Hallo miteinander,
heute wurde mit von Server4you mitgeteilt, dass unser Server aufgrund einer Dos-Attacke gesperrt wurde.
Nachdem ich bereits einige Threads hier im Forum gelesen habe, hoffe ich nun, dass Ihr mir ein paar Tipps geben könnt, wie ich das Problem am schnellsten und kostengünstigsten in den Griff bekomme
Erstmal der Auszug aus dem Mail vom Support:
-----8<---------------------------------------------------------------
# ps -H auxww (Ausschnitt)
apache 31860 0.0 0.1 20952 9948 ? S Aug03 0:00 /usr/sbin/httpd
apache 32657 0.0 0.0 2016 968 ? S Aug03 0:00 sh -c cd /tmp; ./udp.txt 200.155.63.3 80 600 2>&1
apache 32658 0.0 0.0 3856 2036 ? R Aug03 0:00 /usr/bin/perl ./udp.txt 200.155.63.3 80 600
apache 11309 0.0 0.1 20884 9764 ? S Aug03 0:00 /usr/sbin/httpd
apache 13383 0.0 0.0 2016 968 ? S Aug03 0:00 sh -c cd /tmp; ./udp.txt 200.215.17.122 80 600 2>&1
apache 13384 0.0 0.0 3856 2036 ? R Aug03 0:00 /usr/bin/perl ./udp.txt 200.215.17.122 80 600
apache 3197 0.0 0.1 20616 9472 ? S Aug03 0:00 /usr/sbin/httpd
apache 7738 0.0 0.0 2020 968 ? S Aug03 0:00 sh -c cd /tmp; ./udp.txt 200.215.17.122 80 600 2>&1
apache 7739 0.0 0.0 3864 2044 ? R Aug03 0:00 /usr/bin/perl ./udp.txt 200.215.17.122 80 600
apache 13453 0.0 0.1 20496 9216 ? S Aug03 0:00 /usr/sbin/httpd
apache 14323 0.0 0.0 2020 972 ? S Aug03 0:00 sh -c cd /tmp; ./udp.txt 200.215.17.122 80 600 2>&1
apache 14325 0.0 0.0 3864 2044 ? R Aug03 0:00 /usr/bin/perl ./udp.txt 200.215.17.122 80 600
# tcpdump
00:35:39.957696 IP 62.75.152.100.57389 > 200.215.17.122.80: UDP, length 1
00:35:39.957737 IP 62.75.152.100.55699 > 200.215.17.122.80: UDP, length 1
00:35:39.957739 IP 62.75.152.100.55699 > 200.215.17.122.80: UDP, length 1
00:35:39.957755 IP 62.75.152.100.57389 > 200.215.17.122.80: UDP, length 1
00:35:39.957756 IP 62.75.152.100.55699 > 200.215.17.122.80: UDP, length 1
00:35:39.957767 IP 62.75.152.100.57389 > 200.215.17.122.80: UDP, length 1
00:35:39.957811 IP 62.75.152.100.55699 > 200.215.17.122.80: UDP, length 1
00:35:39.957812 IP 62.75.152.100.57389 > 200.215.17.122.80: UDP, length 1
00:35:39.957824 IP 62.75.152.100.55699 > 200.215.17.122.80: UDP, length 1
00:35:39.957834 IP 62.75.152.100.57389 > 200.215.17.122.80: UDP, length 1
00:35:39.957852 IP 62.75.152.100.55699 > 200.215.17.122.80: UDP, length 1
00:35:39.957868 IP 62.75.152.100.57389 > 200.215.17.122.80: UDP, length 1
...
...
----->8---------------------------------------------------------------
Savemode ist on; Allerding könnte ich mir vorstellen, das das Leck in der open_basedir-Variable ist: Dort habe ich tmp/ für eine Upload-Anwendung freigegeben.
