Laut 1und1 ist gehen von meinem Server dDos Attacken aus! Das Teil ist bereits gesperrt bis das Problem behoben ist. Hier der Auszug aus dem Logfile:
> Servers******************************
>
>
> Direction IN
> Internal 78.47.47.178
> Threshold Packets 50.000 packets/s
> Sum 18.169.000 packets/300s (60.563 packets/s), 5 flows/300s (0
> flows/s), 0,728
> GByte/300s (19 MBit/s)
> External 82.165.196.220, 8.904.000 packets/300s (29.680 packets/s), 1
> flows/300s
> (0 flows/s), 0,357 GByte/300s (9
> MBit/s)
> External 193.226.6.137, 3.801.000 packets/300s (12.670 packets/s), 1
> flows/300s
> (0 flows/s), 0,152 GByte/300s (4 MBit/s)
> External 187.16.23.118, 3.726.000 packets/300s (12.420 packets/s), 1
> flows/300s
> (0 flows/s), 0,149 GByte/300s (4 MBit/s)
> External 187.58.243.10, 1.533.000 packets/300s (5.110 packets/s), 1
> flows/300s
> (0 flows/s), 0,061 GByte/300s (1 MBit/s)
> External 82.208.172.92, 205.000 packets/300s (683 packets/s), 1
> flows/300s (0
> flows/s), 0,008 GByte/300s (0 MBit/s)
>
> ***Ende Logfile-Auszug des angegriffenen
Wie kann ich das Problem ausfindig machen und beheben?
Danke im Vorraus!
Dringend dDos Problem
-
sbrandhoff
- Userprojekt
- Posts: 39
- Joined: 2003-06-22 12:19
- Location: Frankenau
- Contact:
Re: Dringend dDos Problem
Fangen wir mit dem Leichtesten an ($hdd bitte passend ersetzen):
Code: Select all
ls -alh /mnt/$hdd/tmpPayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
-
sbrandhoff
- Userprojekt
- Posts: 39
- Joined: 2003-06-22 12:19
- Location: Frankenau
- Contact:
Re: Dringend dDos Problem
ps x
netstat
tcpdump läuft nix weil gesperrt.
Danke!!!
Bitte zukünftig Code Tags verwenden.
Code: Select all
1 ? Ss 0:20 init [2]
2 ? S< 0:00 [kthreadd]
3 ? S< 0:01 [migration/0]
4 ? S< 0:01 [ksoftirqd/0]
5 ? S< 0:00 [watchdog/0]
6 ? S< 0:01 [migration/1]
7 ? S< 0:02 [ksoftirqd/1]
8 ? S< 0:00 [watchdog/1]
9 ? S< 1:33 [events/0]
10 ? S< 1:57 [events/1]
11 ? S< 0:00 [khelper]
45 ? S< 0:00 [kblockd/0]
46 ? S< 0:01 [kblockd/1]
49 ? S< 0:00 [kacpid]
50 ? S< 0:00 [kacpi_notify]
181 ? S< 0:00 [ksuspend_usbd]
187 ? S< 0:00 [khubd]
190 ? S< 0:00 [kseriod]
237 ? S 0:00 [pdflush]
238 ? S 2:02 [pdflush]
239 ? S< 0:11 [kswapd0]
240 ? S< 0:00 [aio/0]
241 ? S< 0:00 [aio/1]
