Hallo zusammen,
1&1 hat in der Nacht vom 07.09.2005 auf den 08.09.2005 meinen Server vom Netz genommen, weil angeblich eine Flut an UDP-Anfragen über ihn gelaufen sei. Nachdem ich die Unterlassungserklärung unterschrieben habe und die Jungs sich 24 Stunden Zeit gelassen haben, ist mein Server wieder erreichbar. An der Rescue-Konsole sichere ich gerade alle wichtigen Daten und werde danach den Server mit Suse Linux 9.1 initialisieren lassen. Bis jetzt war noch Suse 7.2 drauf (unverantwortlich, ich weiss).
Nun zu meiner eigentlichen Frage:
Gibt es eine Chance anhand der Logfiles etwas über die UDP-Flut heraus zu bekommen? Wo müsste ich da ansetzen?
Gruss, Tobias
Server wegen UDP-Flut deaktiviert
-
lord_pinhead
- Posts: 774
- Joined: 2004-04-26 15:57
Re: Server wegen UDP-Flut deaktiviert
1) Neuinstallieren
2) Suchfunktion nutzen, es gab schon massenhaft Tipps wie Einbrecher auf seinen Server finden kann, ob es sich lohnt wenn man weiß das es einer ausn Ausland war, ist die zweite Frage.
Frag 1und1 mal welche Server beroffen waren (edit: wenn du keine Logs mehr hast), wenn es deutsche Server waren könntest du sogar Glück haben und deutsche Cracker/Scriptkiddies waren am Werk. Ansonsten wie immer /tmp suchen, alle Dateien die in den letzten Tagen erstellt wurden etc.
2) Suchfunktion nutzen, es gab schon massenhaft Tipps wie Einbrecher auf seinen Server finden kann, ob es sich lohnt wenn man weiß das es einer ausn Ausland war, ist die zweite Frage.
Frag 1und1 mal welche Server beroffen waren (edit: wenn du keine Logs mehr hast), wenn es deutsche Server waren könntest du sogar Glück haben und deutsche Cracker/Scriptkiddies waren am Werk. Ansonsten wie immer /tmp suchen, alle Dateien die in den letzten Tagen erstellt wurden etc.
Re: Server wegen UDP-Flut deaktiviert
Hoppla, mit so einer Unterlassungserklärung kann man dir bei Wiederholung den Vertrag fristlos kündigen. Das wird der Provider aber nur dann machen, wenn er fett Ã?rger beim nächsten Vorfall hatte, in anderen Fällen ist ihm das Geld lieber. :)tstening wrote:Nachdem ich die Unterlassungserklärung unterschrieben habe [...]
Bis jetzt war noch Suse 7.2 drauf (unverantwortlich, ich weiss).
[...]
anhand der Logfiles etwas über die UDP-Flut heraus zu bekommen? Wo müsste ich da ansetzen?
Bei Suse-7.2 kann natürlich eine Sicherheitslücke der Serversoftware ausgenutzt werden. Da sind die Möglichkeiten unzählig -- in den Logs findet sich dann u. U. nichts auf Anhieb auffälliges.
Oft werden gewöhnliche PHP- oder Perl-Skripte "zweckentfremdet". In den Access_logs würde ich nach "uname", "wget", "page=http" etc., "cmd=" oder auch ".com.br" :) suchen. Oder nach dem HTTP-Aufruf von xmlrpc.php oder adxmlrpc.php. Solche Exploits sind grad im Kommen. Ein Klassiker ist noch ein POST von awstats.pl oder ein GET von awstats.pl?configdir=. Aktuell auch recht beliebt.
Vom Provider würde ich die Protokollauszüge verlangen, wg. der IP-Adresse und dem Zeitraum des Missbrauches. Allerdings ergibt sich da ein deutschland-eigenes(?), datenschutzmäßiges Problem: IP-Adressen sind ja irgendwie "personenbezogene Daten". Damit dürfen diese Daten nicht ohne dessen Benutzer ungefragt an dich herausgegeben werden. :? Das ist zumindest eine Lesart. Hier stellt man sich meiner Meinung nach aber selbst ein Bein.