UDP Dos Attacke über meinen Server?
Posted: 2006-10-20 14:24
Vor 3 Wochen wurde mein server bei webperoni vom netz genommen:
aufgrund einer UDP basierten DoS Attacke ausgehend von Ihrem Server haben wir diesen soeben vom Netz genommen.
Zwei Auszüge der DoS Attacke:
begin : 30.09.2006 19:30:00 (19:30:00.0558) CET/CEST*
end : 30.09.2006 19:35:00 (19:33:26.4715) CET/CEST*
src ip : xxxx (domain)
dst ip : xxxx ()
src port : 38281
dst port : 53
protocol : udp
bytes : 2068574782 (1972.75 MBytes)
packets : 16955531 (16558.14 Kpackets)
Bitte kontaktieren Sie uns zwecks zeitlicher Abstimmung des weiteren Vorgehens.
Das weitere Vorgehen kurz zusammengefasst:
- wir schalten Ihren Server frei, drosseln den Port Ihres Servers auf 10 Mbps und booten ihn ins Rescue
- Sie überprüfen Ihren Server hinsichtlich installierter DoS/flood Tools und Rootkits
- Sie deaktivieren das Rescue-System, booten Ihren Server von Festplatte und informieren uns über Ihren Befund
- wir beobachten Ihren Server die kommenden 7 Tage und entdrosseln Ihren Server wieder, sofern Ihre Maßnahmen erfolgreich waren
Die Bearbeitung dieses AGB-Vertoßes wird Ihnen mit 25,00 EUR berechnet.
tja ich hab da also gesucht in den logfiles 3 downloas gefunden aber die waren nicht im tmp ordner (vielleicht versteckt) hab also den tmp ordner gelöscht und neu angelegt...danach hab ich mich informiert wie da ein eingreifer raufkonnte, ich hhatte wordpress 2.01 istnalliert das eine xmlprcc.php hat mit sicherhetislücken die hatte ich gelöscht...ich installierte noch chrootkit und rootkithunter und die fanden nix...ich bootet wieder und da war nix mehr...nach 7 tagen entrosselte der provider meinen server da keine auffälligkeiten waren heute um 13:20 jedoch wieder das gleiche spiel also 3 wochen später !!!
auf ein neues:
begin : 20.10.2006 13:20:00 CET/CEST*
end : 20.10.2006 13:25:00 CET/CEST*
src ip : ###
bytes : 3011141879 (2871.65 MBytes, 76.58 Mbps avg)
packets : 24669815 (24091.62 Kpackets, 82232.72 pps avg)
begin : 20.10.2006 13:20:00 (13:20:00.0403) CET/CEST*
end : 20.10.2006 13:25:00 (13:24:59.9354) CET/CEST*
src ip : ###
dst ip : ###
src port : 36056
dst port : 53
protocol : udp
bytes : 621652708 (592.85 MBytes, 15.81 Mbps avg)
packets : 5095514 (4976.09 Kpackets, 16985.05 pps avg)
begin : 20.10.2006 13:20:00 (13:20:00.0327) CET/CEST*
end : 20.10.2006 13:25:00 (13:24:59.9268) CET/CEST*
src ip : ####
dst ip : ###
src port : 36055
dst port : 53
protocol : udp
bytes : 609613260 (581.37 MBytes, 15.50 Mbps avg)
packets : 4996830 (4879.72 Kpackets, 16656.10 pps avg)
...
Wir haben Ihren Server daher wieder bis auf weiteres vom Netz genommen.
Was soll ich jetzt mache, mir ist bewusst daß es vielleicht sicherer gewesen wäre, daß system neu zu installieren aber 3 wochen ohne udp attacke...naja selbst wenn ich
es neu einrichten würde, irgendein script muss da wohl noch ne lücke haben...ich wird heute abend die logfiles durchschauen sollte ich da keine auffälligen downloads finden, was tu ich dann? Auf dem server sind vbb (relativ neue version), wordpress und scuttle...
wie gehe ich jetzt weiter? Neu installieren bringt jetzt noch nicths, bevor ich nicht die scheinbar neue oder alte lücke nicht geschlossen habe...sollte ich in denl ogfilesnichts auffälliges finden, muss irgend ein dreck noch auf dem server versteckt liegen richtig?
Wie ist daß, ich müsste dann auch confixx neu einrichten, was doch eine sehr mühseelige geschichte war...kann man von dem var/www ein backup einschliesslich confixx machen und später wieder rüberkopieren, ohne confixx neu einzurichten oder soll ich einfach den kompletten confixx und apache config ordner sichern und nach dem das system neu installiert wurde, confixx insatllieren und später die alte config aufspielen?
