RootForum Community

Hallo zusammen!

Mir ist aufgefallen dass ich am Tag 10 GB Traffic verbrauche. Ich weiss jetzt dass es sich um ein Botnet handelt welches versucht meinen Server zu joinen (hatte ne Zeitlang n ircd laufen aber nur n kleines Netz). Und nur die Anfragen der Clients macht 10 GB/Tag aus. Wie kann ich das abstellen? Habe es mit iptables regeln versucht, aber so ganz abstellen kann ich das irgendwie nich.

Logfile : tcpdump -i eth0 not port ssh

11:00:30.329478 IP 218.18.70.12.dbm > pxxxxxxxxx.pureserver.info.6667: S 3651193157:3651193157(0) win 64240 <mss 1452,nop,nop,sackOK>
11:00:30.333862 IP 222.95.27.59.isns > pxxxxxxxxx.pureserver.info.6667: S 4280403408:4280403408(0) win 65044 <mss 1414,nop,nop,sackOK>
11:00:30.335186 IP 222.183.139.31.casanswmgmt > pxxxxxxxxx.pureserver.info.6667: S 337601907:337601907(0) win 65535 <mss 1360,nop,nop,sackOK>
11:00:30.352845 IP 218.4.253.2.4051 > pxxxxxxxxx.pureserver.info.6667: S 3014930036:3014930036(0) win 16384 <mss 1440,nop,nop,sackOK>
11:00:30.355015 IP 61.53.135.132.adobeserver-2 > pxxxxxxxxx.pureserver.info.6667: S 2747473918:2747473918(0) win 16384 <mss 1460,nop,nop,sackOK>
11:00:30.361104 IP 222.141.69.49.3963 > pxxxxxxxxx.pureserver.info.6667: S 237786687:237786687(0) win 16384 <mss 1460,nop,nop,sackOK>
11:00:30.373969 IP 222.94.233.29.sps-tunnel > pxxxxxxxxx.pureserver.info.6667: S 2578580902:2578580902(0) win 65340 <mss 1452,nop,nop,sackOK>
11:00:30.377363 IP 218.239.189.150.re101 > pxxxxxxxxx.pureserver.info.6667: S 2676243724:2676243724(0) win 16384 <mss 1460,nop,nop,sackOK>
11:00:30.378397 IP 218.239.189.150.esbroker > pxxxxxxxxx.pureserver.info.6667: S 2676190314:2676190314(0) win 16384 <mss 1460,nop,nop,sackOK>
11:00:30.382093 IP 221.224.73.191.stun-p2 > pxxxxxxxxx.pureserver.info.6667: S 3981241491:3981241491(0) win 14600 <mss 1414,nop,nop,sackOK>
11:00:30.387461 IP 221.224.112.141.delta-mcp > pxxxxxxxxx.pureserver.info.6667: S 2143609210:2143609210(0) win 16384 <mss 1432,nop,nop,sackOK>
11:00:30.388808 IP cvg-65-27-196-121.cinci.rr.com.31963 > pxxxxxxxxx.pureserver.info.6667: S 3543175183:3543175183(0) win 25200 <mss 1460,nop,nop,sackOK>
11:00:30.390856 IP 218.15.2.66.cops-tls > pxxxxxxxxx.pureserver.info.6667: S 215022379:215022379(0) win 65044 >

Wäre cool und nett (hab nur 75 GB Traffic pro Monat frei) wenn jemand hier schnell Rat weiß. Danke schonmal im Vorraus... ;-)

Ist ziemlich egal, was du auf deinem Server machst - das kann nur dein Provider am Switch blockieren, denn jede Anfrage, auch wenn sie mit iptables o.ä. letztendlich geblockt wird, passiert diesen Switch und wird somit gezählt.

Schreib ne Mail an den Support, und lass deinen Server schnellsten abstellen. Ansonsten kannst du nur hoffen, dass 1und1 mitm Abstellen schneller ist, als das Ã?berschreiten der 75 GB.

Selbst wenn du sämtliche Anfragen auf Port 6667 blocken würdest, sie würden erst an deinem Computer geblockt werden, und nicht am Switch, weswegen der Traffic weiterhin hezählt wird. (eigentlich hat das Olfi ja auch schon geschrieben, egal)

am einfachsten wäre es wohl den entsprechenden hostname aus dem DNS zu löschen, dann kommen die Anfragen gar nicht erst bei dir an