ich denen zu gesandt und kurze Zeit später kam eine Antwort das man damit nicht viel anfangen könne. Ich solle doch das Programm WINMTR nehmen. Gut dachte ich mir, machste das auch noch. Ddas lief und lief und lief und irgendwann hatte ich mehr als eine halbe Millionen Pakete zu meiner IP gesandt. Das habe ich dann wieder an den Support gesandt. Zwischenzeitig wurde an meinem Server etwas aktualisiert (Sicherheitssoftware) , keine Ahnung was das sein sollte, (ich habe das per Plesk schon vorher gemacht, soweit verfügbar) aber die werden shcon ihre Gründe haben, dachte ich mir (Aber das brachte auch nciht das gewünschte)
Dann passierte erstmal nichts und gestern, als ich auf meine Webseite wollte, war die nicht mehr erreichbar-> nichts von mir war mehr erreichbar. Der Server war abgeschaltet wegen "mißbrauch". Ich habe denen daraufhin sofort eine Mailgeschrieben und wollte genaueres Wissen. Dann trudelte gestern abend um 2200 Uhr eine Mail ein, das Techniker meinen Server abgeschaltet haben da (zitat) " Hiermit möchten wir Sie informieren, dass uns Techniker unseres Rechenzentrums oder Beschwerden Betroffener darüber in Kenntnis gesetzt haben, dass auf Ihrem Produkt eine fehlerhafte Anwendung ausgeführt wird, durch die Dritte beeinträchtigt werden. In der Regel sind dies z.B. Hackversuche oder Angriffe anderer Art.
Aus unserem Rechenzentrum wurde uns ein UDP-Flood von Ihrem System ausgehend gemeldet. Von Ihrer IP Adresse wurden 10000 Pakete UDP mit einer Länge < 60 Bytes gemessen. Dies deutet in der Regel auf ein kompromittiertes System hin." (zitat ende)
Das einzige was bei mir den UDP -Traffic veranlasst ist doch der Teamspeakserver. Und nun Frage ich mich, was da sonst noch sein könnte.
Was kann sonst noch einen UDP-Flood verursachen ?
Mir kommt es so vor, als wenn da Praktikanten am Werk waren. Nicht sehr ersichtlich und klar die ganze vorgehensweise von 1blu.
Das der nicht der Beste ist, ist mir auch klar und meine Überlegungen zu einem renomierten Provider zu wechseln erhärten sich. Ich möchte kein Versuchsobjekt mehr sein.
Any comments/hints
Mit freundlichen Grüßen
simpson
ich hoofe das ich hier mit meinem Thema richtig bin; ich habe die ganze Zeit geschaut, wo das rein könnte aber nichts passendes gefunden.
Folgendes hat sich ereignet:
Ich habe seit über einem Jahr einen Vserver. Vor ca 4 Monaten habe ich dann den Server auf das OS Opensuse 10.1 transferiert (also einen neuen Vertrag und dann mit Plesk das ganze "rüberkopiert")
Auf dem Server läuft eigentlich nichts spektakuläres: ein Forum, zwei CMS (drupal) ein Teamspeakserver, ein Gameserver und ein Mailserver. Das ist alles in allem recht kleingehalten. Die Passwörter die ich verwende setzen sich immer aus Zahlen und Buchstaben zusammen und sind doch recht komplex; die verwendete Software ist auf dem aktuellsten Stand.
Nun war es so, das ich ,seit dem ich auf dem neuen Server bin, immer wieder keinen connect zu meinem Server hatte: bei putty bin ich immer eider mal rausgeflogen, die Webseite war immer wieder mal nicht erreichbar und die Verwaltungssoftware des Gameserver flog auch immer wieder mal raus. Manchmal war es für 5 sec. manchmal aber auch bis zu einer Minute. Das waren aber bisher alles nur "gefühlte" angaben, also nichts schrftliches/beweisbares. Daraufhin habe ich den Provider kontaktiert, sie mögen doch bitte mal dort nachsehen, ob da etwas nicht richtig läuft, da (noch mal anbemerkt) ich die gleiche konfiguration auf dem alten System mit Suse 9.3 hatte und dort NIE diese Aussetzer hatte.