461 ? S< 0:00 [ata/0]
462 ? S< 0:00 [ata/1]
463 ? S< 0:00 [ata_aux]
958 ? S< 0:00 [scsi_eh_0]
959 ? S< 0:00 [scsi_eh_1]
960 ? S< 0:00 [scsi_eh_2]
961 ? S< 0:00 [scsi_eh_3]
962 ? S< 0:00 [scsi_eh_4]
963 ? S< 0:00 [scsi_eh_5]
1284 ? S< 0:43 [md1_raid1]
1289 ? S< 0:44 [md5_raid1]
1294 ? S< 4:25 [md6_raid1]
1299 ? S< 63:27 [md7_raid1]
1374 ? S< 0:34 [kjournald]
1578 ? S<s 1:06 udevd --daemon
2023 ? S< 0:00 [kpsmoused]
2231 ? S< 0:00 [ksnapd]
2274 ? S< 0:00 [xfslogd/0]
2275 ? S< 0:48 [xfslogd/1]
2276 ? S< 0:00 [xfsdatad/0]
2277 ? S< 0:46 [xfsdatad/1]
2278 ? S< 0:00 [xfs_mru_cache]
2279 ? S< 0:04 [xfsbufd]
2280 ? S< 0:00 [xfssyncd]
2281 ? S< 0:10 [xfsbufd]
2282 ? S< 0:03 [xfssyncd]
2283 ? S< 0:10 [xfsbufd]
2284 ? S< 0:03 [xfssyncd]
2374 ? Ss 0:01 dhclient3 -pf /var/run/dhclient.eth0.pid -lf /var/lib
2492 ? Ss 6:14 /sbin/syslogd
2498 ? Ss 0:00 /sbin/klogd -x
2574 ? S 0:00 /bin/sh /usr/bin/mysqld_safe
2612 ? S 0:00 logger -p daemon.err -t mysqld_safe -i -t mysqld
2735 ? Ss 0:00 /usr/sbin/acpid -c /etc/acpi/events -s /var/run/acpid
2767 ? Ss 0:00 /usr/sbin/ntpd
2833 ? Ss 3:59 /usr/lib/postfix/master
2847 ? SNs 6:09 /usr/sbin/powernowd -q
2858 ? Ss 0:21 /usr/sbin/sshd
2889 ? Ss 2:58 /sbin/mdadm --monitor --pid-file /var/run/mdadm/monit
2956 ? Ss 0:02 /usr/sbin/cron
3025 tty1 Ss+ 0:00 /sbin/getty 38400 tty1
3026 tty2 Ss+ 0:00 /sbin/getty 38400 tty2
3027 tty3 Ss+ 0:00 /sbin/getty 38400 tty3
3028 tty4 Ss+ 0:00 /sbin/getty 38400 tty4
3029 tty5 Ss+ 0:00 /sbin/getty 38400 tty5
3030 tty6 Ss+ 0:00 /sbin/getty 38400 tty6
3031 ttyS0 Ss 0:00 /bin/login --
5310 ttyS0 S 0:00 -bash
18458 ttyS0 R+ 0:00 ps x
31351 ? Ss 0:02 /usr/sbin/apache2 -k start
------------------------------------Code: Select all
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags Type State I-Node Path
unix 17 [ ] DGRAM 4945 /dev/log
unix 2 [ ] DGRAM 119975 /var/run/cyrus/socket/notify
unix 2 [ ] DGRAM 2887 @/org/kernel/udev/udevd
unix 2 [ ] DGRAM 15964639
unix 2 [ ] DGRAM 15963636
unix 2 [ ] DGRAM 15962817
unix 2 [ ] DGRAM 15929925
unix 2 [ ] DGRAM 304662
unix 2 [ ] DGRAM 119986
unix 2 [ ] DGRAM 119898
unix 2 [ ] DGRAM 6096
unix 2 [ ] DGRAM 5808
unix 2 [ ] DGRAM 5744
unix 3 [ ] STREAM CONNECTED 5735
unix 3 [ ] STREAM CONNECTED 5734
