Heute hab ich mich gewundert warum mir einer meiner Server dauernd Mails schickt das er ungewöhnlich hohen Traffic hat und das die Uptime von 580 Tagen auf 0 runter ist ohne das ich einen normalen Reboot in den Logs sehe. Abgesehen von dem eigenartigen Reboot wunderte ich mich noch über den Traffic der gar nicht von meiner Kiste ausging oder auch nur für diese bestimmt war. Anscheinend ist ein Switch defekt oder überlastet und hat sich zur Trafficschleuder entwickelt. Ich empfange POP3 Logindaten oder Webanfragen anderer Server und sehe sogar das auf einem Rechner anscheiend ein IRC Bot installiert ist, das dürfte ja nicht sein.
Adresse des Subnetzes ist 217.172.180.0, kann mir jemand sagen ob es in anderen Netzen auch so ist oder nur bei diesem. Support hat schon ein nettes Ticket und ein nachweis das Sie sich nicht rausreden können. Ist schon das zweite mal innerhalb eines Jahres das sowas passiert, langsam muss ich mein Freund dazu überreden das er zu einem anderen Anbieter wechselt, der keine B-Ware Switches kauft :?
Edit:
Mittlerweile hat S4Y sogar das Ticket schon bearbeitet (das ging mal wirklich schnell ;) ). Die Jungs kümmern sich schon drum, aber heißt ja nicht das dieser Switch der einzige defekte ist.
[S4Y] Fremder Traffic - Viel Spaß an die Sniffer
-
lord_pinhead
- Posts: 774
- Joined: 2004-04-26 15:57
Re: [S4Y] Fremder Traffic - Viel Spaß an die Sniffer
Vermutlich nen Arp Flooding und der Switch hat in Broadcast geschaltet.. machen eigentlich fast alle Switche so..
Könnte natürlich mit port-security o.ä. die Macaddrese festsetzen, wird aber wohl zuviel Aufwand beim Tausch defekter Hardware sein.
Könnte natürlich mit port-security o.ä. die Macaddrese festsetzen, wird aber wohl zuviel Aufwand beim Tausch defekter Hardware sein.
-
lord_pinhead
- Posts: 774
- Joined: 2004-04-26 15:57
Re: [S4Y] Fremder Traffic - Viel Spaß an die Sniffer
Naja, es ist aber nicht nur selten das dies geschieht. Ich habe noch nie versucht ein solchen ARP Flood zu machen, da bei einer Entdeckung zu 100% eine kostenpflichtige Serversperre kommt, und es kann ja nur von den dort angeschlossenen Rechnern ein ARP Flood kommen, im WAN ist das ja eigentlich unmöglich. Jedenfalls wäre ich als Provider froh wenn mich jemand kontaktiert das soetwas passiert und würde Ihn nicht mit folgender Nachricht drohen
Ich mach erstmal ein komplett Backup vom System bevor die wirklich auf die Glorreiche Idee kommen mit einer Sperre.
Diese "vereinzelten" Packete enthalten Logindaten im Plaintext und sind nicht gerade vereinzelt gewesen. Innerhalb von wenigen Sekunden hab ich 5 Logins gesehen, so schnell konnte ich nichtmal strg+c drücken. Ich bin mir fast sicher das der Server durch so einen ungewollten DoS abgeschmiert ist weil jetzt schon 20% auslastung ist ohne das irgendwas läuft.
06.07.2007 09:35 - Name
Sehr geehrter Kunde,
ich möchte sie im Bezug auf ngrep darauf aufmerksam machen, dass der
Betrieb des Netzwerkinterfaces im Promisc-Modus gem. unseren AGB
verboten ist. Weiterhin erfüllt es unter Umständen den Tatbestand der
Computersabotage.
In jedem Fall haben Sie bei Feststellung durch unsere Techniker mit
einer kostenpflichtigen Sperre Ihres Servers zu rechnen, von daher
sehen Sie bitte ab diesen Betrieb aufzunehmen.
Weiterhin ist es normal das vereinzelte Pakete auch an Ihr
NIC-Interface geschickt werden die nicht für Sie sind. Dies ist
jedoch unkritisch, da es sich nur um vereinzelte Pakete handelt.