Nun meine Fragen:
-----8<---------------------------------------------------------------
Der Zugriff auf das von mir gemietete System wurde aufgrund des
im vorstehenden Ticket ausgeführten Sachverhalts vorübergehend
gesperrt.
Ich wurde ausdrücklich darauf hingewiesen, dass ich für Admini-
stration und Sicherheit meines Servers selbst zuständig bin und
hierfür die Verantwortung trage. Durch den der Sperrung zugrunde
liegenden Vorfall habe ich diese, mir obliegende vertragliche Pflicht
nicht erfüllt.
Um die von dem von mir angemieteten Server ausgehende Störung
zu beseitigen, bitte ich um eine der folgenden Lösungen:
----->8---------------------------------------------------------------
Da ich ausgerechnet jetzt keinen Zugriff auf mein Kundeninterface habe um dort die F.A.Q. zu lesen, hoffe ich nun Ihr könnt mir weiterhelfen
PS: Wir haben in 2 Wochen eine Großveranstaltung und unsere Adresse wurden in sämtlichen regionalen Printmedien veröffentlicht - ziemlich dumme Situation jetzt gerade
Gruß,
BastiD
heute wurde mit von Server4you mitgeteilt, dass unser Server aufgrund einer Dos-Attacke gesperrt wurde.
Nachdem ich bereits einige Threads hier im Forum gelesen habe, hoffe ich nun, dass Ihr mir ein paar Tipps geben könnt, wie ich das Problem am schnellsten und kostengünstigsten in den Griff bekomme
Erstmal der Auszug aus dem Mail vom Support:
-----8<---------------------------------------------------------------
# ps -H auxww (Ausschnitt)
apache 31860 0.0 0.1 20952 9948 ? S Aug03 0:00 /usr/sbin/httpd
apache 32657 0.0 0.0 2016 968 ? S Aug03 0:00 sh -c cd /tmp; ./udp.txt 200.155.63.3 80 600 2>&1
apache 32658 0.0 0.0 3856 2036 ? R Aug03 0:00 /usr/bin/perl ./udp.txt 200.155.63.3 80 600
apache 11309 0.0 0.1 20884 9764 ? S Aug03 0:00 /usr/sbin/httpd
apache 13383 0.0 0.0 2016 968 ? S Aug03 0:00 sh -c cd /tmp; ./udp.txt 200.215.17.122 80 600 2>&1
apache 13384 0.0 0.0 3856 2036 ? R Aug03 0:00 /usr/bin/perl ./udp.txt 200.215.17.122 80 600
apache 3197 0.0 0.1 20616 9472 ? S Aug03 0:00 /usr/sbin/httpd
apache 7738 0.0 0.0 2020 968 ? S Aug03 0:00 sh -c cd /tmp; ./udp.txt 200.215.17.122 80 600 2>&1
apache 7739 0.0 0.0 3864 2044 ? R Aug03 0:00 /usr/bin/perl ./udp.txt 200.215.17.122 80 600
apache 13453 0.0 0.1 20496 9216 ? S Aug03 0:00 /usr/sbin/httpd
apache 14323 0.0 0.0 2020 972 ? S Aug03 0:00 sh -c cd /tmp; ./udp.txt 200.215.17.122 80 600 2>&1
apache 14325 0.0 0.0 3864 2044 ? R Aug03 0:00 /usr/bin/perl ./udp.txt 200.215.17.122 80 600
# tcpdump
00:35:39.957696 IP 62.75.152.100.57389 > 200.215.17.122.80: UDP, length 1
00:35:39.957737 IP 62.75.152.100.55699 > 200.215.17.122.80: UDP, length 1
00:35:39.957739 IP 62.75.152.100.55699 > 200.215.17.122.80: UDP, length 1
00:35:39.957755 IP 62.75.152.100.57389 > 200.215.17.122.80: UDP, length 1
00:35:39.957756 IP 62.75.152.100.55699 > 200.215.17.122.80: UDP, length 1
00:35:39.957767 IP 62.75.152.100.57389 > 200.215.17.122.80: UDP, length 1
00:35:39.957811 IP 62.75.152.100.55699 > 200.215.17.122.80: UDP, length 1
00:35:39.957812 IP 62.75.152.100.57389 > 200.215.17.122.80: UDP, length 1
00:35:39.957824 IP 62.75.152.100.55699 > 200.215.17.122.80: UDP, length 1
00:35:39.957834 IP 62.75.152.100.57389 > 200.215.17.122.80: UDP, length 1
00:35:39.957852 IP 62.75.152.100.55699 > 200.215.17.122.80: UDP, length 1
00:35:39.957868 IP 62.75.152.100.57389 > 200.215.17.122.80: UDP, length 1
...
...
----->8---------------------------------------------------------------
Savemode ist on; Allerding könnte ich mir vorstellen, das das Leck in der open_basedir-Variable ist: Dort habe ich tmp/ für eine Upload-Anwendung freigegeben.
Nun meine Fragen:
- Mein Server wurde nebst Kundeninterface gesperrt - Ich kann also rein gar nichts mehr unternehmen ausser den Support anrufen: Wie kann ich feststellen, wie hoch mein Traffic ist bzw. war?
- Was sollte ich als erstes Tun: Fax mit Auftrag von Neuinstallation/Entsperrung an SERVER4YOU schicken oder zuerst die 0900'er Nummer anrufen (Andere Alternative gibt es nicht)?
- Macht eine Strafanzeige Sinn und wenn ja mit welcher Erfolgsaussicht (Erfahrungen)?
- Wie komme ich (Bei Neuinstallation) an die LOG-Dateien um Beweismittel für eine Strafanzeige zu sichern ohne 3x39€ für die Datensicherung vor der Installation zu blechen - Oder ist SERVER4YOU generell verpflichtet, mir diese zur Verfügung zu stellen?
- Wie kann ich den obigen Auszug deuten und daraus die Ursache ableiten um nach einer Neuinstallation künftige Hacks zuverhindern?
-----8<---------------------------------------------------------------
Der Zugriff auf das von mir gemietete System wurde aufgrund des
im vorstehenden Ticket ausgeführten Sachverhalts vorübergehend
gesperrt.
Ich wurde ausdrücklich darauf hingewiesen, dass ich für Admini-
stration und Sicherheit meines Servers selbst zuständig bin und
hierfür die Verantwortung trage. Durch den der Sperrung zugrunde
liegenden Vorfall habe ich diese, mir obliegende vertragliche Pflicht
nicht erfüllt.
Um die von dem von mir angemieteten Server ausgehende Störung
zu beseitigen, bitte ich um eine der folgenden Lösungen:
----->8---------------------------------------------------------------
- Neuinstallation des Systems ohne Datensicherung
Entbinde ich SERVER4YOU mit der Erklärung des obigen Textes und Beauftragung dieser Maßnahme, von einer ggf. geltenden Protokollierpflicht? - Neuinstallation des Systems mit kostenpflichtiger Datensicherung¹ (drei Arbeitseinheiten zu je 39,-)
Das ist klar (obwohl völlig überteuert und hierbei schamlos die Not der Kunden ausgenutzt wird) - Ich übernehme eigenverantwortlich die Bereinigung. Das System wird dafür kostenfrei in das Recovery-System gestartet. (Nicht für Windows-Rechner verfügbar!)
Was hat es mit diesem Punkt auf sich?
Da ich ausgerechnet jetzt keinen Zugriff auf mein Kundeninterface habe um dort die F.A.Q. zu lesen, hoffe ich nun Ihr könnt mir weiterhelfen
PS: Wir haben in 2 Wochen eine Großveranstaltung und unsere Adresse wurden in sämtlichen regionalen Printmedien veröffentlicht - ziemlich dumme Situation jetzt gerade
Gruß,
BastiD