Versuchter DOS Angriff?

Rund um die Sicherheit des Systems und die Applikationen
mmj
Posts: 10
Joined: 2003-05-29 19:49

Versuchter DOS Angriff?

Post by mmj » 2003-08-10 14:19

Hallo!

Das hab ich in meinen Logs gefunden:
WARN
Aug 9 12:52:05 mmj xinetd[28643]: Deactivating service ftp due to excessive incoming connections. Restarting in 10 seconds.
Aug 9 12:52:15 mmj xinetd[28643]: Activating service ftp
Aug 9 12:52:16 mmj xinetd[28643]: Deactivating service ftp due to excessive incoming connections. Restarting in 10 seconds.
Aug 9 12:52:26 mmj xinetd[28643]: Activating service ftp
Aug 9 12:52:26 mmj xinetd[28643]: Deactivating service ftp due to excessive incoming connections. Restarting in 10 seconds.
Aug 9 12:52:36 mmj xinetd[28643]: Activating service ftp
Aug 9 12:52:37 mmj xinetd[28643]: Deactivating service ftp due to excessive incoming connections. Restarting in 10 seconds.
Aug 9 12:52:47 mmj xinetd[28643]: Activating service ftp
Aug 9 12:52:48 mmj xinetd[28643]: Deactivating service ftp due to excessive incoming connections. Restarting in 10 seconds.
Aug 9 12:52:58 mmj xinetd[28643]: Activating service ftp
Aug 9 12:58:09 mmj xinetd[28643]: Service ftp: server exit with 0 running servers

xinetd:
03/8/9@12:50:10: START: ftp pid=30798 from=80.128.213.52
03/8/9@12:50:10: EXIT: ftp status=1 pid=30798 duration=0(sec)
03/8/9@12:50:18: START: pop3 pid=30802 from=80.128.213.52
03/8/9@12:50:18: EXIT: pop3 status=0 pid=30802 duration=0(sec)
03/8/9@12:51:54: START: ftp pid=30817 from=80.128.213.52
03/8/9@12:51:55: START: ftp pid=30819 from=80.128.213.52
03/8/9@12:51:56: EXIT: ftp status=1 pid=30819 duration=1(sec)
03/8/9@12:51:56: START: ftp pid=30821 from=80.128.213.52
03/8/9@12:51:57: EXIT: ftp status=1 pid=30821 duration=1(sec)
03/8/9@12:51:58: START: ftp pid=30825 from=80.128.213.52
03/8/9@12:51:59: START: ftp pid=30827 from=80.128.213.52
03/8/9@12:51:59: EXIT: ftp status=1 pid=30825 duration=1(sec)
03/8/9@12:51:59: START: ftp pid=30829 from=80.128.213.52
03/8/9@12:51:59: START: ftp pid=30831 from=80.128.213.52
03/8/9@12:51:59: EXIT: ftp status=1 pid=30827 duration=0(sec)
03/8/9@12:52:00: START: ftp pid=30837 from=80.128.213.52
03/8/9@12:52:00: EXIT: ftp status=1 pid=30829 duration=1(sec)
03/8/9@12:52:00: EXIT: ftp status=1 pid=30831 duration=1(sec)
03/8/9@12:52:00: START: ftp pid=30839 from=80.128.213.52
03/8/9@12:52:00: START: ftp pid=30841 from=80.128.213.52
03/8/9@12:52:01: EXIT: ftp status=1 pid=30837 duration=1(sec)
03/8/9@12:52:01: START: ftp pid=30843 from=80.128.213.52
03/8/9@12:52:01: EXIT: ftp status=1 pid=30839 duration=1(sec)
03/8/9@12:52:01: START: ftp pid=30845 from=80.128.213.52
03/8/9@12:52:01: EXIT: ftp status=1 pid=30841 duration=1(sec)
03/8/9@12:52:01: START: ftp pid=30847 from=80.128.213.52
03/8/9@12:52:01: EXIT: ftp status=1 pid=30843 duration=0(sec)
03/8/9@12:52:01: START: ftp pid=30849 from=80.128.213.52
03/8/9@12:52:02: START: ftp pid=30851 from=80.128.213.52
03/8/9@12:52:02: EXIT: ftp status=1 pid=30845 duration=1(sec)
03/8/9@12:52:02: START: ftp pid=30853 from=80.128.213.52
03/8/9@12:52:02: EXIT: ftp status=1 pid=30847 duration=1(sec)
03/8/9@12:52:02: EXIT: ftp status=1 pid=30849 duration=1(sec)
03/8/9@12:52:02: START: ftp pid=30855 from=80.128.213.52
03/8/9@12:52:02: EXIT: ftp status=1 pid=30851 duration=0(sec)
03/8/9@12:52:02: START: ftp pid=30857 from=80.128.213.52
03/8/9@12:52:02: START: ftp pid=30859 from=80.128.213.52
03/8/9@12:52:03: EXIT: ftp status=1 pid=30853 duration=1(sec)
03/8/9@12:52:03: START: ftp pid=30861 from=80.128.213.52
03/8/9@12:52:03: START: ftp pid=30863 from=80.128.213.52
03/8/9@12:52:03: EXIT: ftp status=1 pid=30855 duration=1(sec)
03/8/9@12:52:03: START: ftp pid=30865 from=80.128.213.52
03/8/9@12:52:03: EXIT: ftp status=1 pid=30857 duration=1(sec)
03/8/9@12:52:03: EXIT: ftp status=1 pid=30859 duration=1(sec)
03/8/9@12:52:03: EXIT: ftp status=1 pid=30861 duration=0(sec)
03/8/9@12:52:03: START: ftp pid=30867 from=80.128.213.52
03/8/9@12:52:03: START: ftp pid=30869 from=80.128.213.52
03/8/9@12:52:04: EXIT: ftp status=1 pid=30863 duration=1(sec)
03/8/9@12:52:04: START: ftp pid=30871 from=80.128.213.52
03/8/9@12:52:04: START: ftp pid=30873 from=80.128.213.52
03/8/9@12:52:04: EXIT: ftp status=1 pid=30865 duration=1(sec)
03/8/9@12:52:04: START: ftp pid=30875 from=80.128.213.52
03/8/9@12:52:04: START: ftp pid=30877 from=80.128.213.52
03/8/9@12:52:04: EXIT: ftp status=1 pid=30867 duration=1(sec)
03/8/9@12:52:04: EXIT: ftp status=1 pid=30869 duration=1(sec)
03/8/9@12:52:04: START: ftp pid=30879 from=80.128.213.52
03/8/9@12:52:04: EXIT: ftp status=1 pid=30871 duration=0(sec)
03/8/9@12:52:04: EXIT: ftp status=1 pid=30873 duration=0(sec)
03/8/9@12:52:04: EXIT: ftp status=1 pid=30875 duration=0(sec)
03/8/9@12:52:05: START: ftp pid=30881 from=80.128.213.52
03/8/9@12:52:05: START: ftp pid=30883 from=80.128.213.52
03/8/9@12:52:05: START: ftp pid=30885 from=80.128.213.52