Mit freundlichen Grüßen
Name
Ich mach erstmal ein komplett Backup vom System bevor die wirklich auf die Glorreiche Idee kommen mit einer Sperre.
Re: [S4Y] Fremder Traffic - Viel Spaß an die Sniffer
naja, falls es sich bei der distri zufällig um suse handelt, da gibt es einen bug, der die uptime irgendwo bei 500 wieder auf null setzt. das wäre dann also "ganz normales" verhalten :)
Re: [S4Y] Fremder Traffic - Viel Spaß an die Sniffer
Wenn ich mir recht erinnere, wurde dieser kernel bug aber schon vor vielen Monden behoben.[NIX]Pepe wrote:naja, falls es sich bei der distri zufällig um suse handelt, da gibt es einen bug, der die uptime irgendwo bei 500 wieder auf null setzt. das wäre dann also "ganz normales" verhalten :)
@Lord_Pinhead
Wenn du was neues weißt, wäre es nett, wenn du es hier posten würdest. Ich werde wohl nachher auch mal testen was so an meines Server ankommt.
-
lord_pinhead
- Posts: 774
- Joined: 2004-04-26 15:57
Re: [S4Y] Fremder Traffic - Viel Spaß an die Sniffer
@pepe
Nein, es ist Debian Sarge. Und ich weiß das er wirklich neu hochgefahren ist weil mysql durch unsachgemäßes runterfahren, sprich Strom kappen, defekte Tabellen hatte und ein altes iptables Script geladen wurde. Was an sich nicht schlimm ist, der Server ist jetzt schon seeeehr alt und ich müsste das System mal neuaufsetzen auf Etch (was auch demnächst ansteht)
Das runterfahren war allerdings auf Wartungsarbeiten zurückzuführen über das mich mein Kollege nicht informiert hat.
@Snowball
Ich muss sagen das nichts neues von S4Y kam, und nach deren Ansicht ist das ja ein normales Verhalten. Sorry, ich denke einfach das durch die Umstellung auf die Traffic Flat der Server in einen neuen Bereich gestellt wurde oder die Netzwerk Hardware gewechselt wurde, nur um Geld zu sparen. Traurig, aber man darf ja nichtmal was sagen, den dann ist es gleich illegal obwohl es eher eine Grauzone ist. Da wir aber keine Lust auf eine kostenpflichtige Serversperre haben, werd ich es doch lassen und mir eine alternative mit mein Freund ausdenken müssen wie wir weiter Verfahren. Aus Erfahrung weiß ich von Strato das die Jungs eigentlich Dankbar waren das man so einen Fehler an Sie weitergibt und den Fehler nicht ausnutzt. Hier ist es leider anders :(
Nein, es ist Debian Sarge. Und ich weiß das er wirklich neu hochgefahren ist weil mysql durch unsachgemäßes runterfahren, sprich Strom kappen, defekte Tabellen hatte und ein altes iptables Script geladen wurde. Was an sich nicht schlimm ist, der Server ist jetzt schon seeeehr alt und ich müsste das System mal neuaufsetzen auf Etch (was auch demnächst ansteht)
Das runterfahren war allerdings auf Wartungsarbeiten zurückzuführen über das mich mein Kollege nicht informiert hat.
@Snowball
Ich muss sagen das nichts neues von S4Y kam, und nach deren Ansicht ist das ja ein normales Verhalten. Sorry, ich denke einfach das durch die Umstellung auf die Traffic Flat der Server in einen neuen Bereich gestellt wurde oder die Netzwerk Hardware gewechselt wurde, nur um Geld zu sparen. Traurig, aber man darf ja nichtmal was sagen, den dann ist es gleich illegal obwohl es eher eine Grauzone ist. Da wir aber keine Lust auf eine kostenpflichtige Serversperre haben, werd ich es doch lassen und mir eine alternative mit mein Freund ausdenken müssen wie wir weiter Verfahren. Aus Erfahrung weiß ich von Strato das die Jungs eigentlich Dankbar waren das man so einen Fehler an Sie weitergibt und den Fehler nicht ausnutzt. Hier ist es leider anders :(