vServer bei Netcup (DDoS Attacke)

[Roger100125]

Hallo zusammen,

Wir haben einen Debian Lenny VServer und werden jetzt schon seit 14 Stunden geddost. Ich möchte jetzt eine Anzeige gegen den DDoS-Angreifer machen, wo finde ich die ZugriffsIP's auf einem VServer? Gibt es irgendeine Log dafür?
Würde mich über eine Antwort freuen.

Mit freundlichen Grüssen
Roger100125

 

[Ben.]

Wenn es ein DDoS ist, hast du wohl kaum eine Chance gerichtlich dagegen vorzugehen.

Sollte es sich um einen DoS handeln, dann schon eher.

Zugriffsstatistiken und Daten findest du in den Logfiles deines vServers.

 

[d4f]

DDoS bedeuted nach Definition dass es mehrere Angreifer (idR mehrere duzend bis mehrere Hundert bei ueblichen kleinen Angriffen) sind.
Diese Angreifer stammen meist aus einem oder mehreren Botnetzen, also infizierte Rechner deren Besitzer davon keinerlei Kenntniss haben.

Wie alle entsprechenden Angriffe wird deine Anzeige aufgenommen, als "Taeter unbekannt" klassiert und irgendwann geschlossen. Ergo; du kannst dir und dem Polizeiapparat die Muehe gleich sparen wenn du keine guten Hinweise (wie Erpressungsbriefe oder aehnliches) hast.

Solange aber dein vServer noch immer online ist kann der Angriff nicht sehr stark sein, da ansonsten der Betreiber diesen bereits laengst abgeschaltet und deine IP null-routet haette um das Hostsystem zu entlasten.
Ich tippe also auf Slowloris oder andere kaum leistungs-fressende aber Apache-blockierende Angriffsmethoden.
IpTables, mod_evasive und Reverse Proxy helfen gegen solche frei herunterladbaren Angriffsmethoden recht zuverlaessig.

 

[Roger100125]

In der Logfile hab ich nichts gefunden.
Ausserdem verbietet Netcup das benutzen von IpTables oder änlichem.
Das heisst so viel wie abwarten bis der aufhört zu DDossen.

 

[d4f]

Nicht verbieten, sondern deren Virtualisierungstechnik beherrscht es nicht.
Das ist ein Unterschied

Dann versuch mal die 2 anderen Techniken die ich vorgeschlagen habe. Zumals nginx sollte viel helfen.

 

[tomasini]

Ausserdem verbietet Netcup das benutzen von IpTables oder änlichem.

Netcup verbietet nicht die Nutzung von Iptables, sondern unterstützt sie lediglich nicht. Netcup verwendet Linux-VServer für die Virtualisierung. Du kannst aber via Webinterface eigene Firewall-Rules für deinen vServer definieren. Dort kannst du z.B. die entsprechenden IPs einfach sperren. Details siehe Netcup-Forum.

Dass auf deinen vServer eine DDoS-Attacke läuft, bezweifle ich übrigens sehr stark, denn Netcup hat ein sehr gutes Monitoring, denen wäre das schon längst aufgefallen und hätten entsprechend reagiert. Dabei wären ja auch die anderen vServer auf dem gleichen Host betroffen.

Weisst du überhaupt, in welchem Logfile und nach was du konkret suchen musst?

 

[virtual2]

Du weißt nicht wo die Logs zu finden sind gehst aber von einer DDoS Attacke aus?

Sorry, kündige deinen Server bitte wieder damit ersparst du der Netcup GmbH einiges an Ärger.

Zudem gibt es eine Firewall, diese ist im OpenVCP zu finden.

Ich selbst habe keine Server bei Netcup kümmere mich aber um die Infrastruktur eines mittelständischen Unternehmens welche sich bei Netcup befindet.

 

[seraphim]

Schau doch als aller erstes einmal in deine Traffic Statistiken rein.

Wenn dir permanent jemand 100MBit und mehr um die Ohren haut (was ich bezweifle da du ja anscheinend deinen Server via SSH noch erreichen kannst) dann kannst jede Gegenmaßnahme knicken.

