600 GB Traffic innerhalb von 3 Wochen ???

[[black-devil]]

Hallo,

ich bin am Verzweifeln und wende mich daher mal an Euch hier! Ich bin auf der Suche nach weiteren Betroffenen die in ihrer letzten Rechnung auch einen unerklärbaren hohen Traffic berechnet bekommen haben. Leider hat es mich sehr schlimm erwischt und ich hab einen Zusatztraffic von 600 GB verursacht der meines Erachtens als sehr fragwürdig und unerklärbar ist. Ich bitte euch daher sich hier zu melden um gemeinsam herauszufinden was diesen Traffic verursacht hat. Meiner wurde in der Zeit vom 12.01. - 08.02 verursacht.
Ich bin dankbar für jegliche Antwort und Hilfe.

Blacky

[harley]

Tja zunächst würde ich mal hier im Forum guggen nach schon vorhandenen Themen und die Vorschläge dort ausführen (logs) usw.

[[black-devil]]

Das hab ichs chon gemacht und in den Logs ist eindeutig zu erkennen (also das was ich bisher geesen habe) dass die Kiste gescannt wurde. Und das mit dem Traffic aufzeichnen funktioniert irgendwie nicht denn das ntop gibt mir nichts aus :(

[harley]

Also ich würde mal nach neuen ordnern suchen im home oder var, halt guggen welche neu erstellt worden sind.

Hol dir halt mal iptraf drauf, damit kannste sofort sehen wo was hin geht, bei ntop braucht das ne weile bis genug daten zusammen sind.

Halte ausschau nach dserver oder ähnlichem, auch ftp verzeichnisse prüfen. Bei 600gig ist das sicher nen edonkeyserver oder haste ftp open public?

[[black-devil]]

Harley danke für deine Hilfe ich glaube du hast mich einen grossen Schritt weitergebracht.

Ich hab mir das mit dem iptraf anziegen lassen und hab in 40 min 30 Millionen UDP Packets mit 140 Byte Grösse versendet und das nur an domains die bei Schlund gehostet sind und alle auf meiner IP Range liegen.

[floschi]

Hi !

Server runterfahren, nur noch übers Rescue-System arbeiten, um evtl. Logfiles zu sichern und Beweise zu bekommen.

Sofort Traffikfax losschicken und am besten bei der Hotline anrufen, damit die den Switch für diese Pakete dichtmachen, sonst zahlst du dich dumm und dämlich.

Tja, und dann nach dem Verursacher suchen... es gibt kein Pauschalrezept, kann sehr viele Ursachen haben. Evtl. Rootkit, kleiner EDonkey-Server, usw. Evtl. hast du auch nen Gameserver (was zur Zeit ja Selbstmord ist) und den hat jemand "benutzt"...

Grüßle

Olfi ;)

[[black-devil]]

Danke für eure Antworten!!!

Also ich hab den Server runtergefahren und hab die Logs von IPtraf mir angeschaut. Die UDP Packets die der Server versendet hat gingen alle eine IP Range. Meine ist 217.160.168.xxx und genau an diese Range wurden die UDP packets gesendet - also alles Domains und Server von 1&1 / Schlund & Partner. Zudem habe ich kein Script am laufen gehabt und auch kein Rootkit sowie keinen Gameserver oder sonstiges. Nun zum Traffic weiss ich nur dass die mir 590 GB berechnet haben und mich der Spass 2800 Euro kosten soll und immer noch nicht aufhört. Bei der Hotline hab ich auch schon angerufen aber entweder ist kein Durchkommen oder es wird einem gesagt dass es Eigenverschulden ist nun ja morgen werde ich mit der Vetragshotline telefonieren und dann sehe ich weiter. Auf jedenfall Danke nochmals für eure Antworten und wenn es noch jemanden gibt der auch solche Probleme hat dann kann sich ja bei mir melden - Laut Aussage hat es mehrere Leute die einen RootServer haben getroffen.

greetz

Blacky

[captaincrunch]

140 byte-UDP-Packets ? Massig Traffic ? Du betreibst nicht zufällig einen Windows-Server ?

Klingt jedenfalls ein bisschen nach SQLSlammer. Am besten wäre, wenn du dir die betreffenden Pakete mal anschaust, wenn's wirklich der Slammer ist, hast du vielleicht noch gaaaaanz viel Glück, und Puretec zeigt sich noch kulanter, als sie es durch die 2800 Euro schon getan haben.

Wobei ich mich dann allerdings frage, ob UDP 1433 und 1434 auf den externen Routern wieder offen sind ...