03/8/9@12:52:05: EXIT: ftp status=1 pid=30877 duration=1(sec)
03/8/9@12:52:05: START: ftp pid=30887 from=80.128.213.52
03/8/9@12:52:05: START: ftp pid=30889 from=80.128.213.52
03/8/9@12:52:05: EXIT: ftp status=1 pid=30879 duration=1(sec)
03/8/9@12:52:05: FAIL: ftp connections per second from=80.128.213.52
03/8/9@12:52:05: EXIT: ftp status=1 pid=30881 duration=0(sec)
03/8/9@12:52:05: EXIT: ftp status=1 pid=30883 duration=0(sec)
03/8/9@12:52:05: EXIT: ftp status=1 pid=30885 duration=0(sec)
03/8/9@12:52:05: EXIT: ftp status=1 pid=30887 duration=0(sec)
03/8/9@12:52:05: EXIT: ftp status=1 pid=30889 duration=0(sec)
03/8/9@12:52:15: START: ftp pid=30891 from=80.128.213.52
03/8/9@12:52:15: START: ftp pid=30893 from=80.128.213.52
03/8/9@12:52:15: START: ftp pid=30895 from=80.128.213.52
03/8/9@12:52:15: START: ftp pid=30897 from=80.128.213.52
03/8/9@12:52:15: START: ftp pid=30899 from=80.128.213.52
03/8/9@12:52:15: START: ftp pid=30901 from=80.128.213.52
03/8/9@12:52:15: START: ftp pid=30903 from=80.128.213.52
03/8/9@12:52:15: START: ftp pid=30905 from=80.128.213.52
03/8/9@12:52:15: EXIT: ftp status=1 pid=30891 duration=0(sec)
03/8/9@12:52:15: EXIT: ftp status=1 pid=30893 duration=0(sec)
03/8/9@12:52:15: EXIT: ftp status=1 pid=30895 duration=0(sec)
03/8/9@12:52:15: EXIT: ftp status=1 pid=30897 duration=0(sec)
03/8/9@12:52:16: START: ftp pid=30907 from=80.128.213.52
03/8/9@12:52:16: START: ftp pid=30909 from=80.128.213.52
03/8/9@12:52:16: EXIT: ftp status=1 pid=30899 duration=1(sec)
03/8/9@12:52:16: EXIT: ftp status=1 pid=30903 duration=1(sec)
03/8/9@12:52:16: EXIT: ftp status=1 pid=30901 duration=1(sec)
03/8/9@12:52:16: EXIT: ftp status=1 pid=30905 duration=1(sec)
03/8/9@12:52:16: FAIL: ftp connections per second from=80.128.213.52
03/8/9@12:52:16: EXIT: ftp status=1 pid=30907 duration=0(sec)
03/8/9@12:52:16: EXIT: ftp status=1 pid=30909 duration=0(sec)
03/8/9@12:52:26: START: ftp pid=30911 from=80.128.213.52
03/8/9@12:52:26: START: ftp pid=30913 from=80.128.213.52
03/8/9@12:52:26: START: ftp pid=30915 from=80.128.213.52
03/8/9@12:52:26: START: ftp pid=30917 from=80.128.213.52
03/8/9@12:52:26: START: ftp pid=30919 from=80.128.213.52
03/8/9@12:52:26: START: ftp pid=30921 from=80.128.213.52
03/8/9@12:52:26: EXIT: ftp status=1 pid=30911 duration=0(sec)
03/8/9@12:52:26: EXIT: ftp status=1 pid=30913 duration=0(sec)
03/8/9@12:52:26: EXIT: ftp status=1 pid=30915 duration=0(sec)
03/8/9@12:52:26: START: ftp pid=30923 from=80.128.213.52
03/8/9@12:52:26: START: ftp pid=30925 from=80.128.213.52
03/8/9@12:52:26: START: ftp pid=30927 from=80.128.213.52
03/8/9@12:52:26: EXIT: ftp status=1 pid=30917 duration=0(sec)
03/8/9@12:52:26: EXIT: ftp status=1 pid=30919 duration=0(sec)
03/8/9@12:52:26: EXIT: ftp status=1 pid=30921 duration=0(sec)
03/8/9@12:52:26: START: ftp pid=30929 from=80.128.213.52
03/8/9@12:52:26: FAIL: ftp connections per second from=80.128.213.52
03/8/9@12:52:26: EXIT: ftp status=1 pid=30925 duration=0(sec)
03/8/9@12:52:26: EXIT: ftp status=1 pid=30923 duration=0(sec)
03/8/9@12:52:26: EXIT: ftp status=1 pid=30927 duration=0(sec)
03/8/9@12:52:26: EXIT: ftp status=1 pid=30929 duration=0(sec)
03/8/9@12:52:37: START: ftp pid=30931 from=80.128.213.52
03/8/9@12:52:37: START: ftp pid=30933 from=80.128.213.52
03/8/9@12:52:37: START: ftp pid=30935 from=80.128.213.52
03/8/9@12:52:37: START: ftp pid=30937 from=80.128.213.52
03/8/9@12:52:37: START: ftp pid=30939 from=80.128.213.52
03/8/9@12:52:37: START: ftp pid=30941 from=80.128.213.52
03/8/9@12:52:37: START: ftp pid=30943 from=80.128.213.52
03/8/9@12:52:37: START: ftp pid=30945 from=80.128.213.52
03/8/9@12:52:37: EXIT: ftp status=1 pid=30933 duration=0(sec)
