SYN Flood

[edmann]

Server ist mit DDos Attacken überfluhtet und ist 2 Tage nicht erreichbar!
Strato hat jede Hilfe abgesagt!

In config.gz habe ich CONFIG_SYN_COOKIES=y

Wie kann ich SYN_COOKIES aktivieren?
In Welche Datei soll ich was reinschreiben?

Habe Linux Suse 10 von Strato.

Bitte um Hilfe!

[Roger Wilco]

Server ist mit DDos Attacken überfluhtet und ist 2 Tage nicht erreichbar!

Falls es eine richtige DDoS-Attacke ist, hilft eigentlich nur den Server vom Netz zu trennen oder die IP zu wechseln. Die wird dann allerdings auch bald geflutet...

Strato hat jede Hilfe abgesagt!

YGWYPF. Spätestens dann würde ich mir einen neuen Provider suchen.

In config.gz habe ich CONFIG_SYN_COOKIES=y

Wie kann ich SYN_COOKIES aktivieren?

Code: Select all

sysctl net.ipv4.tcp_syncookies=1

In Welche Datei soll ich was reinschreiben?

/etc/sysctl.conf

[edmann]

Besten Dank!

Ich habe festgestellt das es eine SYN Flood Attacke ist.
Es wird da für ein Programm namens „Sprut" benutzt.

Nach dem Server reboot, kann ich irgendwie Festellen das es wirklich aktiviert ist?

[Roger Wilco]

Nach dem Server reboot, kann ich irgendwie Festellen das es wirklich aktiviert ist?

Code: Select all

sysctl net.ipv4.tcp_syncookies

[edmann]

Code: Select all

sysctl net.ipv4.tcp_syncookies

Danke!

net.ipv4.tcp_syncookies = 1

Hat aber nix gebracht, Domains sind immer nicht erreichbar.

