Sperrung wegen DoS

T

thunder

Registered User
Hallo,

seit heute Nacht scheint es jemand auf meinen vserver abgesehen zu haben :(
Nachdem ich heute vormittag einen Reboot anforderte, weil ich den Server nicht erreichen konnte, entdeckte ich etwas später die Meldung, daß der vserver wegen DoS gesperrt wurde. Ein Blick auf meine Traffic-Ansicht untermauerte dies. (Downstream so jede Stunde knapp über 1 GB :eek: )

Bin dann irgendwie dem Denkfehler erlegen, daß jemand den Server nutzt, um einen anderen per DoS außer Gefecht zu setzen. In der Mail von s4y stand, daß man bei einem solchen Verdacht, eine Neuinstallation beantragen solle. Nachdem ich gesehen habe, daß nach meinem Reboot wieder Unmengen Traffic über den Server gingen, hab ich (ohne Datensicherung, weil ja leider kein rankommen :( ) zur Neuinstallation freigegeben.

Dies wurde ausgeführt, aber der Traffic-Zähler springt noch immer munter nach oben :mad:
Wie kann das sein, immerhin ist der Server doch eigentlich gesperrt
gruebel.gif
, ich zumindest komm nich ran und kann momentan irgendwie nicht mal was dagegen tun, weil ich ja nicht sehe, was da eigentlich vor sich geht.
 
Hallo!
1. Rausfinden wie der Traffic entsteht, bzw. was das für Traffic ist.
2. Laufen irgendwelche unbekannten Prozesse?
3. Hat sich irgendjemand unbekanntes eingeloggt?
4. Setzt du die gleichen Applikationsversionen wie vorher ein (Sicherheitslücken)?
5. Welchen stand haben die 'Systemprogramme'?
6. Entsteht der Traffic wirklich (ifconfig)?

mfG
Thorsten
 
Thorsten said:
1. Rausfinden wie der Traffic entsteht, bzw. was das für Traffic ist.
Click to expand...
Das würd ich unheimlich gern - ehrlich, aber ich selbst hab (aufgrund der Sperrung vermutlich) selbst keinen Zugang, da alle "normalen" vserver-Dienste (ssh, ftp) nicht verfügbar sind.

2. Laufen irgendwelche unbekannten Prozesse?
3. Hat sich irgendjemand unbekanntes eingeloggt?
Click to expand...
Das war mein erster Gedanke, habe deswegen alles über Bord geworfen und nen Reset durchführen lassen, das hätte im Zweifelsfall jeden Prozeß und jeden Accountzugang abbrechen müssen.
(Das ist mittlerweile Stunden her ... normalerweise versucht kein mir bekanntes Programm so lange einen Verbindungsaufbau, da greifen normalerweise eigentlich die Timeout-Zeiten, oder? Gehe also mal davon aus, daß das nen gezielter Angriff ist. *hmpf*)

Hab durchgerechnet, daß der Server so 200-300 kB/s Down-Traffic hat. Aber durch das Reset schließe ich mal aus, daß irgendeines meiner Skripte/Programme verantwortlich dafür gewesen ist, da ja nun alles weg ist, das Problem jedoch weiterhin besteht. :(

6. Entsteht der Traffic wirklich (ifconfig)?
Click to expand...
Seit dem Reset komm ich nicht auf den Server, aber die Trafficzählung läuft weiter. Kann deswegen leider auch nicht sagen, ob der Server wirklich mit Daten zugemüllt wird.
 
Dann erstmal Sicherheitshalber für deinen Geldbeutel Shutdown -h now und am besten Hotline anrufen.
 
Hallo!
Habe ich das jetzt richtig verstanden:
Dein Server ist von Server4You gesperrt worden und es 'entsteht' weiterhin Traffic? Nach der Sperrung durch den Anbieter kannst du aber nicht mehr für diesen Traffic verantwortlich gemacht werden. Ich empfehle, das du dich schnellstens mit Server4You in Verbindung setzt, damit ihr die nächsten Schritte absprechen könnt.

mfG
Thorsten
 
@society: Soweit mir bekannt, kann ich selbst den Server nicht runterfahren.

