RootForum Community

Hi all,

ich habe ein Problem.

Ich habe ein Strato Rootserver- und ich werde immer angeriffen via einem http flooder (DoS) sowie das selbe auf die MYSQL bis sie ausgelastet ist... und die Webseite nicht mehr erreichbar ist.. Wie kann ich das umgehen?

Wie kann ich die max. connection auf eine IP begrenzen?

Welche Sicherheitseinstellungen sind sinnvoll?

Der andere Server welcher bei Purtec steht läuft einwandfrei und dort sind auch keine flooding attacken möglich ..

Danke und sorry für diese lächerliche Frage.. Habe hier schon die Suche benutzt, aber wusste nicht was ich alles suchen muss..

*Push*

Server wurde gerade wieder in die Knie gezwungen.

Es läuft Suse 9.3 mit Plesk drauf.

Hi,

läuft auf dem System schon eine Firewall?
Kommt die DoS Atacke immer nur von einem Server?
Ist es immer die gleiche IP?

Gruß

TK

Auf dem Server ist die Firewall von Plesk installiert.

Die Angriffe erfolgen von 3-4 PCs zur selben Zeit.

Die Angreifer teilen mir das im voraus mit wann sie die seite bombadieren und möchten so das ich die Seite schließe.

In welchen Logs kann ich das nachvervolgen? Meistens kackt die Mysql ab.

fun4teen wrote:Auf dem Server ist die Firewall von Plesk installiert.

Die Angriffe erfolgen von 3-4 PCs zur selben Zeit.

Die Angreifer teilen mir das im voraus mit wann sie die seite bombadieren und möchten so das ich die Seite schließe.

In welchen Logs kann ich das nachvervolgen? Meistens kackt die Mysql ab.

Hast dir irgendwelche Leute zum Feind gemacht?
Gib mal whois <IP des Angreifers> ein, evtl. ist ja jemand so dämlich und macht das ohne Anonproxy. Alle Nachrichten des Angreifers mit IP seperat auf einem anderen Datenträger ablegen. Irgendwann mal machen die Vögel einen Fehler und du hast dann sehr gute Karten.

Du ich weiß ganz offen wer das macht.. hab die IPs.. kommen aus der Türkei..

Mich wundert es nur.. auf dem anderen Server (von Purtec) haben die das auch immer versucht uns keinen erfolg gehabt.. nun seitdem ich auf den neuen Strato umgezogen bin mit der Page hab ich die Probleme das der in die Knie geht.

Und in der access log find ich auch immer mal wieder den Eintrag:

[Tue Aug 29 23:44:25 2006] [error] [client 66.96.25.147] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)

Aber das scheinen nur kids zu sein die den server auf "löcher" durchsuchen.

Hi,

kann es sein, dass deine mysql direkt von aussen erreichbar ist? Wenn Du mir die IP von deinem Server gibst, kann ich mal einen Portscan darüber laufen lassen. Jedoch bitte nur als private Message. Nicht ins Forum.

Es gibt meines Wissens grundsätzlich die Möglichkeit im Apache die widerholenden Anfragen von der selben IP zu begrenzen, wie der Parameter genau heisst weis ich nicht auswendig. Evtl. ist auch ein floodcheck in der Firewall möglich.

Gruß

TK

[Tue Aug 29 23:44:25 2006] [error] [client 66.96.25.147] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)

Ist soweit erstmal harmlos...

Aus eigener Erfahrung weiss ich, die Polizei tut mehr als man denkt. Wenn in deinem Fall der Urheber der Angriffe bekannt sein sollte, die schalten eine Überwachung des Internetanschlusses ein, dann ist es egal welche IP die benutzen...
Bei meinem Verfahren haben es die Cops auch über 2 Monate getan bevor der Rechner vom Nachbarn (Angreifer) beschlagnahmt wurde...

Wie hast du denn den Server abgesichert außer den Plesk Paketfilter (Firewall)?

Tipp: Default Host statisch einrichten - nachdem wohl bei den wenigsten Rootservern hier die Serverdomain produktiv sein dürfte, ist das durchaus empfehlenswert. So werden nicht bei jedem schwachsinnigen Scan Datenbank und dynamische Seite strapaziert.

flo.

Servus miteinander,

danke schon einmal für die ganzen Antworten.

Wie hast du denn den Server abgesichert außer den Plesk Paketfilter (Firewall)?

ICH-Nicht weiter abgesichert... unwissend gehe ich davon aus das der noch anderst abgesichert ist .. da er ja vorkonfiguriert war von Strato.

Default Host statisch einrichten

Wie mach ich das?

kann es sein, dass deine mysql direkt von aussen erreichbar ist

Ja der Port ist offen 3306 war das doch.. den auf dem Server laufen Realtime-Multiplayer Spiele ... der Programmierer meinte damals das dafür der Mysql -Externe-Port offen sein muss.

Offne Ports auf dem Server:
Ports Scanned: 1 To 65535

Total Ports Found Open: 13

Current Ports Found Open:
Port: 00021
Port: 00053
Port: 00080
Port: 00106
Port: 00110
Port: 00143
Port: 00443
Port: 00465
Port: 00993
Port: 00995
Port: 03306
Port: 03466
Port: 08443

Du legst in den ersten virtuellen Host eine index.html, die nur das nötigste enthält - Zugriffe auf die IP oder ohne Host-Header landen dann darauf.

flo.

fun4teen wrote: Port: 03306

Dicht machen! DRINGEND!

Siehe my.cnf

Ist dicht ;)

Mysql Extern.