Bitte Bitte - Hilfe zur Lösung unseres Dos, DDos, Synflood oder was weis ich Problems...

[n0fear2]

Hallo, nachdem ich nun seit Wochen nur noch am Bücher lesen, googeln usw. bin und trotzdem noch verzweifelt nach einer Lösung suche dachte ich frag ich mal hier nach. Gibt ja sicher Server-Profis hier die evtl. kurz Zeit haben uns zu helfen...

Daten:

Wir haben insgesamt 2 Server - mit suse 9.3 - 1 mit Apache (+ FPT / sonst nix - emails gehen über anderen provider) sowie 1 mit Mysql... und betreiben dort eine regionale Partyseite mit Community. Ca. 50.000 Klicks am Tag, 3500 Mitglieder. Da wir das in unserer Freizeit machen und mit paar wenigen Sponsoren schon froh sind das wir uns die Sever leisten können fehlt leider das Geld für professionelle Hilfe eines Server Spezialisten :(

Problem:

Eigentlich rennt alles prima, auch bei 200 usern gleichzeitig. Leider haben wir seit einigen Wochen das Problem das uns wohl jemand nicht mag und unseren Webserver mit Anfragen flooded. Mit netstat sieht man dann auch schön das bedeutend mehr verbindungen da sind wie user online (im Moment wieder 100 offizielle user online) aber Serverload bei 70! Bei den IP-Adressen die dann jeweils zwischen 10 und 30 Verbindungen aufbauen handelt es sich meist um T-Online Addressen. Komischerweise lassen sich die meisten davon nichtmal pingen, weshalb ich davon ausgehe das es sich um SYNFlood bzw. IP-Spoofing handelt. Auch konnte ich mit einem Serverstress tool (das Microsoftteil das es über google gibt) auch selbst nen Load von 80 erzeugen. Durch einstellen der server-tuning.conf hab ich nun wenigstens hinbekommen das nicht der ganze Server abkackt. Aber ereichbar ist er dann auch nicht mehr (wegen load)

Installiert haben wir mod_security und mod_evasive nur leider hab ich es bisher nicht hinbekommen diese mit iptables zu verbinden (Berechtigungsproblem?)

Das die Frage sicher kommen wird: nein ein Rootkit haben wir nicht installed, server wurde schon mehrfach wieder neu installed über den Hoster. Und es liegt definitiv am Apache, weil sobald der mit stop beendet wird ist der load wieder komplett weg - auch wenn ich ne statische Seite rein hänge und den rest der Page offline nehme ist der load auch ok.

Ich bin leider nicht soo der Linuxprofi ;( aber leider können wir erst in 6 Monaten auf nen managed Server wechseln ;(

Nun meine Fragen:

- hat jemand leicht verständliche Anleitungen/Tipps wie man IP-Spoofing SynFlood verhindert?
- Welche Möglichkeiten gibt es sonst noch? Ich hätte noch nen 3. Server zur verfügung den man als Firewall oder proxy nutzen könnte oder sowas...
- Wie kann ich mir aus logfiles oder so den "Täter" ermitteln - vermutlich gar nicht
- Wie kann ich die zwei Module an iptables hängen damit es mir solche blacklisted ips direkt schon in der Firewall raus haut?
- Gibt es eine Alternative zu iptables evtl. mit einem flood schutz?
- Bring ein Wechsel auf httpdlight oder apache2-worker evtl. die Lösung?

Wäre toll wenn mir jemand helfen könnte. Mag sich jetzt für die Linux Gurus nach Volln00b anhören aber das ist als Anfänger der sich alles selber beibringt leider nicht so einfach (unter Windows schon aber Linux ist halt nochmal ne andere Geschichte) Bitte keine Tips von wegen google oder so, da hab ich schon genug nachgelesen und keine richtigen Antworten gefunden ;(

[arachon]

wie sieht denn deine apache-config aus ?

[legato]

...handelt es sich meist um T-Online Addressen. Komischerweise lassen sich die meisten davon nichtmal pingen...

Das kann auch an lokaler Firewall, Router, ... liegen.

Du solltest auf jeden Fall mal deine configs zeigen (Apache, MySQL) und am besten im Vorfeld mit den als Wichtig markierten Threads in den Foren abgleichen.

Zum Wechsel: Umstellung auf lighttpd + php5-fcgi hat schon bei einigen Leuten positive Ergebnisse gebracht. Wenn ihr nur "eine" Seite betreibt, dürfte die Umstellung IMHO auch nicht so ein Problem sein, Tuning Anleitungen gibts dafür auch einige.

[lord_pinhead]

Sofern Ihr bei Apache bleiben wollt gibt es noch mod_evasive. Sollten es ein t-dialin Rechner sein kannst du das einfach mal mitloggen und dann an abuse@t-online.de schicken mit der freundlichen bitte den User abzumahnen. Sollte das nichts nutzen gibt es da noch den weg über unser Rechtssystem. Aber es kann ja auch nur ein User sein das mehrere Verbindungen über so sachen wie fasterfox produziert. Wenn jemand von seiner Heimkiste aus sowas versucht isses eigentlich schwachsinn, glaub das ist eher ein versehen eines Users.