Befehl: netstat

tcp 0 0 h903111.server:www-http 85.21.197.115:tams SYN_RECV
tcp 0 0 h903111.server:www-http nat.a7.qw:proshare-mc-2 SYN_RECV
tcp 0 0 h903111.server:www-http pptp-81-30-:tivoconnect SYN_RECV
tcp 0 0 h903111.server:www-http ppp91-76-61-135.p:62779 SYN_RECV
tcp 0 0 h903111.server:www-http 217_74_245_110.ku:51583 SYN_RECV
tcp 0 0 h903111.server:www-http pc156.b0.proline.:19779 SYN_RECV
tcp 0 0 h903111.server:www-http nat.a7.qwert:oracle-em1 SYN_RECV
tcp 0 0 h903111.server:www-http 195.189.142.247:55568 SYN_RECV
tcp 0 0 h903111.server:www-http ppp91-76-102-9:workflow SYN_RECV
tcp 0 0 h903111.server:www-http ppp91-76:opsession-clnt ESTABLISHED
tcp 545 0 h903111.server:www-http 80.64.22:sun-as-nodeagt ESTABLISHED
tcp 0 0 h903111.server:www-http ppp91-76-1:ibm-dial-out ESTABLISHED
tcp 0 0 h903111.server:www-http ppp91-76-1:altav-tunnel ESTABLISHED
tcp 0 0 h903111.server:www-http ppp91-76-10:msft-gc-ssl ESTABLISHED
tcp 0 0 h903111.server:www-http ppp91-76-102-95:caps-lm ESTABLISHED
tcp 0 0 h903111.server:www-http ppp91-76-102-95.pp:enpc ESTABLISHED
tcp 0 0 h903111.server:www-http ppp91-76-102-95.:sysopt ESTABLISHED
tcp 0 0 h903111.server:www-http ppp91-76-102-95.:boscap ESTABLISHED
tcp 0 0 h903111.server:www-http ppp91-76-102-9:dvt-data ESTABLISHED
tcp 0 0 h903111.server:www-http ppp91-76-102-95.:onesaf ESTABLISHED
tcp 0 0 h903111.server:www-http ppp91-76-:proactivesrvr ESTABLISHED
tcp 0 0 h903111.server:www-http ppp91-76-10:ttc-etap-ds ESTABLISHED
tcp 0 0 h903111.server:www-http ppp91-76-102:h263-video ESTABLISHED
tcp 0 0 h903111.server:www-http ppp91-76-102-95.pp:wimd ESTABLISHED
tcp 0 0 h903111.server:www-http ppp91-76-102:mylxamport ESTABLISHED
tcp 0 0 h903111.server:www-http ppp91-76-:ecolor-imager ESTABLISHED
tcp 564 0 h903111.server:www-http proxy.sal:netview-aix-3 ESTABLISHED
tcp 0 0 h903111.server:www-http ppp91-76-102-95.pp:essp ESTABLISHED
tcp 0 0 h903111.server:www-http ppp91-76-10:bullant-rap ESTABLISHED
tcp 0 0 h903111.server:www-http ppp91-76-:serverview-as ESTABLISHED
tcp 0 0 h903111.server:www-http ppp91-76-102-95.:roboer ESTABLISHED
tcp 0 0 h903111.server:www-http ppp91-76-102-95.pp:rfio ESTABLISHED
tcp 868 0 h903111.server:www-http 190-49-76-111.spe:48425 ESTABLISHED
tcp 0 0 h903111.server:www-http ppp91-76-:nm-game-admin ESTABLISHED
tcp 0 0 h903111.server:www-http ppp91-76-102-95.:rtnt-2 ESTABLISHED
tcp 0 0 h903111.server:www-http ppp91-76-102:rdc-wh-eos ESTABLISHED
tcp 0 0 h903111.server:www-http ppp91-76:tip-app-server ESTABLISHED
tcp 0 0 h903111.server:www-http ppp91-76:s8-client-port ESTABLISHED
tcp 0 0 h903111.server:www-http ppp91-76-:e3consultants ESTABLISHED
tcp 620 0 h903111.server:www-http 194.44.245.196%10:37020 ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qw:netview-aix-3 ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:xnmp ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:kermit ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qw:concurrent-lm ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.q:shiva_confsrvr ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:nkd ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty:sightline ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwer:sa-msg-port ESTABLISHED
tcp 385 0 h903111.server:www-http 195.49.164.238%10:62009 ESTABLISHED
tcp 487 0 h903111.server:www-http main.Ilyich:oraclenames ESTABLISHED
tcp 421 0 h903111.server:www-http 195.49.164.238%10:14129 ESTABLISHED
tcp 0 2376 h903111.serverkompe:ssh p5488CB1F.dip.t-d:suucp ESTABLISHED
tcp 385 0 h903111.server:www-http 195.49.164.238%10:55142 ESTABLISHED
tcp 412 0 h903111.server:www-http 130.189.15.61%107:46012 ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:encore ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwer:cinegrfx-lm ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty.:3Com-nsd ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty.r:ultimad ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qw:street-stream ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty:webaccess ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty.:gamegen1 ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:siipat ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:proxim ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwer:privatechat ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwer:cambertx-lm ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:citynl ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty.:telindus ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:msiccp ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:roketz ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty:iden-ralp ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.q:csbphonemaster ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:winddx ESTABLISHED
tcp 268 0 h903111.server:www-http 212.26.1:csbphonemaster ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwer:iberiagames ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:caicci ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwe:h323hostcall ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:pptp ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:hks-lm ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:xmsg ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwe:h323gatestat ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwe:h323gatedisc ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.q:conferencetalk ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty:registrar ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwert:houdini-lm ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty.r:sesi-lm ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:centra ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty.r:gat-lmd ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qw:pptconference ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:impera ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty:slingshot ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwert:bcs-broker ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty.r:vdmplay ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty.r:jetform ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:l2tp ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty.:mps-raft ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty:hb-engine ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty:deskshare ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:rrisat ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwe:rsvp-encap-2 ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwe:rsvp-encap-1 ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:rrirtr ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty:sstsys-lm ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:rrilwm ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:rrimwm ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty.r:firefox ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwert:nsjtp-data ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qw:empire-empuma ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty.r:ng-umds ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty:n2nremote ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwer:snaresecure ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwert:nsjtp-ctrl ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:cvmon ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty.r:sd-elmd ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwe:microcom-sbp ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty.:ncpm-hip ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.q:lanyon-lantern ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty:groupwise ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty.:netcomm1 ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwert:darcorp-lm ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty.r:prolink ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qw:proshare-mc-1 ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.q:netview-aix-12 ESTABLISHED
tcp 309 0 h903111.server:www-http 82.200.185.187:dyn-site ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:pdp ESTABLISHED
tcp 434 0 h903111.server:www-http 195.49.164.238%10:23011 ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qw:netview-aix-9 ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qw:netview-aix-8 ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.q:netview-aix-11 ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.q:netview-aix-10 ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qw:netview-aix-5 ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qw:netview-aix-4 ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qw:netview-aix-7 ESTABLISHED
tcp 0 0 h903111.server:www-http nat.a7.qw:netview-aix-6 ESTABLISHED
udp 0 0 localhost:filenet-nch localhost:filenet-nch ESTABLISHED