unix 3 [ ] STREAM CONNECTED 5732
unix 3 [ ] STREAM CONNECTED 5731
unix 3 [ ] STREAM CONNECTED 5729
unix 3 [ ] STREAM CONNECTED 5728
unix 3 [ ] STREAM CONNECTED 5726
unix 3 [ ] STREAM CONNECTED 5725
unix 3 [ ] STREAM CONNECTED 5723
unix 3 [ ] STREAM CONNECTED 5722
unix 3 [ ] STREAM CONNECTED 5720
unix 3 [ ] STREAM CONNECTED 5719
unix 3 [ ] STREAM CONNECTED 5717
unix 3 [ ] STREAM CONNECTED 5716
unix 3 [ ] STREAM CONNECTED 5714
unix 3 [ ] STREAM CONNECTED 5713
unix 3 [ ] STREAM CONNECTED 5711
unix 3 [ ] STREAM CONNECTED 5710
unix 3 [ ] STREAM CONNECTED 5708
unix 3 [ ] STREAM CONNECTED 5707
unix 3 [ ] STREAM CONNECTED 5705
unix 3 [ ] STREAM CONNECTED 5704
unix 3 [ ] STREAM CONNECTED 5702
unix 3 [ ] STREAM CONNECTED 5701
unix 3 [ ] STREAM CONNECTED 5699
unix 3 [ ] STREAM CONNECTED 5698
unix 3 [ ] STREAM CONNECTED 5696
unix 3 [ ] STREAM CONNECTED 5695
unix 3 [ ] STREAM CONNECTED 5693
unix 3 [ ] STREAM CONNECTED 5692
unix 3 [ ] STREAM CONNECTED 5690
unix 3 [ ] STREAM CONNECTED 5689
unix 3 [ ] STREAM CONNECTED 5687
unix 3 [ ] STREAM CONNECTED 5686
unix 3 [ ] STREAM CONNECTED 5683
unix 3 [ ] STREAM CONNECTED 5682
unix 3 [ ] STREAM CONNECTED 5675
unix 3 [ ] STREAM CONNECTED 5674
unix 3 [ ] STREAM CONNECTED 5672
unix 3 [ ] STREAM CONNECTED 5671
unix 3 [ ] STREAM CONNECTED 5669
unix 3 [ ] STREAM CONNECTED 5668
unix 3 [ ] STREAM CONNECTED 5666
unix 3 [ ] STREAM CONNECTED 5665
unix 3 [ ] STREAM CONNECTED 5663
unix 3 [ ] STREAM CONNECTED 5662
unix 3 [ ] STREAM CONNECTED 5660
unix 3 [ ] STREAM CONNECTED 5659
unix 3 [ ] STREAM CONNECTED 5657
unix 3 [ ] STREAM CONNECTED 5656
unix 3 [ ] STREAM CONNECTED 5654
unix 3 [ ] STREAM CONNECTED 5653
unix 3 [ ] STREAM CONNECTED 5645
unix 3 [ ] STREAM CONNECTED 5644
unix 3 [ ] STREAM CONNECTED 5643
unix 3 [ ] STREAM CONNECTED 5642
unix 3 [ ] STREAM CONNECTED 5640
unix 3 [ ] STREAM CONNECTED 5639
unix 3 [ ] STREAM CONNECTED 5625
unix 3 [ ] STREAM CONNECTED 5624
unix 2 [ ] DGRAM 5615
unix 3 [ ] STREAM CONNECTED 5436
unix 3 [ ] STREAM CONNECTED 5435
unix 2 [ ] DGRAM 5434
unix 2 [ ] DGRAM 5263
unix 2 [ ] DGRAM 5129
unix 2 [ ] DGRAM 4959
------------------------------------Danke!!!
Bitte zukünftig Code Tags verwenden.
Last edited by Anonymous on 2010-07-01 00:29, edited 1 time in total.
