Serverangrif- Traffic

Lesenswerte Artikel, Anleitungen und Diskussionen
phantom
Posts: 74
Joined: 2003-01-20 18:06

Re: Serverangrif- Traffic

Post by phantom » 2003-09-19 18:22

*seufz*

Leute, lasst gut sein.

roloooo
Posts: 16
Joined: 2003-07-09 16:00

Re: Serverangrif- Traffic

Post by roloooo » 2003-09-20 01:32

Filme sind da schonmal nicht drauf!

du -hs

bla bla bla


>>> /var/lib/reoback/backups
18G

Backups sind so groß!

Zusätzlich wurden die Backups per Reoback auf einen separaten Backup-Server mit CRONJOB auf jede Nacht um 1:30 eingestellt !!!

semjon
Posts: 4
Joined: 2003-08-23 12:05
Location: Braunschweig

Re: Serverangrif- Traffic

Post by semjon » 2003-09-20 01:45

Gibts auch ein Backup vom 23.7.? Wenn ja, was ist drin?

roloooo
Posts: 16
Joined: 2003-07-09 16:00

Re: Serverangrif- Traffic

Post by roloooo » 2003-09-21 14:05

vom 23.7 gibt es kein Backup, weil der Backup erst nach dem 23.7 per CRONJOB aktiviert wurde.

Ich hab den lokalen Backup deaktiviert, und nur ein automatisches Mysql-Backup auf den FTP-Backupserver aktiviert, weil sich nur die Mysql-Daten täglich ändern, sonnst nichts. Es wird incremental gesichert (jeden Tag um 1:33).

So kann ich nach der Reinitialisierung alles schnell zum laufen bringen.

Ausfallzeit ca. 2-5 Stunden

Gruß

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Serverangrif- Traffic

Post by captaincrunch » 2003-09-21 14:09

Ja, wunderbar. Dann haben wir ja jetzt den nächsten "ich schreib mein Tagebuch ins Rootforum"-Thread. Hilfe wolltest du ja anscheinend keine.

Viel Spaß dann also, wenn du auf dem nächsten Server dann den nächsten (oder halt den gleichen) "Eindringling" hast.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

oxygen
Posts: 2138
Joined: 2002-12-15 00:10
Location: Bergheim

Re: Serverangrif- Traffic

Post by oxygen » 2003-09-21 14:26

roloooo wrote:was meinst du mit der POLZ?

Meinst du die können da drauf WAREZ finden?

Wir scannen den Server heute mit FlashFXP und anderen Tolls, dann werden wir den bereinigen und Rotkit-Scanner installieren, sowie einige Ports sperren.
Roftl. Wenn ein Rootkit drauf ist/war gibt es nur eine Möglichkeit etwas zu finden. Festplatte ausbauen, woanders einbauen, readonly mounten und dann alles durchsuchen. Warez kiddies sind schlauer als du (denkst).
Desweiteren werden die Packete protokoliert und bei kritischem traffic, die Dienste gestoppt, bis man den Verursacher findet.
Wer Protokilliert die Packete? Der Server? Lustig.
Die Festplatte wird von der Kripo untersuchet, wir krigen ne neue rein oder gehen auf den Managed-Server rüber, weiss noch nicht genau, erst nächste Woche.
Bis dahin kann es zu spät sein.
Bei dem Managed-Server für Dummies kann sowas nicht passieren, weil die Sicherheit da groß geschrieben wird

Melde mich.
Kann schon, aber dann musst du wenigstens nicht die Zeche zahlen.

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Serverangrif- Traffic

Post by captaincrunch » 2003-09-21 14:41

Wie schon geschrieben. rolooo wollte anscheinend keine Hilfe, er hat ja schließlich seinen alten Dozenten; er wollte uns alle halt nur an seinem Erlebnis ((Alb-) Traum (?)) teilhaben lassen.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

darkspirit
Posts: 553
Joined: 2002-10-05 16:39
Location: D'dorf

Re: Serverangrif- Traffic

Post by darkspirit » 2003-09-21 15:15

Ich halte das alles hier für einen Fake.. Leute, lest euch diesen Thread nochmal in Gänze durch und überlegt, ob das wirklich alles ernst gemeint ist.. ich denke nicht ;)

ticool
Posts: 37
Joined: 2002-08-20 18:34
Location: Hamburg

Re: Serverangrif- Traffic

Post by ticool » 2003-09-21 15:40

Ich warte auch auf das "April April"

ansonsten sollte man für Rooties waffen scheine vergeben ;)

hannibal
Posts: 4
Joined: 2003-08-07 18:11

Re: Serverangrif- Traffic

Post by hannibal » 2003-09-21 19:27

Ticool wrote: ansonsten sollte man für Rooties waffen scheine vergeben ;)
Naja, vielleicht nicht Waffenschein, aber Führerschein... Ich sag´Euch wie´s bei mir ist: Ich habe mir vor einigen Wochen einen Rootie bestellt, dann gemerkt dass es etwas voreilig war. Daraufhin hab ich hier im Forum Hilfe erbeten (und z.B. von CaptainCrunch) auch erhalten und damit meinen Server vorerst weitestgehend gesichert (Rescue-Modus, Dienste gestoppt...), NOCH in der Hoffnung dass dies nur für kurze Dauer sei.
Schön und gut, dann habe ich mir die Hardware für einen lokalen Server zugelegt und mit SuSe aufgesetzt um zu lernen mit so nem Ding über die Konsole umzugehen. Und siehe da:
Das Ende vom Lied (vorerst): Der Root-Server wird zum nächsten Monat gekündigt. Warum? Weil ich eingesehen habe, dass es so nicht so schnell geht einen Server wirklich zu administrieren (ich meine nicht mit Confixx spielen...). Von daher ist der "schlafende" Server für mich zu teuer. Die bisherigen Kosten buche ich unter "Lehrgeld" ab, zumindest hab ich nicht so nen Mist gebaut wie der Eröffner des Threads. Ich hatte keinen Schaden (im Gegenteil, ich hab dabei gelernt) und ich habe auch nicht solchen durch einen "Scheunentor-Server" verursacht.
Diese Rooties sind schlicht und ergreifend zu günstig und zu einfach zu bekommen, so verfiel ich auch in den Irrglauben das schnellstens zu schaffen.
Ich bin mir sicher, dass ich später mit meinem Rootie (und ich werde mir ganz sicher wieder zulegen wenn ich soweit bin) mehr Freude habe, als die, die entweder so in die Scheiße reiten wie hier im Thread oder nur so mit Ach und Weh durchkommen.

ticool
Posts: 37
Joined: 2002-08-20 18:34
Location: Hamburg

Re: Serverangrif- Traffic

Post by ticool » 2003-09-21 21:29

Ich will von mir gewisst auch nicht behaupten Linux Löffelweise kosumiert zuhaben!
ICh selber habe 1jahr lang rootforum gelesen, bis es dann endlich soweit war....

Trotzdem habe ich längst nicht soviel Ahnung, ich weiss nur halt wo es steht, wenn ich was wissen muss!

//OFFTOPIC WERBUNG
http://www.rootforum.org/forum/search.php
//OFFTOPIC WERBUNG

relativity
Posts: 66
Joined: 2003-03-03 14:20

Re: Serverangrif- Traffic

Post by relativity » 2003-09-22 10:36

Hannibal wrote: Naja, vielleicht nicht Waffenschein, aber Führerschein... Ich sag´Euch wie´s bei mir ist: Ich habe mir vor einigen Wochen einen Rootie bestellt, dann gemerkt dass es etwas voreilig war. Daraufhin hab ich hier im Forum Hilfe erbeten (und z.B. von CaptainCrunch) auch erhalten und damit meinen Server vorerst weitestgehend gesichert (Rescue-Modus, Dienste gestoppt...), NOCH in der Hoffnung dass dies nur für kurze Dauer sei.
Schön und gut, dann habe ich mir die Hardware für einen lokalen Server zugelegt und mit SuSe aufgesetzt um zu lernen mit so nem Ding über die Konsole umzugehen. Und siehe da:
Das Ende vom Lied (vorerst): Der Root-Server wird zum nächsten Monat gekündigt. Warum? Weil ich eingesehen habe, dass es so nicht so schnell geht einen Server wirklich zu administrieren (ich meine nicht mit Confixx spielen...). Von daher ist der "schlafende" Server für mich zu teuer. Die bisherigen Kosten buche ich unter "Lehrgeld" ab, zumindest hab ich nicht so nen Mist gebaut wie der Eröffner des Threads. Ich hatte keinen Schaden (im Gegenteil, ich hab dabei gelernt) und ich habe auch nicht solchen durch einen "Scheunentor-Server" verursacht.
Diese Rooties sind schlicht und ergreifend zu günstig und zu einfach zu bekommen, so verfiel ich auch in den Irrglauben das schnellstens zu schaffen.

klingt wie meine geschichte *lach*
willkommen im club, nur bei mir kam noch hinzu
das mir auf einmal die zeit fehlte es zu lernen
deswegen hab ich mich für nen managed server entschieden.

mikespi
Posts: 95
Joined: 2002-12-28 17:47
Location: Muenchen

Re: Serverangrif- Traffic

Post by mikespi » 2003-09-22 14:20

Hallo,
es gibt auch einen anderen Weg!

Ich habe mir November 2002 nen vServer zugelegt, wurde damals von der c´t wärmsten empfohlen ( man sollte dazu sagen das war bevor die richtig an den Start gegangen sind ).
Bis zu diesem Zeitpunkt hatte ich fast keine Ahnung von Linux ( ausser einigen Installationen war weiter nix ) und liess mich vom Angebot verlocken um Cool zu sein und ne eigene Linux Kiste im Netz stehen zu haben.
Nichtsdesto trotz habe ich allerdings mir zwei Seminare an der VHS zum gleichen Zeitpunkt reingezogen um zu verstehen was überhaupt Linux ist.
Nach diesem Start begann ich die Kiste sicherer zu machen und Updates einzuspielen, Konfigurationen zu ändern usw.
Dummerweise wurde nur nach kurzer Zeit das S4f Forum aufgekauft und geschlossen ( Gerüchteküche genaueres weiss ich da nicht ), hinzu kam das S4f sehr unzuverlässig war und zum Sommerangebot holte ich mir den Server Start bei 1und1. Allerdings nicht ohne mich hier mal Stundenlang durchzulesen was denn die User zu 1und1 sagen.
Tja seit dem lese ich täglich fast alle Postings hier und notiere da und notiere da , probiere das aus und probiere das aus.
Persöhnlich halte ich mich an User hier die eine gewissen Wissenstands in Postings bewiesen haben. Mein Server läuft rein privat mit meiner Homepage und zwei Mirrors aus der Linux Community, denn es heisst nicht nur nehmen. ( Hier auch mal ein Dankeschön ans Rootforumteam )

Sollte es jemanden interessieren warum ich mir für Privat nen Server geholt habe ( einige würden sich mal wieder die Haare raufen hier im Forum ) gibts auch ne klare Antwort. Beruflich habe ich nur mit den Unterschiedlichsten Windows Versionen zu tun aber nichts mit Linux das wollte ich ändern. Und öffentlich weil einem da keine Zeit bleibt weil ich Verantwortlich bin für alles. Also hatte ich einen gewissen Druck mich hinzusetzen und zu lernen ( schnell zu lernen ). Hohes Risiko aber auch hoher Gewinn denn heute weiss ich was Linux ist wie ich eine Grundkonfiguration erstellen kann wie ich meinen Server sichere ( das sollte das primär Ziel eines jeden Newbies sein ). Ok ich habe mein Mailsystem momentan noch über 1und1 laufen da ich noch nicht richtig durch mein MTA durchgestiegen bin, was solls dafür habe ich kein Spamproblem und Schaden tue ich auch keinen ( ob hier im Subnetz oder ausserhalb ). Also ich kenn jetzt zwar den Keller von Linux bin aber schon heute gespannt wie es im 6 Stock ausschaut. :lol:

Veränderungen bringen uns in der Branche nach oben und nicht das sture denken erst must du das machen dann das und erst nachdem darfst du dann eine Linux Kiste im Netz stehen haben. Noch schlimmer sind welche die immer gleich sagen ( ohne sich richtig mit demjenigen auseinander gesetzt zu haben ) lass lieber die Finger von nem Server der ist nix für dich.
Das ist Blödsinn entweder hast du es drauf oder du hockst dich hin und bügelst es dir selber drauf ( dazu gehören auch Newbie Fragen die für den einen billig und für den anderen elementar sind ). Ich erinnere mich noch gut daran als ich mein erstes Debian ( 2.2 ) installieren wollte, da habe ich auch saudumme Fragen gestellt aber keine dummen Antworten bekommen ( so wie lass lieber die Finger davon ).

Also traut euch wenn ihr wahres Interesse habt an die Kisten lernt schnellstens worauf es ankommt und lasst euch von dummen Gequatsche nicht vergraulen, denn hier im Forum seit ihr gut aufgehoben. Ich weiss wovon ich spreche. :wink:


Grüsse Mike

darkspirit
Posts: 553
Joined: 2002-10-05 16:39
Location: D'dorf

Re: Serverangrif- Traffic

Post by darkspirit » 2003-09-22 14:27

Trotzdem halte ich es irgendwie für sinnfrei, sich einen Server zu holen, wenn man sich noch nicht gut genug auskennt.. man kann dann (wenn man klug ist) die Dienste runterfahren und anfangen zu lernen, aber dafür ist der Spaß ein bißchen teuer und schafft Aufwand..
Warum nicht erstmal lokal lernen und dann den Rootie holen? Nur um damit prahlen zu können, einen Root-Server zu besitzen? *kopfschüttel*

mikespi
Posts: 95
Joined: 2002-12-28 17:47
Location: Muenchen

Re: Serverangrif- Traffic

Post by mikespi » 2003-09-22 14:41

Hallo,

jeder lernt auf seine Art und Weise wie er es für richtig hält.

für mich ist es ein Unterschied ob lokal ( da wäre ich heute noch nicht so weit ) oder im Internet ( da ist der Druck vorhanden , das die Lücke sofort geschlossen wird und nicht erst morgen z.b ) .

Hab hier ne Testumgebung am laufen , benutze sie aber auch nur in seltenen Fällen.

Ã?hem prallen ist nicht gleich cool sein , das will ich gleich mal klarstellen. Und cool sein ist auch nicht der wahre Grund sollte mehr als Joke verstanden werden.

Finanzell frisst es ja einem nicht grad das Hemd vom Leib.

Grüsse
Mike

p.s.
das konnte ich mir jetzt nicht verkneifen. Vergiss nicht das Kopfschütteln wieder aufzuhören sonst konntest du einen toleranteren Stil entwickeln. :wink:

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Serverangrif- Traffic

Post by captaincrunch » 2003-09-22 14:48

jeder lernt auf seine Art und Weise wie er es für richtig hält.
In dem Punkt stimme ich dir voll und ganz zu. Ich möchte nur kurz zu Bedenken geben, dass im Gegensatz zu dir viele andere aber leider nicht das Verantwortungsbewusstsein haben, sich so um ihren Server zu kümmern, wie es nun einmal notwendig wäre. Beispiele findest du hier im Forum genug ... und die Antworten a la "lass es lieber sein" kommen IMHO eher dadurch zustande, dass momentan wieder Fragen gestellt werden, die man durch minimale Eigeninitiative auch selbst ganz schnell hätte finden können.