Ohne eure Hilfe bin ich verloren :(

[Roger Wilco]

Hat aber nix gebracht, Domains sind immer nicht erreichbar.

Das ist ja auch offensichtlich kein SYN Flood. Wieso sollten SYN Cookies dann helfen?

An deiner Stelle würde ich den Apache einfach mal für eine Weile herunterfahren. Aussperren der IP-Adressen lohnt offensichtlich nicht.

[edmann]

An deiner Stelle würde ich den Apache einfach mal für eine Weile herunterfahren. Aussperren der IP-Adressen lohnt offensichtlich nicht.

Geht es da mit? /etc/init.d/apache2 stop

[edmann]

Das ist eine SYN Flood Attacke, nehme ich an, weil das meiste kommt von: qwerty.ru

tcp 0 0 h903111.server:www-http nat.a7.qwer:bmc-net-svc TIME_WAIT
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:cft-4 TIME_WAIT
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:cft-3 TIME_WAIT
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:cft-6 TIME_WAIT
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:cft-5 TIME_WAIT
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:cft-0 TIME_WAIT
tcp 0 0 h903111.server:www-http nat.a7.qwer:www-ldap-gw TIME_WAIT
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:cft-2 TIME_WAIT
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:cft-1 TIME_WAIT
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:cnhrp TIME_WAIT
tcp 0 0 h903111.server:www-http nat.a7.qwer:capfast-lmd TIME_WAIT
tcp 0 0 h903111.server:www-http nat.a7.qwerty.r:spss-lm TIME_WAIT
tcp 0 0 h903111.server:www-http nat.a7.qwert:tftp-mcast TIME_WAIT
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:1753 TIME_WAIT
tcp 0 0 h903111.server:www-http nat.a7.qwerty.r:lofr-lm TIME_WAIT
tcp 0 0 h903111.server:www-http nat.a7.qwe:ms-streaming TIME_WAIT
tcp 0 0 h903111.server:www-http nat.a7.qwert:oracle-em2 TIME_WAIT
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:encore TIME_WAIT
tcp 0 0 h903111.server:www-http nat.a7.qwer:cinegrfx-lm TIME_WAIT
tcp 0 0 h903111.server:www-http nat.a7.qwerty.:3Com-nsd TIME_WAIT
tcp 0 0 h903111.server:www-http nat.a7.qwerty.r:ultimad TIME_WAIT
tcp 0 0 h903111.server:www-http nat.a7.qw:street-stream TIME_WAIT
tcp 0 0 h903111.server:www-http nat.a7.qwerty:webaccess TIME_WAIT
tcp 0 0 h903111.server:www-http nat.a7.qwerty.:gamegen1 TIME_WAIT
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:siipat TIME_WAIT
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:proxim TIME_WAIT
tcp 0 0 h903111.server:www-http nat.a7.qwer:privatechat TIME_WAIT
tcp 0 0 h903111.server:www-http nat.a7.qwer:cambertx-lm TIME_WAIT
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:citynl TIME_WAIT
tcp 0 0 h903111.server:www-http nat.a7.qwerty.:telindus TIME_WAIT
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:msiccp TIME_WAIT
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:roketz TIME_WAIT
tcp 0 0 h903111.server:www-http nat.a7.qwerty:iden-ralp TIME_WAIT
tcp 0 0 h903111.server:www-http nat.a7.q:csbphonemaster TIME_WAIT
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:winddx TIME_WAIT
tcp 0 0 h903111.server:www-http nat.a7.qwer:iberiagames TIME_WAIT
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:caicci TIME_WAIT
tcp 0 0 h903111.server:www-http nat.a7.qwe:h323hostcall TIME_WAIT
tcp 0 0 h903111.server:www-http nat.a7.qwerty.ru:pptp TIME_WAIT