-
sbrandhoff
- Userprojekt
- Posts: 39
- Joined: 2003-06-22 12:19
- Location: Frankenau
- Contact:
Re: Dringend dDos Problem
top
netstat -tulpen |grep tcp
Code: Select all
top - 00:33:01 up 76 days, 16:53, 1 user, load average: 0.00, 0.00, 0.02
Tasks: 95 total, 1 running, 94 sleeping, 0 stopped, 0 zombie
Cpu(s): 0.2%us, 0.0%sy, 0.0%ni, 99.8%id, 0.0%wa, 0.0%hi, 0.0%si, 0.0%st
Mem: 4025260k total, 3996332k used, 28928k free, 31796k buffers
Swap: 3919840k total, 21796k used, 3898044k free, 2503904k cached
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
1 root 20 0 6128 692 568 S 0 0.0 0:20.36 init
2 root 15 -5 0 0 0 S 0 0.0 0:00.00 kthreadd
3 root RT -5 0 0 0 S 0 0.0 0:01.42 migration/0
4 root 15 -5 0 0 0 S 0 0.0 0:01.84 ksoftirqd/0
5 root RT -5 0 0 0 S 0 0.0 0:00.04 watchdog/0
6 root RT -5 0 0 0 S 0 0.0 0:01.94 migration/1
7 root 15 -5 0 0 0 S 0 0.0 0:02.98 ksoftirqd/1
8 root RT -5 0 0 0 S 0 0.0 0:00.02 watchdog/1
9 root 15 -5 0 0 0 S 0 0.0 1:33.13 events/0
10 root 15 -5 0 0 0 S 0 0.0 1:57.33 events/1
11 root 15 -5 0 0 0 S 0 0.0 0:00.00 khelper
45 root 15 -5 0 0 0 S 0 0.0 0:00.46 kblockd/0
46 root 15 -5 0 0 0 S 0 0.0 0:01.76 kblockd/1
49 root 15 -5 0 0 0 S 0 0.0 0:00.00 kacpid
50 root 15 -5 0 0 0 S 0 0.0 0:00.00 kacpi_notify
181 root 15 -5 0 0 0 S 0 0.0 0:00.00 ksuspend_usbd
187 root 15 -5 0 0 0 S 0 0.0 0:00.00 khubd
Code: Select all
tcp 0 0 127.0.0.1:60000 0.0.0.0:* LISTEN 0 5275 2660/postgrey.pid -
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 105 5130 2611/mysqld
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN 0 119961 24859/cyrmaster
tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN 0 119955 24859/cyrmaster
tcp 0 0 127.0.0.1:2000 0.0.0.0:* LISTEN 0 119973 24859/cyrmaster
tcp 0 0 82.165.196.220:53 0.0.0.0:* LISTEN 104 15929946 2478/named
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 104 15929944 2478/named
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 106 6015 2937/proftpd: (acce
tcp 0 0 0.0.0.0:119 0.0.0.0:* LISTEN 0 119967 24859/cyrmaster
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 104 15929949 2478/named
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 0 5623 2833/master
tcp6 0 0 :::110 :::* LISTEN 0 119959 24859/cyrmaster
tcp6 0 0 :::143 :::* LISTEN 0 119953 24859/cyrmaster
tcp6 0 0 :::80 :::* LISTEN 0 15884657 5077/apache2
tcp6 0 0 :::53 :::* LISTEN 104 15929941 2478/named
tcp6 0 0 :::22 :::* LISTEN 0 5776 2858/sshd
tcp6 0 0 :::119 :::* LISTEN 0 119965 24859/cyrmaster
tcp6 0 0 ::1:953 :::* LISTEN 104 15929950 2478/named
-
sbrandhoff
- Userprojekt
- Posts: 39
- Joined: 2003-06-22 12:19
- Location: Frankenau
- Contact:
Re: Dringend dDos Problem
Also habe gesehen das ein bekannter Joomla installiert hat. Könnte das evtl. ein Problem sein? Wäre zumindest logisch für meine Begriffe?!
Als OS nutze ich Debian / Plesk läuft nicht bzw. ist nicht installiert
Code: Select all
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 1 0 s15383774.onlineho:nntp 217.70.191.250:36052 CLOSE_WAIT
tcp 1 0 s15383774.onlineho:nntp 217.70.191.250:36051 CLOSE_WAIT
tcp 1 0 s15383774.onlineho:nntp 217.70.191.250:36051 CLOSE_WAIT
Code: Select all
init─┬─acpid
├─apache2───10*[apache2]
├─atd
├─cron
├─cyrmaster───notifyd
├─dhclient3
├─6*[getty]
├─httpd
├─klogd
├─login───bash───pstree
├─master─┬─pickup
│ ├─qmgr
│ └─tlsmgr
├─mdadm
├─mysqld_safe─┬─logger
│ └─mysqld───16*[{mysqld}]
├─named───4*[{named}]
├─ntpd───ntpd
├─postgrey
├─powernowd
├─proftpd
├─sshd
├─syslogd
└─udevd
-
sbrandhoff
- Userprojekt
- Posts: 39
- Joined: 2003-06-22 12:19
- Location: Frankenau
- Contact:
Re: Dringend dDos Problem
Bin leider ein wenig Noob in diesem Bereich (ehr so der Programmierer). Wenn du mir sagen könntest in welchen Logfiles ich am besten suchen sollte wäre ich dir dankbar und grob nach was. Ich drehe sonst noch durch. Danke schonmal für die schnelle Hilfe!
