Bin DoS Attacke bei Strato ausgesetzt.

[proweso]

Seit gestern (Sonntag) bin ich (bzw mein Root-Server bei Strato) einer andauernden DoS-Attacke ausgesetzt. Strato hat mich nach 8GB eingehendem Traffic in 20min vom Netzwerk abgeklemmt. Ich habe mir dann die Log-Files (access.log, messages, ...) angeschaut. Die sind aber vollkommen unauffällig.
Habe dann den Abuse-Service gebeten, das Netzwerk wieder freizugeben.
Ab Freigabe (heute 11:00) liefen sofort wieder 15MB/sec eingehender Traffic auf. Abuse klemmte den Server 20min später wieder vom Netz. Das gleiche nochmal um 15:00 Uhr.
Strato ist nicht in der Lage zu sagen, von wo (welche IP) der Angriff kommt. Die Log-Dateien sehen weiterhin unauffällig aus. Die Hotline sagt ich sollte das ganze aussitzen und morgen nochmal schauen.

Irgendwie doch ziemlich unbefriedigend! Der Server ist relativ neu (ca 1Monat) und hostet nur Domains von mir. Keine externen Kunden oder Game-Server.

Hat jemand eine Idee, wie ich an mehr Informationen kommen kann. Habe wie gesagt alle Dateien in /var/log geprüft und für unauffällig befunden.

[derbjoern]

.... das Problem hab ich auch gerade am Wochenende gehabt - auch mit Strato.

Jetzt google ich auch schon seit Stunden nach Lösungen :evil:

[static]

Hi
ich glaube das sieht schlecht aus, zumindest bei Strato.

Bei dem Traffic dürfte es sich um einen DDos handeln, daher wahrscheinlich auch die Aussage, dass dir Strato nicht sagen kann woher die Angriffe kommen. Falls sich die Angriffe auf die IP und nicht auf den Host beziehen (weil vielleicht der Besitzer vor euch Mist gebaut hat) wär ne andere IP Adresse evtl. ne Lösung, allerdings weiss ich da auch nicht inwiefern sich da Strato überreden lässt.

Ansonsten bleiben imho nur 2 Möglichkeiten: Aussitzen oder überlegen ob ihr nicht irgendjemanden sauer gemacht habt [-X Gezielten DDoS Attacke fällt man glaube ich eher selten "einfach so" zum Opfer....

.static

[dnspyder]

Wo ist das Problem selbst festzustellen, von wo her der Traffic kommt?

Firewall?

[dodolin]

Wo ist das Problem selbst festzustellen, von wo her der Traffic kommt?

Gefälschte Absender-IPs?!

[lucki2]

Es gibt für Dich wenig Möglichkeiten Dich zu schützen. Du kannst Deinem Anbieter eine Freude machen, wenn Du eine Firewall baust, die still auf limit dropped und keine icmps zurück schickt und ... . Dann wars das. Socket recovery ist mittlerweile nicht mehr so lang.
Dein Anbieter kann etwas machen und wird das auch langfristig tun müßen. Dos, vorallem DDoS.. gelten immer mehr den Routern. Vielleicht ist das gegen Dich - eher aber sind das einfach ein paar (wahlos) raus gegriffene IP`s Deines Anbietes, die beschossen werden.

[proweso]

Aussitzen des Problems scheint keine Lösung zu sein. Warte jetzt den 4.Tag auf eine Besserung. DoS-Attacke hält weiterhin an. Hatte gestern mittag nochmal den Tel-Support von Strato dran. Sehr netter Herr, konnte mir zwar nicht helfen, hatte aber meine Bitte um Deaktivierung der aktuellen IP (hab noch ne 2.IP für den Server) an das Rechenzentrum weitergeleitet.

Seitdem warte ich auf irgendeine Reaktion von Strato. Auf den Server habe ich mittlerweise keinen Zugriff mehr, da nicht mal mehr ein Login über die serielle Konsole möglich ist. Schätze die 99.9% Verfügbarkeit sind damit schon verbraucht.

Fazit: Wär ich nur bei 1&1 geblieben. Dort war ich erheblich besseren Service gewohnt. (Nach Festplattencrash-Meldung lief die Kiste 1 Stunde später mit neuer Platte wieder). Zum Glück nutze ich den Server noch nicht als Produktivsystem. Habe mittlerweile ein echt mieses Gefühl, mit meinen Kunden auf den Server umzuziehen.

[sledge0303]

Das selbe kann dir überall passieren. Strato ist eigentlich sehr fix wenn es um neue IPs geht, so war es damals bei mir.
Bei mir waren die Angriffe ein Racheakt eines *netten* Nachbarsjungen, der bald für seinen Spaß die Zeche zahlen wird. Bei mir war das allerdings nicht so heftig wie offensichtlich bei dir.
Aber um denjenigen zu ermitteln kam auch kein Support von Strato rüber. Obwohl alles Schwarz auf Weiss vorlag, sagten die mir ich muss mich selbst um weitere Maßnahmen kümmern...

[jumper]

Hallo,

habe ein sehr ähnliches Problem.
Server bei Strato, alle paar Tage ist der Server down und davor wurde massiv ausgehender Traffic verursacht.
Das letzte mal heute Nacht mit ca. 25 GB (24 raus / 1 eingehend).
Nach einem neustart läuft wieder alles wie gehabt. Die logfiles geben nichts besonderes her.

Wie kann man das unterbinden?

Vielen Dank und Grüsse
Jumper

[captaincrunch]

Wie kann man das unterbinden?

Kiste neu aufsetzen, vernünftig absichern und damit die Scriptkids aussperren, die du anscheinend unfreiwillig hostest.

[proweso]

So, nun läuft die Kiste wieder...

Hatte gestern abend mit einem kompetenten Service Typ von Strato gesprochen, nachdem ich nicht mal mehr im Rescue-Modus und per Remote-Console auf den Rechner kam. Er wollte sich melden, sobald er eine Ursache für das Problem gefunden hat. Ca 1 Stunde nach dem Gespräch war die DoS-Attacke wie weggeblasen. Habe dann den Rechner im normalen Modus gebootet und jetzt läuft er problemlos. Werde mir die Kiste die nächsten Tage genauer anschauen.

Komisch nur, dass ich seitdem nichts vom Service gehört habe. Keine Ahnung was er gemacht hat. Oder war es gar keine Attacke, sondern ein defekter Router im Strato Rechenzentrum ??

[proweso]

Hatte während einer Attacke die SuSE-Firewall aktiviert. Das Log-File liefert tausende folgender Zeilen:

Code: Select all

Dec  5 09:09:12 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:30:48:58:88:18:00:17:0f:74:e8:00:08:00 SRC=62.193.245.118 DST=85.214.XXX.XXX LEN=
29 TOS=0x00 PREC=0x00 TTL=54 ID=33099 DF PROTO=UDP SPT=46752 DPT=44167 LEN=9

Sieht also doch nach einer Attacke aus. Reverse DNS von 62.193.245.118 liefert wpc3161.amenworld.com als Absender (vieleicht auch gefälscht?).

Schätze ich muss mich mehr mit der Firewall beschäftigen...

[lucki2]

Wie gesagt: wenn Du Böse bist, schickst Du brav icmp`s zurück, damit der Router auch was davon hat.