UDP Dos Attacke über meinen Server?

Apache, Lighttpd, nginx, Cherokee
paulpeter
Posts: 6
Joined: 2006-10-20 14:15

UDP Dos Attacke über meinen Server?

Post by paulpeter » 2006-10-20 14:24

Vor 3 Wochen wurde mein server bei webperoni vom netz genommen:


aufgrund einer UDP basierten DoS Attacke ausgehend von Ihrem Server haben wir diesen soeben vom Netz genommen.

Zwei Auszüge der DoS Attacke:


begin : 30.09.2006 19:30:00 (19:30:00.0558) CET/CEST*
end : 30.09.2006 19:35:00 (19:33:26.4715) CET/CEST*
src ip : xxxx (domain)
dst ip : xxxx ()
src port : 38281
dst port : 53
protocol : udp
bytes : 2068574782 (1972.75 MBytes)
packets : 16955531 (16558.14 Kpackets)


Bitte kontaktieren Sie uns zwecks zeitlicher Abstimmung des weiteren Vorgehens.

Das weitere Vorgehen kurz zusammengefasst:
- wir schalten Ihren Server frei, drosseln den Port Ihres Servers auf 10 Mbps und booten ihn ins Rescue
- Sie überprüfen Ihren Server hinsichtlich installierter DoS/flood Tools und Rootkits
- Sie deaktivieren das Rescue-System, booten Ihren Server von Festplatte und informieren uns über Ihren Befund
- wir beobachten Ihren Server die kommenden 7 Tage und entdrosseln Ihren Server wieder, sofern Ihre Maßnahmen erfolgreich waren

Die Bearbeitung dieses AGB-Vertoßes wird Ihnen mit 25,00 EUR berechnet.

tja ich hab da also gesucht in den logfiles 3 downloas gefunden aber die waren nicht im tmp ordner (vielleicht versteckt) hab also den tmp ordner gelöscht und neu angelegt...danach hab ich mich informiert wie da ein eingreifer raufkonnte, ich hhatte wordpress 2.01 istnalliert das eine xmlprcc.php hat mit sicherhetislücken die hatte ich gelöscht...ich installierte noch chrootkit und rootkithunter und die fanden nix...ich bootet wieder und da war nix mehr...nach 7 tagen entrosselte der provider meinen server da keine auffälligkeiten waren heute um 13:20 jedoch wieder das gleiche spiel also 3 wochen später !!!


auf ein neues:

begin : 20.10.2006 13:20:00 CET/CEST*
end : 20.10.2006 13:25:00 CET/CEST*
src ip : ###
bytes : 3011141879 (2871.65 MBytes, 76.58 Mbps avg)
packets : 24669815 (24091.62 Kpackets, 82232.72 pps avg)



begin : 20.10.2006 13:20:00 (13:20:00.0403) CET/CEST*
end : 20.10.2006 13:25:00 (13:24:59.9354) CET/CEST*
src ip : ###
dst ip : ###
src port : 36056
dst port : 53
protocol : udp
bytes : 621652708 (592.85 MBytes, 15.81 Mbps avg)
packets : 5095514 (4976.09 Kpackets, 16985.05 pps avg)


begin : 20.10.2006 13:20:00 (13:20:00.0327) CET/CEST*
end : 20.10.2006 13:25:00 (13:24:59.9268) CET/CEST*
src ip : ####
dst ip : ###
src port : 36055
dst port : 53
protocol : udp
bytes : 609613260 (581.37 MBytes, 15.50 Mbps avg)
packets : 4996830 (4879.72 Kpackets, 16656.10 pps avg)

...

Wir haben Ihren Server daher wieder bis auf weiteres vom Netz genommen.

Was soll ich jetzt mache, mir ist bewusst daß es vielleicht sicherer gewesen wäre, daß system neu zu installieren aber 3 wochen ohne udp attacke...naja selbst wenn ich
es neu einrichten würde, irgendein script muss da wohl noch ne lücke haben...ich wird heute abend die logfiles durchschauen sollte ich da keine auffälligen downloads finden, was tu ich dann? Auf dem server sind vbb (relativ neue version), wordpress und scuttle...

wie gehe ich jetzt weiter? Neu installieren bringt jetzt noch nicths, bevor ich nicht die scheinbar neue oder alte lücke nicht geschlossen habe...sollte ich in denl ogfilesnichts auffälliges finden, muss irgend ein dreck noch auf dem server versteckt liegen richtig?