[rootmaster]

Das hab ichs chon gemacht und in den Logs ist eindeutig zu erkennen (also das was ich bisher geesen habe) dass die Kiste gescannt wurde. Und das mit dem Traffic aufzeichnen funktioniert irgendwie nicht denn das ntop gibt mir nichts aus :(

installier doch mal darkstat (habe das schon lange am testen und lüppt prima ;))

http://members.optushome.com.au/emikulic/net/darkstat/

"back to the roots"

[fritz]

falls noch jemand Tips für Black-Devil hat, wie er den Traffic abstellt, bitte hier weiter posten.

Die Grundsatzdiskussionen, wer einen Rootserver betreiben darf, wem 1&1 einen vermieten darf, wer Schuld hat usw... bitte im Smalltalk weiterführen..... oder auch nicht ?!?

Gruss Fritz

(tnx @ IceCold ;-)

[captaincrunch]

140 byte-UDP-Packets ? Massig Traffic ?

OK, ich korrigiere mich einfach mal selbst : SQL-Slammer ist es defintiv nicht, da sind die UDP-Pakete 376 byte lang ...
Von daher tippe ich einfach mal auf irgendwas Gameserver-mäßiges ...

[kase]

Da ich keine Ahnung habe, warum mein Post, der rein überhaupt nix mit der Grundsatzdiskussion zu tun hatte, (ganz im Gegenteil) mit ins Off-Topic gesplittet wurde, schreibe ich ihn jetzt nochmal:

wenn niemand was dagegen hat, würde ich gerne mal wieder zum eigentlichen Thema zurückkehren...

Du sagst, der Traffic wurde an alle innerhalb deines Subnetzes geschickt ?

1. Wäre dann sehr interessant, ob es andere in 168 gibt, die auch erhöht Traffic hatten, denn das, was du verschickst, muss ja bei den anderen ankommen, und wird da nochmal als Incoming Traffic gezählt.

2. Wäre sehr interessant, ob es bestimmte IPs sind, oder wirklich ALLE IPs im 168er

3. Wäre sehr interessant, VON welchem Port aus du die Packete verschickst, und AN welchen Port du sie sendest.

4. Ist diesem Port vielleicht ein Prozess zugewiesen ??

Fragen über Fragen, ich denke, wir sollten mal wieder aufs eigentliche Problem zurückkehren, diese Diskussion, die ihr hier schon seit fast 2 Seiten führt, bringt dem Topic Starter vermutlich herzlich wenig.

THX

[/root]

Sieht aus wie ein getarnter Wurm...

[captaincrunch]

Sieht aus wie ein getarnter Wurm...

OK ... welcher ? Hast du weiterführende Links dazu ?

[Anonymous]

hab zwar keine ahnung was es gewesen sein könnte, würde auch auf edonkey/game-server tippen, allerdings würd ich mich mal um die ip's kümmern an die das ganze geschickt wurde und denjenigen anzeigen oder soetwas, sry k.a.
allerdings, wieso wurde dieser post nicht weiter diskutiert?!
is doch interessant, oder ? :?:

naja, mein beileid..600gb oh meine güte...
crCrs

[asn]

Also einer meiner Server ist in 217.160.168.0 und hat keine auffälligen LOG-Einträge, nur die üblichen script-Kiddys.

Alex

[demonlord]

Das hab ichs chon gemacht und in den Logs ist eindeutig zu erkennen (also das was ich bisher geesen habe) dass die Kiste gescannt wurde. Und das mit dem Traffic aufzeichnen funktioniert irgendwie nicht denn das ntop gibt mir nichts aus :(

installier doch mal darkstat (habe das schon lange am testen und lüppt prima ;))

http://members.optushome.com.au/emikulic/net/darkstat/

"back to the roots"

Danke!

Das tool kannte ich noch nicht - kompiliert, installier, sabber.
Danke nochmal!

[Anonymous]

hab auch im 168er meinen Server, nichts annormales erkennbar.

Hab immernoch fast den selben Traffic wie am Anfang.

--LaSepp

[chris2000]

Gameserver (was zur Zeit ja Selbstmord ist)

Warum? Ich betreibe zwar keinen Gameserver, würde mich aber trotzdem interessieren.

Gruß,
Christian

[fuse]

naja es kann ja auch sein das du ne mechtig fette ddos beckommen hast so wie ich letztes monat ich hatte noch glück das es aufgeört hat weill ich ihn kannte :oops: aber gegebn sowas kann man ja ncihts machen oda das dich ne sogenante FXP crew gehackt hat und dann über dich Vid's gezogen ahben aber das müsstest ja über die logs sehen

[rǃppz]

Jaja Fuse ddos gelle :)

[m-dreamer]

und wie ist es denn mittlerweile ausgegangen? mussten die 2800 EURO bezahlt werden? oder wurden diejenigen die die daten im subnetz erhalten haben, zur anzeige gebracht? würde mich interessieren

[gamecrash]

Wie kommt Ihr auf die Idee, dass die Empfänger angezeigt werden sollten/könnten? Wenn, dann umgekehrt - er hat denen ja ungefragt eine Menge Traffic beschert...