03/8/9@12:52:37: EXIT: ftp status=1 pid=30935 duration=0(sec)
03/8/9@12:52:37: EXIT: ftp status=1 pid=30937 duration=0(sec)
03/8/9@12:52:37: EXIT: ftp status=1 pid=30939 duration=0(sec)
03/8/9@12:52:37: EXIT: ftp status=1 pid=30941 duration=0(sec)
03/8/9@12:52:37: START: ftp pid=30947 from=80.128.213.52
03/8/9@12:52:37: START: ftp pid=30949 from=80.128.213.52
03/8/9@12:52:37: FAIL: ftp connections per second from=80.128.213.52
03/8/9@12:52:37: EXIT: ftp status=1 pid=30931 duration=0(sec)
03/8/9@12:52:37: EXIT: ftp status=1 pid=30943 duration=0(sec)
03/8/9@12:52:37: EXIT: ftp status=1 pid=30945 duration=0(sec)
03/8/9@12:52:37: EXIT: ftp status=1 pid=30947 duration=0(sec)
03/8/9@12:52:37: EXIT: ftp status=1 pid=30949 duration=0(sec)
03/8/9@12:52:47: START: ftp pid=30951 from=80.128.213.52
03/8/9@12:52:47: START: ftp pid=30953 from=80.128.213.52
03/8/9@12:52:47: START: ftp pid=30955 from=80.128.213.52
03/8/9@12:52:47: START: ftp pid=30957 from=80.128.213.52
03/8/9@12:52:48: START: ftp pid=30959 from=80.128.213.52
03/8/9@12:52:48: START: ftp pid=30961 from=80.128.213.52
03/8/9@12:52:48: START: ftp pid=30963 from=80.128.213.52
03/8/9@12:52:48: START: ftp pid=30965 from=80.128.213.52
03/8/9@12:52:48: EXIT: ftp status=1 pid=30951 duration=1(sec)
03/8/9@12:52:48: EXIT: ftp status=1 pid=30955 duration=1(sec)
03/8/9@12:52:48: EXIT: ftp status=1 pid=30957 duration=1(sec)
03/8/9@12:52:48: EXIT: ftp status=1 pid=30953 duration=1(sec)
03/8/9@12:52:48: EXIT: ftp status=1 pid=30961 duration=0(sec)
03/8/9@12:52:48: EXIT: ftp status=1 pid=30959 duration=0(sec)
03/8/9@12:52:48: EXIT: ftp status=1 pid=30963 duration=0(sec)
03/8/9@12:52:48: START: ftp pid=30967 from=80.128.213.52
03/8/9@12:52:48: START: ftp pid=30969 from=80.128.213.52
03/8/9@12:52:48: EXIT: ftp status=1 pid=30965 duration=0(sec)
03/8/9@12:52:48: FAIL: ftp connections per second from=80.128.213.52
03/8/9@12:52:48: EXIT: ftp status=1 pid=30967 duration=0(sec)
03/8/9@12:52:48: EXIT: ftp status=1 pid=30969 duration=0(sec)
03/8/9@12:52:59: START: ftp pid=30971 from=80.128.213.52
03/8/9@12:52:59: START: ftp pid=30973 from=80.128.213.52
03/8/9@12:52:59: START: ftp pid=30975 from=80.128.213.52
03/8/9@12:52:59: START: ftp pid=30977 from=80.128.213.52
03/8/9@12:52:59: START: ftp pid=30979 from=80.128.213.52
03/8/9@12:53:00: EXIT: ftp status=1 pid=30971 duration=1(sec)
03/8/9@12:53:00: EXIT: ftp status=1 pid=30973 duration=1(sec)
03/8/9@12:53:00: EXIT: ftp status=1 pid=30977 duration=1(sec)
03/8/9@12:53:00: EXIT: ftp status=1 pid=30975 duration=1(sec)
03/8/9@12:53:00: EXIT: ftp status=1 pid=30979 duration=1(sec)
03/8/9@12:53:00: START: ftp pid=30985 from=80.128.213.52
03/8/9@12:53:00: START: ftp pid=30987 from=80.128.213.52
03/8/9@12:53:00: START: ftp pid=30989 from=80.128.213.52
03/8/9@12:53:00: START: ftp pid=30991 from=80.128.213.52
03/8/9@12:53:00: START: ftp pid=30993 from=80.128.213.52
03/8/9@12:53:01: EXIT: ftp status=1 pid=30985 duration=1(sec)
03/8/9@12:53:01: EXIT: ftp status=1 pid=30987 duration=1(sec)
03/8/9@12:53:01: EXIT: ftp status=1 pid=30991 duration=1(sec)
03/8/9@12:53:01: EXIT: ftp status=1 pid=30989 duration=1(sec)
03/8/9@12:53:01: EXIT: ftp status=1 pid=30993 duration=1(sec)
03/8/9@12:53:01: START: ftp pid=30995 from=80.128.213.52
03/8/9@12:53:01: START: ftp pid=30997 from=80.128.213.52
03/8/9@12:53:01: START: ftp pid=30999 from=80.128.213.52
03/8/9@12:53:01: START: ftp pid=31001 from=80.128.213.52
03/8/9@12:53:02: START: ftp pid=31003 from=80.128.213.52
03/8/9@12:53:02: EXIT: ftp status=1 pid=30997 duration=1(sec)
03/8/9@12:53:02: EXIT: ftp status=1 pid=30995 duration=1(sec)
03/8/9@12:53:02: EXIT: ftp status=1 pid=31001 duration=1(sec)