Nur meine 0,02 â?¬
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

darkspirit
Posts: 553
Joined: 2002-10-05 16:39
Location: D'dorf

Re: Serverangrif- Traffic

Post by darkspirit » 2003-09-22 15:05

@mikespi: Ich hab mich nicht direkt auf dich bezogen und dich kritisiert, sondern nur an deinem Posting angeknüpft ;)
Ich fand nur deine Aufforderung am Ende etwas fragwürdig, nicht auf das Gemaule hier zu hören und sich einfach nen Server zu holen. Vielen ist einfach nicht bewusst, was das bedeutet und kümmern sich dann nicht um die Kiste.. im Prinzip siehe Beitrag vom Captain über dem hier ;)

mikespi
Posts: 95
Joined: 2002-12-28 17:47
Location: Muenchen

Re: Serverangrif- Traffic

Post by mikespi » 2003-09-22 15:25

Ja ich weiss es gibt manchmal die komischten User hier. Dieses Topic ist ja so ein Negativ Beispiel. Ich kann das ja auch nicht verstehen wenn User sich nicht richtig auseinandersetzen wollen mit Linux sich aber trotzdem nen Server holen.

Man muss auch Gemaule unterscheiden, ich könnte jetzt ein paar User aufzählen die mir aufgefallen sind weil sie ständig den Satz wiederholen
" Ist ein Server das richtige für dich " und sonst durch gar nichts ( und das auch noch ohne überhaupt nen Tipp abzugeben oder hilfsbereit zu sein ) . Auf die ist das bezogen gewesen.

Es gibt auch welche wo man klar sagen kann für die ist ein Server nichts, aber das kristallisiert sich doch erst im Gespräch heraus.

Mike

P.s. User ohne Eigeninitative sind ein Graus :twisted:

roloooo
Posts: 16
Joined: 2003-07-09 16:00

Re: Serverangrif- Traffic

Post by roloooo » 2003-09-22 19:36

Am 23 Juli:

212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "HEAD /cgi-bin/a1stats/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "GET //quote.html?filename=../../../../../../../../../../../../../../../../etc/passwd&path_to_font_file=ariali.ttf HTTP/1.0" 404 276
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "HEAD /cgi-bin/ikonboard/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "HEAD /foldoc/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "HEAD /cgi-bin/adcycle/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "HEAD /ROADS/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "HEAD /way-board/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "HEAD /// HTTP/1.0" 200 0
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "GET ///index.php?chemin=..%2F..%2F..%2F..%2F..%2F..%2Fetc HTTP/1.0" 200 838
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "GET //edit_image.php?dn=1&userfile=/etc/passwd&userfile_name=%20;ls;%20 HTTP/1.0" 404 280

usw usw...

Habe nachgeforscht:

% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-service ... right.html

inetnum: 212.227.110.0 - 212.227.110.255
netname: MIPZ
descr: 1&1 Multimedia Service GmbH
country: DE
admin-c: RS3918-RIPE
tech-c: SPAG-RIPE
status: ASSIGNED PA
mnt-by: SCHLUND-MNT
mnt-by: SCHLUND-P
changed: manfred@schlund.de 19991209
changed: manfred@schlund.de 20020716
source: RIPE

route: 212.227.0.0/16
descr: SCHLUND-PA-2
origin: AS8560
notify: guardian@schlund.net
mnt-by: SCHLUND-MNT
changed: hennig@schlund.net 19980910
source: RIPE

role: Hostmaster SCHLUND
address: Schlund + Partner AG
address: Erbprinzenstr. 1
address: D-76133 Karlsruhe
address: Germany
phone: +49 721 91374 50
fax-no: +49 721 91374 20
e-mail: hostmaster@schlund.de
remarks: For abuse issues, please use only abuse@schlund.de
trouble: Information: http://www.schlund.de
trouble: Questions: mailto:hostmaster@schlund.de
trouble: For fastest response, please use only hostmaster@schlund.de
admin-c: ES-RIPE
tech-c: ES-RIPE
nic-hdl: SPAG-RIPE
remarks: Role Account for the "Hostmaster of the Day"
remarks: for Domains managed by Schlund + Partner AG, Germany
notify: hostmaster@schlund.de
mnt-by: SCHLUND-P
changed: hostmaster@schlund.de 19990412
changed: hostmaster@schlund.de 20000120
changed: manfred@schlund.de 20021125
source: RIPE

person: Rainer Salzmann
address: 1&1 Multimedia Service GmbH Multimedia Internet Park
address: Multimedia Internet Park Geb. 71
address: 66482 Zweibruecken
address: GERMANY
phone: +49 6332 791170
fax-no: +49 6332 791101
e-mail: rsalzmann@mipz.de
nic-hdl: RS3918-RIPE
notify: ripe-notify@kundenserver.de
mnt-by: DENIC-P
changed: hostmaster@kundenserver.de 20001106
changed: auto-direct@denic.de 20010508
source: RIPE

SCHLUND !!!!!!!!!!!!!!!!! ????????????????? muss aber nicht oder??


Und dann in der Shell eingegeben:

iptables -A INPUT -t filter -p all -s 212.227.110.0/255.0.0.0 -j REJECT

Wie kann ich das Netz wider freigeben?

GrußÃ?Ã?Ã?i

[nix]pepe
Userprojekt
Userprojekt
Posts: 244
Joined: 2003-04-08 19:36

Re: Serverangrif- Traffic

Post by [nix]pepe » 2003-09-22 21:44

verarsche?

phemy
Posts: 15
Joined: 2003-08-25 22:50

Re: Serverangrif- Traffic

Post by phemy » 2003-09-22 22:05

scheint so.So ... kann keiner sein.

lambras
Posts: 90
Joined: 2002-05-29 16:35
Location: Frankfurt am Main

Re: Serverangrif- Traffic

Post by lambras » 2003-09-22 23:17

Jo, war lustig, aber so langsam nehm ich es nicht mehr ab, dass dieser Thread ernstgemeint ist.
Da ist jemand ganz besonders witzig.

root
Posts: 42
Joined: 2002-12-10 18:24

Re: Serverangrif- Traffic

Post by root » 2003-09-23 00:26

das sind garantiert fxp kiddies gewesen!


schau dir einfach mal alle ports an un dkuck in die (x)inetd.conf ob dort ein eintrag für glftpd ist, wenn du den findest wechel in das verzeichnis und du hast sie gefunden, wenn du glück hast waren es dumme scriptkiddies die sogar ihre ips loggen...

:wink:

roloooo
Posts: 16
Joined: 2003-07-09 16:00

Re: Serverangrif- Traffic

Post by roloooo » 2003-09-23 11:17

Danke root für den Tip!

Ich hab vorübergehen alles auf einem Managed-Server untergebracht und analysiere den Root-Server.

Ich muss noch 2 Bücher studieren!

http://www.oreilly.de/catalog/bssrvrlnxger/index.html
http://www.oreilly.de/catalog/linuxsvrh ... index.html

Jetzt bin ich erstmal beschäftigt

Wenn du noch andere Tips hast, dann danke ich im Voraus, endlich einer der die Sache etwas ernster nimmt!

Gruß

mikespi
Posts: 95
Joined: 2002-12-28 17:47
Location: Muenchen

Re: Serverangrif- Traffic

Post by mikespi » 2003-09-23 12:34

Wie wärs mit schneller Lesen ? :wink:

Du hast nen falschen Ton drauf dafür das du null Ahnung hast und viele Hinweise nicht beachten wolltest.

Mike