Wie ist daß, ich müsste dann auch confixx neu einrichten, was doch eine sehr mühseelige geschichte war...kann man von dem var/www ein backup einschliesslich confixx machen und später wieder rüberkopieren, ohne confixx neu einzurichten oder soll ich einfach den kompletten confixx und apache config ordner sichern und nach dem das system neu installiert wurde, confixx insatllieren und später die alte config aufspielen?

Kann ich mit modsecurity (noch nicht installiert) oder ähnlichem loggen was schuld ist bzw da passiert also von wo aus diese dos attacken aus gestartet werden?

djcrackman
Posts: 207
Joined: 2005-06-02 11:58

Re: UDP Dos Attacke über meinen Server?

Post by djcrackman » 2006-10-20 14:57

Bei PHP folgendes einstellen:

- open_basedir
- exec und co deaktivieren

Edit: Fast vergessen: setz die Rumpel neu auf ;). So machst du dir keine Freunde, davon abgesehen, dass du grob fahrlässig handelst.

paulpeter
Posts: 6
Joined: 2006-10-20 14:15

Re: UDP Dos Attacke über meinen Server?

Post by paulpeter » 2006-10-20 15:36

djcrackman wrote:Bei PHP folgendes einstellen:

- open_basedir
- exec und co deaktivieren

Edit: Fast vergessen: setz die Rumpel neu auf ;). So machst du dir keine Freunde, davon abgesehen, dass du grob fahrlässig handelst.
Wie deaktiviere ich excec? Meinst du wenn ich ihn neu installiere, genanntes deaktiviere und noch mod_security aktiviere hab ich meine ruhe auch wenn da eventuell irgendwo noch ein script mit sicherheitslücke ist? :roll:

Grob fahrlässig handeln kann ich nicht, mein provider tut innerhalb von 10 minuten den server runterfahren wenn die etwas merken, hab nichtmal die chance gehabt mir die logfiles runterzuladen als ich merkte das was nicht stimmte...*grr* aufreg*...hoffentlich kriegt webperoni es mal gebacken den nachher im resccue zu booten wie soll ich sonst die daten sichern? :roll:

paulpeter
Posts: 6
Joined: 2006-10-20 14:15

Re: UDP Dos Attacke über meinen Server?

Post by paulpeter » 2006-10-20 16:36

Btw was kann ich tun, wenn dieser dumme support nicht antwortet? Anrufen geht auch nicht da ich noch auf der Arbeit bin wenn ich zu Hause bin, haben die feierabend. Ein Trauerspiel!

rootsvr
Posts: 538
Joined: 2005-09-02 11:12

Re: UDP Dos Attacke über meinen Server?

Post by rootsvr » 2006-10-20 16:52

Ich versteh nicht warum Du Dich aufregst..

Dein Server beinträchtigt den stabilen Betrieb anderer Kunden und gefährdet damit deinen Hoster. In jeder normalen AGB steht für so einen Fall das man Dich abklemmt, bei dem Hoster in Neuseeland wo ich gearbeitet hat hat man im Falle eines Spammers den Vertrag gekündigt, den Server abgeschaltet und formatiert - alles im Einklang mit der AGB. Der Mensch hat sehr schnell gelernt.

Du hast was falsch gemacht (Deinen Server nicht abgesichert) und dadurch ist es Dein Problem .. schade das es nur 25€ kostet.

zg0re
Posts: 104
Joined: 2003-06-04 15:33

Re: UDP Dos Attacke über meinen Server?

Post by zg0re » 2006-10-20 16:54

Anrufen geht auch nicht da ich noch auf der Arbeit bin wenn ich zu Hause bin, haben die feierabend. Ein Trauerspiel!
Das hättest du dir auch vorher überlegen können. Serveradministration ist kein Job, den man so nebenbei macht.

paulpeter
Posts: 6
Joined: 2006-10-20 14:15

Re: UDP Dos Attacke über meinen Server?