[Roger Wilco]

Das ist eine SYN Flood Attacke, nehme ich an, weil das meiste kommt von: qwerty.ru

Mir erschließt sich nicht so ganz der Zusammenhang...
Aber wenn du einen einzelnen Host identifizieren kannst, wieso sperrst du ihn nicht einfach aus?

[edmann]

Das ist eine SYN Flood Attacke, nehme ich an, weil das meiste kommt von: qwerty.ru

Mir erschließt sich nicht so ganz der Zusammenhang...
Aber wenn du einen einzelnen Host identifizieren kannst, wieso sperrst du ihn nicht einfach aus?

Bei Plesk 8.1, habe versucht über FireWall zu blockieren, hat aber nix gebracht.

Code: Select all

#!/bin/sh
#
# Automatically generated by Plesk netconf
#

set -e

echo 0 > /proc/sys/net/ipv4/ip_forward
([ -f /var/lock/subsys/ipchains ] && /etc/init.d/ipchains stop) >/dev/null 2>&1 || true
(rmmod ipchains) >/dev/null 2>&1 || true
/usr/sbin/iptables -F
/usr/sbin/iptables -X
/usr/sbin/iptables -Z
/usr/sbin/iptables -P INPUT DROP
/usr/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp ! --syn -j REJECT --reject-with tcp-reset
/usr/sbin/iptables -A INPUT -m state --state INVALID -j DROP
/usr/sbin/iptables -P OUTPUT DROP
/usr/sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/usr/sbin/iptables -A OUTPUT -p tcp ! --syn -j REJECT --reject-with tcp-reset
/usr/sbin/iptables -A OUTPUT -m state --state INVALID -j DROP
/usr/sbin/iptables -P FORWARD DROP
/usr/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
/usr/sbin/iptables -A FORWARD -p tcp ! --syn -j REJECT --reject-with tcp-reset
/usr/sbin/iptables -A FORWARD -m state --state INVALID -j DROP
/usr/sbin/iptables -A INPUT -i lo -j ACCEPT
/usr/sbin/iptables -A OUTPUT -o lo -j ACCEPT
/usr/sbin/iptables -A FORWARD -i lo -o lo -j ACCEPT
/usr/sbin/iptables -t mangle -F
/usr/sbin/iptables -t mangle -X
/usr/sbin/iptables -t mangle -Z
/usr/sbin/iptables -t mangle -P PREROUTING ACCEPT
/usr/sbin/iptables -t mangle -P OUTPUT ACCEPT
/usr/sbin/iptables -t mangle -P INPUT ACCEPT
/usr/sbin/iptables -t mangle -P FORWARD ACCEPT
/usr/sbin/iptables -t mangle -P POSTROUTING ACCEPT
/usr/sbin/iptables -t nat -F
/usr/sbin/iptables -t nat -X
/usr/sbin/iptables -t nat -Z
/usr/sbin/iptables -t nat -P PREROUTING ACCEPT
/usr/sbin/iptables -t nat -P OUTPUT ACCEPT
/usr/sbin/iptables -t nat -P POSTROUTING ACCEPT

/usr/sbin/iptables -A INPUT -p udp -s 213.85.0.0/17 -j DROP
/usr/sbin/iptables -A INPUT -p tcp -s 213.85.0.0/17 -j DROP