03/8/9@12:53:02: EXIT: ftp status=1 pid=30999 duration=1(sec)
03/8/9@12:53:02: EXIT: ftp status=1 pid=31003 duration=0(sec)
03/8/9@12:53:03: START: ftp pid=31005 from=80.128.213.52
03/8/9@12:53:03: START: ftp pid=31007 from=80.128.213.52
03/8/9@12:53:03: START: ftp pid=31009 from=80.128.213.52
03/8/9@12:53:03: START: ftp pid=31011 from=80.128.213.52
03/8/9@12:53:03: EXIT: ftp status=1 pid=31005 duration=0(sec)
03/8/9@12:53:03: EXIT: ftp status=1 pid=31007 duration=0(sec)
03/8/9@12:53:03: EXIT: ftp status=1 pid=31009 duration=0(sec)
03/8/9@12:53:03: EXIT: ftp status=1 pid=31011 duration=0(sec)
03/8/9@12:53:04: START: ftp pid=31013 from=80.128.213.52
03/8/9@12:53:04: START: ftp pid=31015 from=80.128.213.52
03/8/9@12:53:04: START: ftp pid=31017 from=80.128.213.52
03/8/9@12:53:04: START: ftp pid=31019 from=80.128.213.52
03/8/9@12:53:04: EXIT: ftp status=1 pid=31013 duration=0(sec)
03/8/9@12:53:04: EXIT: ftp status=1 pid=31015 duration=0(sec)
03/8/9@12:53:05: EXIT: ftp status=1 pid=31019 duration=1(sec)
03/8/9@12:53:05: EXIT: ftp status=1 pid=31017 duration=1(sec)
03/8/9@12:53:05: START: ftp pid=31021 from=80.128.213.52
03/8/9@12:53:05: START: ftp pid=31023 from=80.128.213.52
03/8/9@12:53:06: EXIT: ftp status=1 pid=31021 duration=1(sec)
03/8/9@12:53:06: EXIT: ftp status=1 pid=31023 duration=1(sec)
03/8/9@12:53:06: START: ftp pid=31025 from=80.128.213.52
03/8/9@12:53:07: EXIT: ftp status=1 pid=31025 duration=1(sec)
03/8/9@12:53:08: START: ftp pid=31027 from=80.128.213.52
03/8/9@12:53:08: EXIT: ftp status=1 pid=31027 duration=0(sec)
03/8/9@12:53:09: START: ftp pid=31029 from=80.128.213.52
03/8/9@12:53:09: START: ftp pid=31031 from=80.128.213.52
03/8/9@12:53:10: EXIT: ftp status=1 pid=31031 duration=1(sec)
03/8/9@12:53:10: START: ftp pid=31033 from=80.128.213.52
03/8/9@12:53:11: EXIT: ftp status=1 pid=31033 duration=1(sec)
03/8/9@12:53:12: START: ftp pid=31035 from=80.128.213.52
03/8/9@12:53:12: START: pop3 pid=31037 from=80.184.180.209
03/8/9@12:53:13: EXIT: ftp status=1 pid=31035 duration=1(sec)
03/8/9@12:53:13: START: ftp pid=31038 from=80.128.213.52
03/8/9@12:53:14: EXIT: ftp status=1 pid=31038 duration=1(sec)
03/8/9@12:53:14: START: ftp pid=31040 from=80.128.213.52
03/8/9@12:53:14: START: ftp pid=31042 from=80.128.213.52
03/8/9@12:53:15: EXIT: ftp status=1 pid=31040 duration=1(sec)
03/8/9@12:53:15: EXIT: ftp status=1 pid=31042 duration=1(sec)
03/8/9@12:53:15: START: ftp pid=31044 from=80.128.213.52
03/8/9@12:53:16: START: ftp pid=31046 from=80.128.213.52
03/8/9@12:53:16: EXIT: ftp status=1 pid=31044 duration=1(sec)
03/8/9@12:53:17: EXIT: ftp status=1 pid=31046 duration=1(sec)
03/8/9@12:53:17: START: ftp pid=31048 from=80.128.213.52
03/8/9@12:53:17: START: ftp pid=31050 from=80.128.213.52
03/8/9@12:53:18: EXIT: ftp status=1 pid=31048 duration=1(sec)
03/8/9@12:53:18: EXIT: ftp status=1 pid=31050 duration=1(sec)
03/8/9@12:53:18: START: ftp pid=31052 from=80.128.213.52
03/8/9@12:53:19: EXIT: ftp status=1 pid=31052 duration=1(sec)
03/8/9@12:53:20: START: ftp pid=31054 from=80.128.213.52
03/8/9@12:53:21: EXIT: ftp status=1 pid=31054 duration=1(sec)
03/8/9@12:53:21: START: ftp pid=31056 from=80.128.213.52
03/8/9@12:53:22: EXIT: ftp status=1 pid=31056 duration=1(sec)
03/8/9@12:53:23: START: ftp pid=31058 from=80.128.213.52
03/8/9@12:53:24: EXIT: ftp status=1 pid=31058 duration=1(sec)
03/8/9@12:53:39: EXIT: ftp status=1 pid=30817 duration=105(sec)
03/8/9@12:56:18: START: ftp pid=31091 from=80.128.213.52
03/8/9@12:56:18: EXIT: ftp status=1 pid=31091 duration=0(sec)
03/8/9@12:56:18: START: ftp pid=31093 from=80.128.213.52
03/8/9@12:56:19: EXIT: ftp status=1 pid=31093 duration=1(sec)
03/8/9@12:58:09: EXIT: ftp status=0 pid=31029 duration=300(sec)


Das war ein Versuchter DoS Angriff oder Bruteforce auf meinen FTP Server (wurde immer automatisch beendet ..) und der Angreifer hat nach 5 min erfolglos aufgegeben, ist meine Interpretation richtig?

Was soll man machen?

An die t-ip.net abuse Adresse schreiben? Bringt das was?

MfG

Malte

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Versuchter DOS Angriff?

Post by captaincrunch » 2003-08-10 14:24

Das war ein Versuchter DoS Angriff oder Bruteforce auf meinen FTP Server (wurde immer automatisch beendet ..) und der Angreifer hat nach 5 min erfolglos aufgegeben, ist meine Interpretation richtig?
Was genau derjenige vorhatte ist nicht ganz leicht zu beantworten. Wenn er bruteforcen wollte, hat er sich jedenfalls durch seine Vorgehensweise selbst geDOSt (dich damit natürlich auch). Sofern nichts passiert ist, kannst du zwar eine Mail an abuse@ schreiben, ob dort etwas passiert ist aber auch unklar. Sinnvoll wäre es allerdings, damit demjenigen wenigstens mal leicht auf dei Finger geklopft wird (besser, lieber dea ? ;) )
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

mmj
Posts: 10
Joined: 2003-05-29 19:49

Re: Versuchter DOS Angriff?

Post by mmj » 2003-08-10 14:26

Also für mich siehts so aus: Der wollte per FTP rein, hat versucht Passwort zu "raten" aber nich geschafft, mich hat er wegen dem automatischen Restart nicht wirklich gedost weil mein Server das wohl locker wegstecken konnte ;)

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Versuchter DOS Angriff?

Post by dodolin » 2003-08-10 14:57

Ein einzelner Dialup-Rechner wird wohl kaum jemals einen Rootserver mit 100 MBit/s Anbindung DoSen können... Ok, wenn man seinen xinetd halt so verkonfiguriert, dann schon... ;) Ich sag nur: Self-DoS.

mikespi
Posts: 95
Joined: 2002-12-28 17:47
Location: Muenchen

Re: Versuchter DOS Angriff?