Post by paulpeter » 2006-10-20 17:02

Okay endlich hab ich rescue zugriff...und den bösen buben hab ich auch schon gefunden:

http://www.luckylibra.com/image/.xpl/kf das ding wurde runtergelade, anscheinend hat entweder das etwas ältere vbb oder ein anderes script ne sicherheitslücke...denn das wurde genau nur 5 minuten vorher runtergeladen als die ihre attacke starteten...

rootsvr
Posts: 538
Joined: 2005-09-02 11:12

Re: UDP Dos Attacke über meinen Server?

Post by rootsvr » 2006-10-20 17:16

In der access.log solltest Du Aufschluß finden worüber das Script geladen wurde.. ich hoffe das Du dieses mal nicht nur die gefundene Lücke beseitigest sondern alle eingesetzte Software auf einen aktuellen Stand bringst.

paulpeter
Posts: 6
Joined: 2006-10-20 14:15

Re: UDP Dos Attacke über meinen Server?

Post by paulpeter » 2006-10-20 17:39

Hmm genau um diese sekunde wurde aufgerufen:
GET /blog/ HTTP/1.0" 200 164 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)

Das script hatte ich leider vergessen damals zu erneuern es ist wordpress 1.5 aber nichts direkt was daraufhindeutet, daß es schuld ist...auch danach wurde davon nix aufgerufen :roll:

rootsvr
Posts: 538
Joined: 2005-09-02 11:12

Re: UDP Dos Attacke über meinen Server?

Post by rootsvr » 2006-10-20 20:26

Das ist aber nicht der Punkt wo es infiziert wurde..
ich würde mal nach kf bzw xpl greppen

Irgendwie muß das Programm ja auf den Server gekommen sein und diese Zeile war es nicht.

timeless2
Posts: 416
Joined: 2005-03-04 14:45
Location: Paris

Re: UDP Dos Attacke über meinen Server?

Post by timeless2 » 2006-10-20 21:10

Paulpeter wrote: Wie deaktiviere ich excec? Meinst du wenn ich ihn neu installiere, genanntes deaktiviere und noch mod_security aktiviere hab ich meine ruhe auch wenn da eventuell irgendwo noch ein script mit sicherheitslücke ist? :roll:
Also deine Skripte musst du schon aktuell halten, sonst darfst du dich über ungebetene Besucher nicht wundern.

paulpeter
Posts: 6
Joined: 2006-10-20 14:15

Re: UDP Dos Attacke über meinen Server?

Post by paulpeter » 2006-10-20 22:48

rootsvr wrote:Das ist aber nicht der Punkt wo es infiziert wurde..
ich würde mal nach kf bzw xpl greppen

Irgendwie muß das Programm ja auf den Server gekommen sein und diese Zeile war es nicht.
hab ich schon, ist nix...komisch oder? die logfile ist 10mb gross da steht sonst alles drin...wie gesagt in der sekunde als der download gestartet wurde, war das mit dem blog ...nix auffälliges ich könnte mir ja noch vorstellen, daß ein redirect script wie tinyurl http://www.luckylibra.com/image/.xpl/kf aufgerufen hat, aber das würde ich doch auch sehen müssen oder kann die url auch verschlüsselt im logfile auftauchen hab da zwar nix auffälliges gesehen aber komisch ist es schon.

btw der typ hier kriegt auch garnix mehr mit lol:
http://www.luckylibra.com/image/.xpl/
soviele böse dateien entweder er weiss davon oder ihm wurde das nicht gemeldet...

aubergine
Posts: 471
Joined: 2005-09-10 17:52
Location: Frankfurt am Main

Re: UDP Dos Attacke über meinen Server?

Post by aubergine » 2006-10-21 00:02

Anstatt über andere zu "lolen" solltest du dir mal überlegen ob ein Rootserver für dich sinnvoll ist.

Wenn du in einem Forum postest und dann die Ratschläge von anderen nicht annimmst ist dir acuh nicht mehr zu helfen.
Es nutzt dir überhaupt nichts ohne eine Neuinstallation weiterzumachen.
Und da die Hälfte der Dateien auf dem Space, Kernel Exploits sind, wird dir die Kiste sowieso nur das sagen was der Hacker will.

Safe die Logs, Überdenk dein Security Konzept, Lass neuaufsetzen und machs beim nächsten mal besser.

Alles andere lohnt sich nicht drüber zu diskutieren.