/usr/sbin/iptables -A INPUT -p tcp --dport 8443 -j ACCEPT

/usr/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 443 -j ACCEPT

/usr/sbin/iptables -A INPUT -p tcp --dport 21 -j ACCEPT

/usr/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT

/usr/sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 465 -j ACCEPT

/usr/sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 995 -j ACCEPT

/usr/sbin/iptables -A INPUT -p tcp --dport 143 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 993 -j ACCEPT

/usr/sbin/iptables -A INPUT -p tcp --dport 106 -j ACCEPT

/usr/sbin/iptables -A INPUT -p tcp --dport 3306 -j ACCEPT

/usr/sbin/iptables -A INPUT -p tcp --dport 5432 -j ACCEPT

/usr/sbin/iptables -A INPUT -p tcp --dport 9008 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 9080 -j ACCEPT

/usr/sbin/iptables -A INPUT -p udp --dport 137 -j ACCEPT
/usr/sbin/iptables -A INPUT -p udp --dport 138 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 139 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 445 -j ACCEPT

/usr/sbin/iptables -A INPUT -p udp --dport 1194 -j ACCEPT

/usr/sbin/iptables -A INPUT -p udp --dport 53 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 53 -j ACCEPT

/usr/sbin/iptables -A INPUT -p icmp --icmp-type 8/0 -j ACCEPT

/usr/sbin/iptables -A INPUT -j ACCEPT

/usr/sbin/iptables -A OUTPUT -j ACCEPT

/usr/sbin/iptables -A FORWARD -j DROP

echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /usr/local/psa/var/modules/firewall/ip_forward.active
chmod 644 /usr/local/psa/var/modules/firewall/ip_forward.active
#
# End of script
#

[Roger Wilco]

Code: Select all

iptables -A INPUT -p tcp -s 87.240.15.29 -j REJECT

[edmann]

Habe die Adresse: 87.240.14.0/23 in Black Liste getan, Server ist aufgestanden!

Vielen Dank! Sie haben mich Gerätat!
Großer Respekt!

[khark]

Nur mal so aus reiner Neugierde. Wie hast du herausgefunden, das das Programm "Sprut" benutzt wird??
Siehe: http://www.rootforum.org/forum/viewtopic.php?t=44374

[edmann]

Nur mal so aus reiner Neugierde. Wie hast du herausgefunden, das das Programm "Sprut" benutzt wird??

Wir haben ein sehr bekanntes CMS Projekt, zirka 2000-3000 Besucher am Tag.
Um uns runter zu drücken hat die Gruppe etwa von 3-5 Mann, sich verabredet gegen uns so eine DDos Attacke mit Hilfe des „Sprut" zu machen.

Das haben wir von unseren Leuten erfahren die auf dem Forum diese Gruppe geschnuffelt haben.

Ich habe das Programm runter geladen und ausprobiert, das funktioniert einband frei, Server wird innerhalb von 1-3 Minuten nicht erreichbar, und dass nur von einem PC.

[rootsvr]

Naja wenn Du weißt wer es gewesen ist: Anzeige bei der Polizei!

Dadurch das die gehackte Server in Russland benutzen (oder kommen die daher) wird es sicher lustig für die Staatsanwaltschaft.

[edmann]

Wie gesagt, da gegen kann ich gar nix machen, die Leute sind nicht in Deutschland.

[khark]

Nur mal so aus reiner Neugierde. Wie hast du herausgefunden, das das Programm "Sprut" benutzt wird??

Wir haben ein sehr bekanntes CMS Projekt, zirka 2000-3000 Besucher am Tag.
Um uns runter zu drücken hat die Gruppe etwa von 3-5 Mann, sich verabredet gegen uns so eine DDos Attacke mit Hilfe des „Sprut" zu machen.

Das haben wir von unseren Leuten erfahren die auf dem Forum diese Gruppe geschnuffelt haben.

Ich habe das Programm runter geladen und ausprobiert, das funktioniert einband frei, Server wird innerhalb von 1-3 Minuten nicht erreichbar, und dass nur von einem PC.

Ah ok. Das erklärt einiges. Hatte zwar gehofft dadurch irgendwie Hinweise bzgl. meines "Geisterclients" zu bekommen, aber ok.
Danke :-)