@Thorsten: Genau, so ist das. (tut mir leid, falls ich mich da misverständlich ausgedrückt hab)

Die Sperrung scheint jedoch keine andauernde Trennung des Servers vom Netz zu beinhalten. (interessanterweise
rolleyes.gif
)
Nach dem Reboot und selbst nach der Neuinstallation, scheint er zwar online, aber ist für mich nicht erreichbar.
Alles sehr merkwürdig ...
 
So, hab jetzt mal bei der Hotline angerufen (weil ich ansonsten morgen vormittag wahrscheinlich meine 50GB Traffic überschreite ^^).

Habe kurz das Problem geschildert (Reset, aber kein Zugriff, also auch keine Handlungsmöglichkeit meinerseits) und obwohl der Server offenbar dort noch immer als gesperrt im System geführt wird (seit 11 Uhr in etwa), ist er wohl nach außen hin noch immer offen .... aber der gute Mann am anderen Ende hat mir versprochen, daß er sich darum kümmern wird. :)

Ich bin gespannt ...
 
thunder said:
So, hab jetzt mal bei der Hotline angerufen (weil ich ansonsten morgen vormittag wahrscheinlich meine 50GB Traffic überschreite ^^).

Habe kurz das Problem geschildert (Reset, aber kein Zugriff, also auch keine Handlungsmöglichkeit meinerseits) und obwohl der Server offenbar dort noch immer als gesperrt im System geführt wird (seit 11 Uhr in etwa), ist er wohl nach außen hin noch immer offen .... aber der gute Mann am anderen Ende hat mir versprochen, daß er sich darum kümmern wird. :)

Ich bin gespannt ...
Click to expand...
"kümmern"?
Da wäre ich mir mal nicht so sicher.
Bei so etwas IMMER Namen des netten Herrn notieren ;)
Mir wurden damals auch Rückrufe etc versprochen, nichts tat sich aber!
 
Selbst wenn der Server runtergefahren ist, kommt der Traffic immer noch am router an, wo er gemessen wird.
Hier muss unbedingt der Support benachrichtigt werden!!!!
 
Selbst wenn der Server runtergefahren ist, kommt der Traffic immer noch am router an, wo er gemessen wird.
Click to expand...

Das ist nicht wahr oder? So kann man ja gar nichts machen, wenns mal mehr wird und man kurz davor ist sein Traffickontingent zu überschreiten. :mad:
 
Sandmann said:
Das ist nicht wahr oder? So kann man ja gar nichts machen, wenns mal mehr wird und man kurz davor ist sein Traffickontingent zu überschreiten. :mad:
Click to expand...


Doch, das ist meines Wissens nach schon wahr.
Meistens hört eine DoS Attacke aber auf, wenn das Ziel (Server down) erreicht ist. Ich würde an thunder's Stelle auf jeden Fall den Support benachrichtigen und, wie bereits von einem anderen User empfohlen, die weiteren Schritte besprechen.




gruß,
Patrick
 
Hatte gestern leider keine Zeit, weil ich heute ne Prüfung hatte, deswegen hier und jetzt der Nachtrag :)

server4downs said:
"kümmern"?
Da wäre ich mir mal nicht so sicher.
Bei so etwas IMMER Namen des netten Herrn notieren ;)
Mir wurden damals auch Rückrufe etc versprochen, nichts tat sich aber!
Click to expand...