Post by mikespi » 2003-08-10 15:57

dodolin wrote: Ok, wenn man seinen xinetd halt so verkonfiguriert,
Erklär doch bitte wie du das gemeint hast

Grüsse
Mike

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Versuchter DOS Angriff?

Post by dodolin » 2003-08-10 16:09

Aug 9 12:52:05 mmj xinetd[28643]: Deactivating service ftp due to excessive incoming connections. Restarting in 10 seconds.
Aug 9 12:52:15 mmj xinetd[28643]: Activating service ftp
Und das ganze in einer Endlosschleife.

xinetd hat da diverse Konfigoptionen, mit denen man das einstellen kann, wieviele Connections er pro Dienst maximal gleichzeitig zulässt, wie lange er den Dienst deaktiviert, wenn das Limit überschritten wurde usw.

Das sollte man halt entweder gar nicht einschalten oder auf Werte setzen, die "hoch genug" sind. Oftmals kann es auch sinniger sein, die Dienste direkt und ohne xinetd laufen zu lassen und ihnen solche Entscheidungen selbst zu überlassen. xinetd ist in diesem Szenario nur ein weiterer (in diesem Fall sogar sehr erfolgversprechender) Angriffspunkt für einen DoS, den man nicht unbedingt benötigt und abschalten könnte. Nicht immer, aber oft.

User avatar
nyxus
Posts: 626
Joined: 2002-09-13 08:41
Location: Lübeck

Re: Versuchter DOS Angriff?

Post by nyxus » 2003-08-10 17:08

dodolin wrote:xinetd ist in diesem Szenario nur ein weiterer (in diesem Fall sogar sehr erfolgversprechender) Angriffspunkt für einen DoS, den man nicht unbedingt benötigt und abschalten könnte. Nicht immer, aber oft.
gerade hier ist die Selbstdeaktivierung doch eine hervorragende Möglichkeit. Jedenfalls wenn man annimmt (tue ich einfach mal, mit dem sshd würde ich es eher nicht machen ;-) ), daß FTP nicht wirklich "unternehmenskritisch" ist. Ich würde aber die Dauer deutlich hochsetzen.

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Versuchter DOS Angriff?

Post by dodolin » 2003-08-10 17:16

wenn man annimmt (tue ich einfach mal, mit dem sshd würde ich es eher nicht machen ), daß FTP nicht wirklich "unternehmenskritisch" ist.
Ã?h, wenn du Kunden oder Kumpels auf dem Server hast, werden die sich bedanken. ;) Wenn man alleine ist, braucht man eh keinen FTP, IMHO.

alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

Re: Versuchter DOS Angriff?

Post by alexander newald » 2003-08-10 18:37

dodolin wrote:Ein einzelner Dialup-Rechner wird wohl kaum jemals einen Rootserver mit 100 MBit/s Anbindung DoSen können... Ok, wenn man seinen xinetd halt so verkonfiguriert, dann schon... ;) Ich sag nur: Self-DoS.
Gibt mir deine IP, und ich zeige dir dass doch ;-)

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Versuchter DOS Angriff?

Post by dodolin » 2003-08-10 22:20

Gibt mir deine IP, und ich zeige dir dass doch
Es gibt da so einen Button mit der Beschriftung "www", ich habe nichts zu verbergen. Du kannst dich gerne versuchen, aber wie gesagt, mit einem Dialup-Rechner (ISDN oder DSL), ein Rootserver mit seinerseits 100 MBit/s Anbindung gilt nicht. :)

User avatar
nyxus
Posts: 626
Joined: 2002-09-13 08:41
Location: Lübeck

Re: Versuchter DOS Angriff?

Post by nyxus » 2003-08-10 22:25

dodolin wrote:Ã?h, wenn du Kunden oder Kumpels auf dem Server hast, werden die sich bedanken. ;)
wofür brauchen die FTP? Um ihre Web-Ã?nderungen hochzuladen. Und das kann nun wirklich mal 'ne Stunde warten; zumindest wenn das Kumpels sind. Man muß das natürlich miteinander kommunizieren.