Sollte es ein einfacher DoS sein versuche den betroffenen Dienst ausfindig zu machen.

Iftraf zeigt dir den momentanen Traffic an (apt-get install iftraf)

iptraf kannst du installieren und starten um dir detaillierte Ausgaben über den Traffic auf bestimme Interfaces und Ports geben zu lassen.
IP Traffic Monitor gibt dir eine Gesamtübersicht über den grad eingehenden Traffic in Art und mit Ursprung/Ziel sowie übertragenen Bytes.
Unter statistical Breakdowns -> by TCP/UDP Port -> eth0 kannst du dann erkennen auf welchen Port der Angriff abzielt.

Ich denke mal auch dass es ein Angriff auf Apache sein wird, ist eben eines der populärsten Ziele. Abwehrmaßnahmen zu den einzelnen Angriffen finden sich zuhauf im Internet.

 

[virtual2]

IPTraf läuft bei Netcup aufgrund der Virtualisierungstechnik nicht.

Das Problem hierbei ist der RAW Socket, welcher aus welchen Gründen auch immer nicht geöffnet werden darf.

 

[chrismaden]

Kurze frage nebenbei wieso verbieten die so viel?

 

[d4f]

Kurze frage nebenbei wieso verbieten die so viel?

Wie bereits gesagt verbieten sie nicht den Einsatz von Iptables, sondern die Virtualisierungsloesung Linux-Vserver beherrscht es einfach nicht iptables an den Host weiter zu reichen.

Zitat aus der FAQ:

Can I use iptables ?
Yes but right now only on the host (rootserver). Please realize that all traffic is local and will not touch the forward chain.
If you really, really, really need iptables on the guest and you are aware about loosing a big part of VServer isolation and security you could add the NET_ADMIN capability. Consider writing wrappers to manage iptables on the host instead.

 

[Roger100125]

Ihr fragt euch wiso ich weiss wiso es ein DDos Angriff ist?
Ganz einfach, ich komm nicht auf die Seite aber auf Teamspeak usw.
Das sagt doch schon alles aus?
Eine Logfile habe ich bisher nur hier gefunden:
/var/www/web1/log/access_log
Ich habe hier aber nicht wirklich was gefunden.

Folgende Dienste sind derzeit am laufen:
Teamspeak 3, Shoutcast, Sc_Trans, 3x Minecraft Server, Openfire

 

[wstuermer]

Ihr fragt euch wiso ich weiss wiso es ein DDos Angriff ist?
Ganz einfach, ich komm nicht auf die Seite aber auf Teamspeak usw.

Schwachfug. Das sagt lediglich, dass dein Webseiten-Apparat überfordert ist. Das kann auch eine fehlerhafte MySQL- oder PHP-Config sein, oder einfach ein nicht laufender Webserver - aber ganz sicher keine DDoS per Definition.

Unter /var/log/ findest du sicherlich noch mehr Logdateien. Weiterhin helfen dir sicherlich netstat, tcpdump und iptraf bei der weiteren Analyse.
Und erst wenn gesichert ist, dass es sich überhaupt um einen Angriff handelt, dann kann man über weitere Maßnahmen nachdenken.

 

[Roger100125]

Im OpenVCP unter Statistik zeigt es bei 16 Uhr 373.31 MB Total Traffic an und vom gesamten Tag 3.71 GB. Ist das normal? Kann es auch daran liegen das auf meinem VServer so viele Dienste laufen?

 

[Ben.]

Ich glaube du brauchst professionelle Hilfe, die einfach auf deinen Server schaut und dir sagt was nicht stimmt.

Fehlendes Wissen und ausschweifende Diskussionen ob IPTables verboten oder aufgrund der Virtualisierungstechnik nicht unterstützt werden, sorgen für die nötige Verwirrung um an 30 Baustellen zu arbeiten.

Irgendwann kommt einer auf die Idee deine Apache-Config zu untersuchen, dann wird PHP genauer betrachtet und MySQL neuinstalliert.

Wenn dir die Erreichbarkeit deines Servers am Herzen liegt stelle ein Gesuch im Marktplatz ein und lass dir für kleines Geld helfen. Jeder Billig-Admin kann dein Problem lösen.