Also diesbezüglich kann ich mich nicht beschweren. :)
Habe nicht mal 5 Minuten nach meinem Anruf im Ticket die Meldung gehabt, daß der Server für 24 Stunden aus dem Netz genommen wurde. (und der Herr vom Telefon hat auch freundlicherweise nochmal seinen Namen vorbildlich in der Endformulierung hinterlassen)
2 1/2 Stunden vor Ablauf der angesetzten Frist ist der Server dann wieder aufgetaucht :)


Habe nun schon das ganze /var/log-Verzeichnis durchwühlt, aber keiner der bei mir laufenden Dienste scheint dafür verantwortlich gewesen zu sein, muß also wirklich direkt am Router auf der IP hängen geblieben und dort gezählt worden sein. Oder weiß jemand noch irgendwo was anderes, wo ich mal gucken könnte? :confused: (hab SuSe)


btw: An dem Tag des Angriffs hab ich fast 17GB verzeichneten Down-Traffic :eek:
 
S4y

hat Dein server zufällg eine ip die mit 62.75.210.xxx oder 62.75.2xx.xxx beginnt dort auf diesem host systemen ist im kernel ein sicherheits loch das angeblich schon getopft sein soll was es aber nicht ist und nachdem der server down ist sollte auch kein traffic entstehen(bis auf das sog. grundrauschen) das sollte so bei 0,8 mb/tag liegen man sollte seinen vserver nicht per ssh neustarten da die host maschine keine reboot in diesem sinnne zu lässt bei shutdwon -r now oder rebot fährt der server runter aber kommt nicht mehr online da der Prozess(vserver-prozess=sandbox) ein kill signal bekommt reboot´s sollte man immer per webinterface machen des weiteren habe ich bei Confixx unter Redhat oder suse linux ein sicherheist loch gefunden da anscheinend einig variablen des web1 users wegen der cgi-bin falsch sind und eigentlich jeder user der ftp zugang hat(oder sich ihn beschaft) ein script in der cgi-bin ausführt der einen user created der root recht hat !!!! meiner meinung nach sollte mann wenn mann eh einen neu instal machen will auf debian.3.1 umsteigen was ja angeboten wird und confixx über den jordan jagen udn seine config selbst machen zumal debian image anscheinend recht neu ist da dort z.b apche2 dabei ist und mysql 5.5 statt wie bei redhat(und suse) nur 3.1 (nach dem neu install)welcher kernel auf der hostmaschine 62.75.210.xxx lauft kann mann bei mir sehen
da ich kein confixx laufen habe und deshalb phpsysinfo bei mir geht
http://62.75.210.116/sysinfo
so ich habe fertig :D
Mfg Fox012 :rolleyes:
 
Last edited by a moderator:
Ich will ja nicht den Oberlehrer raushängen lassen, aber:

Siehe FAQ Punk(t) 3!!!
Ein bischen Interpunktion wäre auch prima!
 
.......................................................
 
Last edited by a moderator:
Hey Forum,

ich habe jetzt ein ähnliches Problem - jedoch sind die 50GB überschritten ... Ich weiß jetzt garnicht, was die Ursache ist, da ich natürlich vom Support niemanden erreiche und sich das vor nächste Woche auch nicht ändern wird. Wie wird die Lage sein, muss ich die jetzt entstandenen Traffic-Kosten vollkommen selbst tragen oder gibt es eine andere Lösung?

Vielen Danke schonmal für eure Antworten.
 
Hmmm...
das ist immer ein schwieriges Thema. Wenn du die DDOS Angriffe gegen deine IP beweisen kannst, hast du vielelicht eine Chance.
Der Beste Fall ist immer wenn das RZ geddosst wird, dann übernimmt das meistens der Provider.

Auf jedenfall: Logfiles sichern. Traffic nachvollziehen.
Und: As soon as possible mit dem Vertrieb / Support in Verbindung setzten.

EDIT: Ich hab gerade auf meine Trafficanzeige geguckt:
Übertraffic [50 GB inklusive]: 36305 MB Zusätzliche Kosten: 109 Euro
Same for me^^
 
You must log in or register to reply here.
Back
Top