Kann ich mit modsecurity (noch nicht installiert) oder ähnlichem loggen was schuld ist bzw da passiert also von wo aus diese dos attacken aus gestartet werden?
aufgrund einer UDP basierten DoS Attacke ausgehend von Ihrem Server haben wir diesen soeben vom Netz genommen.
Zwei Auszüge der DoS Attacke:
begin : 30.09.2006 19:30:00 (19:30:00.0558) CET/CEST*
end : 30.09.2006 19:35:00 (19:33:26.4715) CET/CEST*
src ip : xxxx (domain)
dst ip : xxxx ()
src port : 38281
dst port : 53
protocol : udp
bytes : 2068574782 (1972.75 MBytes)
packets : 16955531 (16558.14 Kpackets)
Bitte kontaktieren Sie uns zwecks zeitlicher Abstimmung des weiteren Vorgehens.
Das weitere Vorgehen kurz zusammengefasst:
- wir schalten Ihren Server frei, drosseln den Port Ihres Servers auf 10 Mbps und booten ihn ins Rescue
- Sie überprüfen Ihren Server hinsichtlich installierter DoS/flood Tools und Rootkits
- Sie deaktivieren das Rescue-System, booten Ihren Server von Festplatte und informieren uns über Ihren Befund
- wir beobachten Ihren Server die kommenden 7 Tage und entdrosseln Ihren Server wieder, sofern Ihre Maßnahmen erfolgreich waren
Die Bearbeitung dieses AGB-Vertoßes wird Ihnen mit 25,00 EUR berechnet.
tja ich hab da also gesucht in den logfiles 3 downloas gefunden aber die waren nicht im tmp ordner (vielleicht versteckt) hab also den tmp ordner gelöscht und neu angelegt...danach hab ich mich informiert wie da ein eingreifer raufkonnte, ich hhatte wordpress 2.01 istnalliert das eine xmlprcc.php hat mit sicherhetislücken die hatte ich gelöscht...ich installierte noch chrootkit und rootkithunter und die fanden nix...ich bootet wieder und da war nix mehr...nach 7 tagen entrosselte der provider meinen server da keine auffälligkeiten waren heute um 13:20 jedoch wieder das gleiche spiel also 3 wochen später !!!
auf ein neues:
begin : 20.10.2006 13:20:00 CET/CEST*
end : 20.10.2006 13:25:00 CET/CEST*
src ip : ###
bytes : 3011141879 (2871.65 MBytes, 76.58 Mbps avg)
packets : 24669815 (24091.62 Kpackets, 82232.72 pps avg)
begin : 20.10.2006 13:20:00 (13:20:00.0403) CET/CEST*
end : 20.10.2006 13:25:00 (13:24:59.9354) CET/CEST*
src ip : ###
dst ip : ###
src port : 36056
dst port : 53
protocol : udp
bytes : 621652708 (592.85 MBytes, 15.81 Mbps avg)
packets : 5095514 (4976.09 Kpackets, 16985.05 pps avg)
begin : 20.10.2006 13:20:00 (13:20:00.0327) CET/CEST*
end : 20.10.2006 13:25:00 (13:24:59.9268) CET/CEST*
src ip : ####
dst ip : ###
src port : 36055
dst port : 53
protocol : udp
bytes : 609613260 (581.37 MBytes, 15.50 Mbps avg)
packets : 4996830 (4879.72 Kpackets, 16656.10 pps avg)
...
Wir haben Ihren Server daher wieder bis auf weiteres vom Netz genommen.
Was soll ich jetzt mache, mir ist bewusst daß es vielleicht sicherer gewesen wäre, daß system neu zu installieren aber 3 wochen ohne udp attacke...naja selbst wenn ich
es neu einrichten würde, irgendein script muss da wohl noch ne lücke haben...ich wird heute abend die logfiles durchschauen sollte ich da keine auffälligen downloads finden, was tu ich dann? Auf dem server sind vbb (relativ neue version), wordpress und scuttle...
wie gehe ich jetzt weiter? Neu installieren bringt jetzt noch nicths, bevor ich nicht die scheinbar neue oder alte lücke nicht geschlossen habe...sollte ich in denl ogfilesnichts auffälliges finden, muss irgend ein dreck noch auf dem server versteckt liegen richtig?
Wie ist daß, ich müsste dann auch confixx neu einrichten, was doch eine sehr mühseelige geschichte war...kann man von dem var/www ein backup einschliesslich confixx machen und später wieder rüberkopieren, ohne confixx neu einzurichten oder soll ich einfach den kompletten confixx und apache config ordner sichern und nach dem das system neu installiert wurde, confixx insatllieren und später die alte config aufspielen?
Kann ich mit modsecurity (noch nicht installiert) oder ähnlichem loggen was schuld ist bzw da passiert also von wo aus diese dos attacken aus gestartet werden?