PS: Könnte evtl. Subversion auch ein Problem darstellen?
PS: Könnte evtl. Subversion auch ein Problem darstellen?
Last edited by sbrandhoff on 2010-07-01 01:02, edited 1 time in total.
-
sbrandhoff
- Userprojekt
- Posts: 39
- Joined: 2003-06-22 12:19
- Location: Frankenau
- Contact:
Re: Dringend dDos Problem
1und1 hat mir folgende Infos zugesendet:
Der Server wird nun erstmal wieder freigeschaltet habe verdächtige Webs identifiziert und offline genommen und werde nun mal den Traffic bzw. die ausgehenden Verbindungen im Auge behalten.
Code: Select all
Es handelt sich hierbei um Datenpakete der folgenden Form:
20:02:20.891007 IP 82.165.196.220.46609 > 120.72.93.18.0: UDP, length 15
20:02:20.891014 IP 82.165.196.220.46609 > 120.72.93.18.0: UDP, length 15
20:02:20.891043 IP 82.165.196.220.46609 > 120.72.93.18.0: UDP, length 15
20:02:20.891089 IP 82.165.196.220.46609 > 120.72.93.18.0: UDP, length 15
20:02:20.891108 IP 82.165.196.220.46609 > 120.72.93.18.0: UDP, length 15
20:02:20.891128 IP 82.165.196.220.46609 > 120.72.93.18.0: UDP, length 15
20:02:20.891161 IP 82.165.196.220.46609 > 120.72.93.18.0: UDP, length 15
20:02:20.891170 IP 82.165.196.220.46609 > 120.72.93.18.0: UDP, length 15
20:02:20.891205 IP 82.165.196.220.46609 > 120.72.93.18.0: UDP, length 15
20:02:20.891211 IP 82.165.196.220.46609 > 120.72.93.18.0: UDP, length 15
20:02:20.891243 IP 82.165.196.220.46609 > 120.72.93.18.0: UDP, length 15
20:02:20.891252 IP 82.165.196.220.46609 > 120.72.93.18.0: UDP, length 15
20:02:20.891289 IP 82.165.196.220.46609 > 120.72.93.18.0: UDP, length 15
20:02:20.891294 IP 82.165.196.220.46609 > 120.72.93.18.0: UDP, length 15
20:02:20.891312 IP 82.165.196.220.46609 > 120.72.93.18.0: UDP, length 15
Re: Dringend dDos Problem
Mal eine generelle Überlegung: Wenn jemand mit UDP Datagrammen einen DOS von Deinem Server ausgeführt hat, dann (wahrscheinlich) nicht ausschließlich über eine Deflection mit einem Joomla Plugin. Dazu muss schließlich ein (aktiver) UDP-Socket geöffnet werden; das deutet darauf hin, dass es einem Angreifer ev. gelungen ist, Shell-Code einzuschleusen und zur Ausführung zu bringen.
Ich würde dem System in seinem jetzigen Zustand jedenfalls nicht trauen. Entweder liegen noch irgendwo gefährliche Dateien herum, die jederzeit wieder getriggert werden können (ggf. wurden die über eine verwundbare Webanwendung eingeschleust), oder es gibt einen verwundbaren Dienst auf Deinem Server, der per Buffer Overflow und einer NOOP-Slide oder ähnlichen Techniken dazu mißbraucht wurde, Shell-Code auszuführen. Ist letzteres der Fall, kann ein Angreifer auch noch anderen Shellcode ausgeführt haben, der ihm einen bequemeren Systemzugriff ermöglicht, oder er kann den Angriff jederzeit wiederholen.
