Server wird dauernd von 1 IP gescannt, was tun?

[spitzmaus]

Seit heute morgen kurz vor 7 Uhr sucht auf meinem Server dauernd jemand mit immer der gleichen IP nach verschiedenen Windows Dateien (explorer.exe, cmd.exe, passwort.exe, word.exe, ... ). Diese dauernden Suchanfragen fressen auch ordentlich Traffic (bisher fast 1 GB).

Was soll ich dagegen am besten unternehmen? Wenn ich die IP auf meinem Server sperre bringt das Trafficmäßig nichts, da der Traffic direkt am Switch gemessen wird.
Wenn ich jetzt bei 1und1 anrufe, könnten die dann die betreffenden IP direkt auf dem Switch sperren? Oder haben die nur die Möglichkeit den Server komplett vom Netz zu nehmen?

[kahler]

Am besten, du setzt dich so schnell wie Möglich mit dem entsprechenden Provider bzw. Netblockowner in Verbindung, das der nachschaut, was sein Kunde denn da treibt. Ich glaube kaum, dass man am 1 und 1 Switch einzelne IP's sperren kann, da es (soweit ich weiß) ein Level 2 Switch ist...

...Sicherlich kann man auch rechtliche Schritte gegen den Betreffenden einleiten, aber dazu darf und will ich mich nicht äußern. Da kann dir nur dein (oder besser noch ein spezialisierter) Anwalt weiterhelfen.

[jtb]

guck mal, wem die IP gehört und wende dich an den Provider!

[Anonymous]

Das wird ein Virus oder Wurm sein, von dem der Besitzer selber nichts weiss.

Windowsserver im Netz, *schuettel....

Karlo

[jtb]

Das wird ein Virus oder Wurm sein, von dem der Besitzer selber nichts weiss.

Windowsserver im Netz, *schuettel....

wohl kaum immer von derselben IP und dann auch soviel Traffic auf einen Host..

[spitzmaus]

Mist, die IP gehört supercable.as.
AS ist die Länderdomain der Amerikanisch Samoa. Da werde ich mit einer Beschwerde garantiert nichts erreichen.

Normalerweise würde ich jetzt die entsprechende IP auf dem Switch bzw. in der Firewall blocken, und es wäre Ruhe. Zumindest läuft das bei uns in der Firma so, wo ich als Win2K Server Admin tätig bin. Schade daß es bei 1und1 nicht geht.


Wenn der nicht aufhört, werde ich den Server wohl von 1und1 für 1-2 Stunden abschalten lassen und hoffen daß danach dann Ruhe ist.

[jtb]

mach doch ein iptables-Eintrag für diese IP.. Damit verhinderst du wenigstens, dass Traffic durch Antworten entsteht..

[spitzmaus]

mach doch ein iptables-Eintrag für diese IP.. Damit verhinderst du wenigstens, dass Traffic durch Antworten entsteht..

schon gemacht.

[captaincrunch]

Du hast es da mit einem wurmbefallenen Windoof-Rechner zu tun. Außer, die IP direkt zu blocken, und eine Mail an abuse@provider-des-menschen.tld zu schreiben kannst du nichts machen.

Warum macht euch sowas eigentlich solche Angst ? Ihr habt einen Linux-Server gemietet ...

[Anonymous]

Ich glaube die Angst gründet viel mehr in dem verschwendeten Traffic.

[captaincrunch]

Um damit massig Traffic zu erzeugen, muss dein Server aber mal verdammt viele 404er rausjagen ... das HTML-GET ist ja nicht wirklich groß ...

[jtb]

tja, Selbstjustiz ist ja nicht erlaubt.. Ansonsten könnten 10 Rootserver schnell den anderen lahmlegen

Gib doch mal die IP :roll:

[spitzmaus]

Ich hab jetzt mal bei 1und1 angerufen, und erreicht daß die den Server kurzzeitig abgeschaltet haben. Um ca. 14.20 Uhr wird er wieder online sein, also mal sehen ob der Mist dann aufgehört hat.


PS: die IP Adresse von dem Typen werde ich hier im Forum nicht veröffentlichen.