Zeitgleich habe ich dann mit PRTG den Server gepingt um zu Testen wann der nicht erreichbar war/ist ; und siehe da, ich habe dieses auch festhalten können. Aber ich konnte daraus keine Regelmäßigkeit erkennen.
Nachdem sich der Support !einen! Monat nicht gemeldet hatte, habe ich dort mal angerufen und wollte wissen, ob die noch ein gemütliches Mittagsschläfchen halten-> war wohl nciht so, da jemand an das Telefon ging. Auf meine Frage, warum ich noch keine Antwort erhielt, erhielt ich keine direkte Antwort sondern nur so etwas wie " äh ja, keine Ahnung"
Naja, ich habe den Fall dann noch mal geschildert. Mir wurde darauf hin geraten, das ganze aufzuzeichnen und dem Support zukommen zu lassen. Ich sagte, das mache ich bereits seit einem Monat (aufzeichnen) und der Support kann alles was "pdf, jpeg, " oder so ähnlich ist, annehmen und analysieren.
Gut dachte ich mir, hast ja von PRTG die Aufzeichnung. Ich habe daraus einen Bericht angefertigt und als PDF gespeichert. Das waren "mal eben" > 36 Seiten. Das habe ich denen zu gesandt und kurze Zeit später kam eine Antwort das man damit nicht viel anfangen könne. Ich solle doch das Programm WINMTR nehmen. Gut dachte ich mir, machste das auch noch. Ddas lief und lief und lief und irgendwann hatte ich mehr als eine halbe Millionen Pakete zu meiner IP gesandt. Das habe ich dann wieder an den Support gesandt. Zwischenzeitig wurde an meinem Server etwas aktualisiert (Sicherheitssoftware) , keine Ahnung was das sein sollte, (ich habe das per Plesk schon vorher gemacht, soweit verfügbar) aber die werden shcon ihre Gründe haben, dachte ich mir (Aber das brachte auch nciht das gewünschte)
Dann passierte erstmal nichts und gestern, als ich auf meine Webseite wollte, war die nicht mehr erreichbar-> nichts von mir war mehr erreichbar. Der Server war abgeschaltet wegen "mißbrauch". Ich habe denen daraufhin sofort eine Mailgeschrieben und wollte genaueres Wissen. Dann trudelte gestern abend um 2200 Uhr eine Mail ein, das Techniker meinen Server abgeschaltet haben da (zitat) " Hiermit möchten wir Sie informieren, dass uns Techniker unseres Rechenzentrums oder Beschwerden Betroffener darüber in Kenntnis gesetzt haben, dass auf Ihrem Produkt eine fehlerhafte Anwendung ausgeführt wird, durch die Dritte beeinträchtigt werden. In der Regel sind dies z.B. Hackversuche oder Angriffe anderer Art.
Aus unserem Rechenzentrum wurde uns ein UDP-Flood von Ihrem System ausgehend gemeldet. Von Ihrer IP Adresse wurden 10000 Pakete UDP mit einer Länge < 60 Bytes gemessen. Dies deutet in der Regel auf ein kompromittiertes System hin." (zitat ende)
Das einzige was bei mir den UDP -Traffic veranlasst ist doch der Teamspeakserver. Und nun Frage ich mich, was da sonst noch sein könnte.
Was kann sonst noch einen UDP-Flood verursachen ?
Mir kommt es so vor, als wenn da Praktikanten am Werk waren. Nicht sehr ersichtlich und klar die ganze vorgehensweise von 1blu.
Das der nicht der Beste ist, ist mir auch klar und meine Überlegungen zu einem renomierten Provider zu wechseln erhärten sich. Ich möchte kein Versuchsobjekt mehr sein.
Any comments/hints
Mit freundlichen Grüßen
simpson
) aber dennoch ein deutlicher Indikator das dein Server etwas macht was er nicht machen soll. Es ist sehr unwarscheinlich das Teamspeak diese Packete verschickt, vermutlich ist dafür irgendein von Hackern installiertes Programm verantwortlich. Wäre es dir lieber wenn dein Anbieter deinen Server weiterlaufen läßt, dir den Traffic in Rechnung stellt und wartet bis einer der Angegriffenen dich bei der Polizei anzeigt?