Wenn Du keine Checksummen (Tripwire o. ä.) hast, um Dein System auf mögliche Kompromittierungen zu prüfen, würde ich zur Neuinstallation raten.
Ich würde dem System in seinem jetzigen Zustand jedenfalls nicht trauen. Entweder liegen noch irgendwo gefährliche Dateien herum, die jederzeit wieder getriggert werden können (ggf. wurden die über eine verwundbare Webanwendung eingeschleust), oder es gibt einen verwundbaren Dienst auf Deinem Server, der per Buffer Overflow und einer NOOP-Slide oder ähnlichen Techniken dazu mißbraucht wurde, Shell-Code auszuführen. Ist letzteres der Fall, kann ein Angreifer auch noch anderen Shellcode ausgeführt haben, der ihm einen bequemeren Systemzugriff ermöglicht, oder er kann den Angriff jederzeit wiederholen.
Wenn Du keine Checksummen (Tripwire o. ä.) hast, um Dein System auf mögliche Kompromittierungen zu prüfen, würde ich zur Neuinstallation raten.
“Some humans would do anything to see if it was possible to do it. If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry.” — Terry Pratchett, Thief of Time
-
sbrandhoff
- Userprojekt
- Posts: 39
- Joined: 2003-06-22 12:19
- Location: Frankenau
- Contact:
Re: Dringend dDos Problem
Servus! Hab ein bisschen geschaut nachdem mir die Abuseabteilung heute wieder eine freundliche Mail gesendet hat.
Eben über TCPDump war folgendes zu erkennen
Hab dann mal freundlich top gestartet und einen Prozess mit dem Namen s gefunden der unter dem Benutzer ts lief. Der sollte eigentlich mal für Teamspeak sein welches aber nicht als Prozess lief. Nachdem ich den Prozess gekillt hatte und den Benutzer gelöscht habe war alles ganz normal. Kein Stress mehr im TCPDump. Habe eine ganze Menge Files unter /dev/shm (auch die s Datei) gefunden die dem Benutzer ts gehörten die hab ich gesichert und sicher im Verzeichnis der Benutzers root deponiert.
Was denkt ihr könnte das reichen?
Gruß
Sascha
Eben über TCPDump war folgendes zu erkennen
Code: Select all
23:01:07.944599 IP x.onlinehome-server.info.50962 > 222.236.44.73.0: UDP, length 15
23:01:07.944604 IP x.onlinehome-server.info.50962 > 222.236.44.73.0: UDP, length 15
23:01:07.944608 IP x.onlinehome-server.info.50962 > 222.236.44.73.0: UDP, length 15
23:01:07.944622 IP x.onlinehome-server.info.50962 > 222.236.44.73.0: UDP, length 15
23:01:07.944626 IP x.onlinehome-server.info.50962 > 222.236.44.73.0: UDP, length 15
Was denkt ihr könnte das reichen?
Gruß
Sascha
Last edited by sbrandhoff on 2010-07-06 23:16, edited 1 time in total.
-
Roger Wilco
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: Dringend dDos Problem
Wenn du den Benutzter ts und Teamspeak danach geloescht hast, koennte es ausreichen. Du solltest das System in jedem Fall im Auge behalten.
Eine wirklich saubere Loesung waere, das System komplett neu aufzusetzen.
Eine wirklich saubere Loesung waere, das System komplett neu aufzusetzen.
-
sbrandhoff
- Userprojekt
- Posts: 39
- Joined: 2003-06-22 12:19
- Location: Frankenau
- Contact:
Re: Dringend dDos Problem
Ich weis, leider hab ich momentan nicht wirklich Zeit dazu. Lasse derzeit TCPDump laufen und werde mir die Auswertung stündlich senden lassen. So kann man denke ich erstmal grundlegend schauen.