Rooty und angebliche DOS Attacks

[linuxdepp]

Heute nacht wurde mein Rooty gesperrt. Man konnte mir natürlich nichts Genaueres sagen und erst nach 2 maligem Anruf (teure Hotline) wurde der Server im Rescue-Modus wieder hochgefahren.
Nach durchforsten aller Logs ergeben sich keine Besonderheiten (auch ein Backup-Archiv mit logs, dass kurz nach der Abschaltung erstellt wurde bzw. ein anderes in der Nacht davor).
Es ist Debian 3 installiert, keine Besonderen Dienste (FTP, Postfix mit SMTP-Auth, Apache, Apache-SSL, SSH).
Das einzige was mir aufgefallen ist sind folgende Einträge:

Daemon.log

Code: Select all

Apr  2 21:28:23 p15139xxx identd[28399]: started
Apr  2 22:12:13 p15139xxx xinetd[29170]: warning: can't get client address: Transport endpoint is not connected
Apr  2 22:12:13 p15139xxx identd[29170]: started
Apr  2 22:54:26 p15139xxx xinetd[23110]: Deactivating service ftp due to excessive incoming connections.  Restarting in 10 seconds.
Apr  2 22:54:36 p15139xxx xinetd[23110]: Activating service ftp
Apr  3 00:01:36 p15139xxx xinetd[30628]: warning: can't get client address: Transport endpoint is not connected

Dazu sei gesagt dass die Domain eine sehr spezielle Domain ist, die evtl. DOS-Attacken etc. provoziert. Die Domain ist zum Zeitpunkt der Sperrung erst seit ca. 36 Stunden auf den Server gelegt gewesen.

Ich habe um 22:54 nicht auf den Server zugegriffen, nicht per FTP, es fand auch keinerlei Ã?bertragung von Dateien statt, wie xferlog ausweist.
Wie kann das sein ? Es arbeiten nur ca. 5 User auf dem Server mit FTP.

[floschi]

Und welche Antwort erwartest du dir?

Sofern dein Provider dir sagt, dass du geDOSt wurdest, wird er wohl recht haben. Es muss nix in den Logs sein... ganz simpel kann man per PING agieren, das wird sowieso nirgends aufgezeichnet.

Am Switch und am Monitoring erkennt man soetwas schon, da die Netzlast bzw. die Erreichbarkeit Indikatoren sind.

[linuxdepp]

Nein der Provider sagt die DOS wäre von mir ausgegangen - da Puretec tausend Millionen Jahre für eine Antwort braucht werde ich wohl erst einmal abwarten müssen.
Dachte nur, dass die Log-Einträge irgendwas damit zu tun haben könnten und vielleicht schon jemand ähnliche Erfahrungen gemacht hat. Fragen kostet ja nix (bei der Hotline eben 5 Euro).
Zudem kann ich mir das "Transport endpoint is not connected" nicht so recht erklären.

Zudem wüsste ich gern, ob die einen Server auch vom Netz nehmen, wenn eine DOS von außen auf den Server geht. (ist ja auch Netzbelastung)

[floschi]

Aus deinem ersten Posting ging nicht hervor, dass _dein_ Server der Verursacher war - deshalb habe ich unterstellt, du wärst das Opfer.

[powie]

hey das selbe habe ich mit denen auch durch. Mir wurde die Kiste auch wegen einer angeblichen ausgehenden DOS Attacke abgeschalten.
Nacht tieferen Gründen und erklärungen fragend konnte man mir weder irgendwelche LOG-Files vorlegen, noch genauere Hintergründe sagen was genau los war, noch konnte man irgend etwas anderes erklären. Nach hartnäckigen Fragen wieso man dann den Server sperrt wenn man nicht mal sauber Nachweise vorlegen kann war der Mitarbeiter dann leicht am Axelzucken :-D . Irgendwann kam dann der Port 48110 ins Gespräch und mir trat das Grinsen ins Gesicht. Damit frage ich mit nem Webspec per PHP meinen UT Server ab , der halt in einem andern RZ steht.....

[outofbound]

Hi Jungs,

euch ist schon klar, dass "Floods" in diesem Sinne meist direkt von der Hardware
erkannt werden, an denen eure Kiste hängt, und diese dann "automatisch" dicht machen.
Es gibt diverse Möglichkeiten, solche DOS- Attacken zu erkennen in diesen Systemen.
Ich denke einfach mal, dass der Normale Supporter sowas überhaupt nicht mitbekommt,
sondern das direkt von den entsprechenden SysAdmins/RZ- Mitarbeitern gehandlet wird.

Dementsprechend musst ihr euch einfach freundlich aber bestimmt an die richtige Stelle
"durchdiskutieren", dann klappt das auch.

Ich hatte solche Fälle auch schon, einmal ein Amok laufendes Skript meinerseits, beim anderen mal hat sich einer beim Testen seines Skripts in der IP vertippt und meine erwischt.

Gruss,

Out

[linuxdepp]

*argh* heute gleiches Szenario, trotz diverser Wächter, die zuletzt aber allesamt im grünen Bereich waren. Server wieder vom Netz getrennt. Ob es nun das erreichen des Traffic Limits war oder was Sache ist, teilt mir niemand mit.
Auf Faxe und Mails reagiert echt kein Mensch von denen. Die wissen wohl genau, warum die ihre Hotline so teuer machen. So ein Mist. Und die Kostenkontrolle im 1&1 Menü hängt mal wieder 2 Tage hinterher.

:roll:

Dass mir kein Mensch auch wenixtens Mal mitteilt, ob der Traffic Aus- oder Eingehend und welcher Art der Traffic war. Kein Mensch hat mir zurückgeschrieben.

[chris76]

Was für eine Hilfe erwartest du nun von uns?

[linuxdepp]

diesmal nix :lol: