Http Flooder - Welche einstellungen ändern

Apache, Lighttpd, nginx, Cherokee
fun4teen
Posts: 92
Joined: 2004-06-18 16:11

Http Flooder - Welche einstellungen ändern

Post by fun4teen »

Hi all,

ich habe ein Problem.

Ich habe ein Strato Rootserver- und ich werde immer angeriffen via einem http flooder (DoS) sowie das selbe auf die MYSQL bis sie ausgelastet ist... und die Webseite nicht mehr erreichbar ist.. Wie kann ich das umgehen?

Wie kann ich die max. connection auf eine IP begrenzen?

Welche Sicherheitseinstellungen sind sinnvoll?

Der andere Server welcher bei Purtec steht läuft einwandfrei und dort sind auch keine flooding attacken möglich ..

Danke und sorry für diese lächerliche Frage.. Habe hier schon die Suche benutzt, aber wusste nicht was ich alles suchen muss.. :cry:
fun4teen
Posts: 92
Joined: 2004-06-18 16:11

Re: Http Flooder - Welche einstellungen ändern

Post by fun4teen »

*Push*

Server wurde gerade wieder in die Knie gezwungen. :cry:

Es läuft Suse 9.3 mit Plesk drauf.
tk
Posts: 17
Joined: 2006-08-30 17:32

Re: Http Flooder - Welche einstellungen ändern

Post by tk »

Hi,

läuft auf dem System schon eine Firewall?
Kommt die DoS Atacke immer nur von einem Server?
Ist es immer die gleiche IP?

Gruß

TK
fun4teen
Posts: 92
Joined: 2004-06-18 16:11

Re: Http Flooder - Welche einstellungen ändern

Post by fun4teen »

Auf dem Server ist die Firewall von Plesk installiert.

Die Angriffe erfolgen von 3-4 PCs zur selben Zeit.

Die Angreifer teilen mir das im voraus mit wann sie die seite bombadieren und möchten so das ich die Seite schließe.

In welchen Logs kann ich das nachvervolgen? Meistens kackt die Mysql ab.
sledge0303
Posts: 695
Joined: 2005-09-16 00:06
Location: Berlin-Reinickendorf

Re: Http Flooder - Welche einstellungen ändern

Post by sledge0303 »

fun4teen wrote:Auf dem Server ist die Firewall von Plesk installiert.

Die Angriffe erfolgen von 3-4 PCs zur selben Zeit.

Die Angreifer teilen mir das im voraus mit wann sie die seite bombadieren und möchten so das ich die Seite schließe.

In welchen Logs kann ich das nachvervolgen? Meistens kackt die Mysql ab.
Hast dir irgendwelche Leute zum Feind gemacht?
Gib mal whois <IP des Angreifers> ein, evtl. ist ja jemand so dämlich und macht das ohne Anonproxy. Alle Nachrichten des Angreifers mit IP seperat auf einem anderen Datenträger ablegen. Irgendwann mal machen die Vögel einen Fehler und du hast dann sehr gute Karten.
fun4teen
Posts: 92
Joined: 2004-06-18 16:11

Re: Http Flooder - Welche einstellungen ändern

Post by fun4teen »

Du ich weiß ganz offen wer das macht.. hab die IPs.. kommen aus der Türkei..

Mich wundert es nur.. auf dem anderen Server (von Purtec) haben die das auch immer versucht uns keinen erfolg gehabt.. nun seitdem ich auf den neuen Strato umgezogen bin mit der Page hab ich die Probleme das der in die Knie geht.

Und in der access log find ich auch immer mal wieder den Eintrag:
[Tue Aug 29 23:44:25 2006] [error] [client 66.96.25.147] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
Aber das scheinen nur kids zu sein die den server auf "löcher" durchsuchen.
tk
Posts: 17
Joined: 2006-08-30 17:32

Re: Http Flooder - Welche einstellungen ändern

Post by tk »

Hi,

kann es sein, dass deine mysql direkt von aussen erreichbar ist? Wenn Du mir die IP von deinem Server gibst, kann ich mal einen Portscan darüber laufen lassen. Jedoch bitte nur als private Message. Nicht ins Forum.

Es gibt meines Wissens grundsätzlich die Möglichkeit im Apache die widerholenden Anfragen von der selben IP zu begrenzen, wie der Parameter genau heisst weis ich nicht auswendig. Evtl. ist auch ein floodcheck in der Firewall möglich.

Gruß

TK
sledge0303
Posts: 695
Joined: 2005-09-16 00:06
Location: Berlin-Reinickendorf

Re: Http Flooder - Welche einstellungen ändern

Post by sledge0303 »

[Tue Aug 29 23:44:25 2006] [error] [client 66.96.25.147] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
Ist soweit erstmal harmlos...

Aus eigener Erfahrung weiss ich, die Polizei tut mehr als man denkt. Wenn in deinem Fall der Urheber der Angriffe bekannt sein sollte, die schalten eine Überwachung des Internetanschlusses ein, dann ist es egal welche IP die benutzen...
Bei meinem Verfahren haben es die Cops auch über 2 Monate getan bevor der Rechner vom Nachbarn (Angreifer) beschlagnahmt wurde...

Wie hast du denn den Server abgesichert außer den Plesk Paketfilter (Firewall)?
flo
Posts: 2223
Joined: 2002-07-28 13:02
Location: Berlin

Re: Http Flooder - Welche einstellungen ändern

Post by flo »

Tipp: Default Host statisch einrichten - nachdem wohl bei den wenigsten Rootservern hier die Serverdomain produktiv sein dürfte, ist das durchaus empfehlenswert. So werden nicht bei jedem schwachsinnigen Scan Datenbank und dynamische Seite strapaziert.

flo.
fun4teen
Posts: 92
Joined: 2004-06-18 16:11

Re: Http Flooder - Welche einstellungen ändern

Post by fun4teen »

Servus miteinander,

danke schon einmal für die ganzen Antworten.
Wie hast du denn den Server abgesichert außer den Plesk Paketfilter (Firewall)?
ICH-Nicht weiter abgesichert... unwissend gehe ich davon aus das der noch anderst abgesichert ist .. da er ja vorkonfiguriert war von Strato.


Default Host statisch einrichten
Wie mach ich das?
kann es sein, dass deine mysql direkt von aussen erreichbar ist

Ja der Port ist offen 3306 war das doch.. den auf dem Server laufen Realtime-Multiplayer Spiele ... der Programmierer meinte damals das dafür der Mysql -Externe-Port offen sein muss.

Offne Ports auf dem Server:
Ports Scanned: 1 To 65535

Total Ports Found Open: 13

Current Ports Found Open:
Port: 00021
Port: 00053
Port: 00080
Port: 00106
Port: 00110
Port: 00143
Port: 00443
Port: 00465
Port: 00993
Port: 00995
Port: 03306
Port: 03466
Port: 08443
flo
Posts: 2223
Joined: 2002-07-28 13:02
Location: Berlin

Re: Http Flooder - Welche einstellungen ändern

Post by flo »

Du legst in den ersten virtuellen Host eine index.html, die nur das nötigste enthält - Zugriffe auf die IP oder ohne Host-Header landen dann darauf.

flo.
metrax
Posts: 194
Joined: 2003-02-22 22:51
Location: München / Berg-am-Laim

Re: Http Flooder - Welche einstellungen ändern

Post by metrax »

fun4teen wrote: Port: 03306
Dicht machen! DRINGEND!

Siehe my.cnf
fun4teen
Posts: 92
Joined: 2004-06-18 16:11

Re: Http Flooder - Welche einstellungen ändern

Post by fun4teen »

Ist dicht ;)

Mysql Extern.