Angriff

Apache, Lighttpd, nginx, Cherokee
kevink
Posts: 11
Joined: 2006-11-18 23:12

Angriff

Post by kevink » 2006-12-29 14:17

Hi,

Ich kann in letzer Zeit meinen Server über Port 80 so gut wie gar nichtmehr erreichen. Alles andere läuft ohne Probleme.

Das seltsame ist, das in der Apache Logs nichts merkwürdiges zeigt. Habe wie immer ca. 10-20 Zugriffe pro Sekunde, und das machte der bis jetzt auch immer mit.

[Fri Dec 29 14:08:21 2006] [error] server reached MaxClients setting, consider raising the MaxClients setting

Das ist immer die Fehlermeldung im error.log. Ich betreibe noch gleichzetig einen Gameserver, daher weiß Ich nicht ob diese viele IP´s die Ich über netstat angezeigt bekomme normal sind:

Code: Select all

tcp6       0    469 static.88-198-xxx-1:www p5083CE1C.dip0.t-:61764 LAST_ACK
tcp6       1    454 static.88-198-xxx-1:www xdslx103.osnanet.d:2882 CLOSING
tcp6       0    454 static.88-198-xxx-1:www e176077241.adsl.al:1387 LAST_ACK
tcp6       0    468 static.88-198-xxx-1:www pD9EC7EDC.dip.t-di:3880 LAST_ACK
tcp6       0    468 static.88-198-xxx-1:www e176077241.adsl.al:1377 LAST_ACK
tcp6       0    454 static.88-198-xxx-1:www pD9EC7EDC.dip.t-di:3876 LAST_ACK
tcp6       0    468 static.88-198-xxx-1:www 125-27.3-85.cust.:49894 LAST_ACK
tcp6       0    469 static.88-198-xxx-1:www pD9570B0D.dip0.t-:61933 FIN_WAIT1
tcp6       0      1 static.88-198-xxx-1:www pD9570B0D.dip0.t-:61932 FIN_WAIT1
tcp6       0      1 static.88-198-xxx-1:www p548428AC.dip0.t-:62500 FIN_WAIT1
tcp6       0      0 ip6-localhost:32907     ip6-localhost:www       TIME_WAIT
tcp6       0      0 ip6-localhost:32908     ip6-localhost:www       TIME_WAIT
tcp6       0    468 static.88-198-xxx-1:www dont-blame-admin-:63078 FIN_WAIT1
tcp6       0    468 static.88-198-xxx-1:www M5759.m.pppool.de:62412 FIN_WAIT1
tcp6       0    454 static.88-198-xxx-1:www M5759.m.pppool.de:62410 FIN_WAIT1
tcp6       0    468 static.88-198-xxx-1:www p57B5B065.dip0.t-:63858 LAST_ACK
tcp6       0    468 static.88-198-xxx-1:www p57B5B065.dip0.t-:63852 LAST_ACK
tcp6       0    454 static.88-198-xxx-1:www p5081F255.dip.t-d:62241 LAST_ACK
tcp6       0    469 static.88-198-xxx-1:www 85-233-102-141.kt:50116 LAST_ACK
tcp6       0    468 static.88-198-xxx-1:www p57B5B065.dip0.t-:63838 LAST_ACK
tcp6       0      1 static.88-198-xxx-1:www p508C5CB9.dip.t-d:62159 FIN_WAIT1
tcp6       0    469 static.88-198-xxx-1:www bonn-4db4a99c.pool:4132 LAST_ACK
tcp6       0    468 static.88-198-xxx-1:www ip-90-186-50-171.w:1928 LAST_ACK
tcp6       0    469 static.88-198-xxx-1:www ip-90-186-50-171.w:1938 LAST_ACK
tcp6       0    454 static.88-198-xxx-1:www i577B50D5.versane:63081 LAST_ACK
tcp6       0    468 static.88-198-xxx-1:www p54AF6794.dip.t-di:2761 FIN_WAIT1
tcp6       0    454 static.88-198-xxx-1:www p54808D52.dip0.t-:61491 FIN_WAIT1
tcp6       0    454 static.88-198-xxx-1:www dyndsl-085-016-23:64485 FIN_WAIT1
tcp6       0    468 static.88-198-xxx-1:www i577A6ADB.versanet:4688 LAST_ACK
tcp6       0    454 static.88-198-xxx-1:www Q7bf8.q.strato-ds:62457 FIN_WAIT1
tcp6       0    468 static.88-198-xxx-1:www Q7bf8.q.strato-ds:62459 FIN_WAIT1
tcp6       0    468 static.88-198-xxx-1:www Q7bf8.q.strato-ds:62458 FIN_WAIT1
tcp6       0    469 static.88-198-xxx-1:www Q7bf8.q.strato-ds:62460 FIN_WAIT1
tcp6       0    454 static.88-198-xxx-1:www p5081F255.dip.t-d:62195 LAST_ACK
tcp6       0    469 static.88-198-xxx-1:www pD95DFED9.dip.t-di:4420 LAST_ACK
tcp6       0    468 static.88-198-xxx-1:www pD95DFED9.dip.t-di:4419 LAST_ACK
tcp6       0    468 static.88-198-xxx-1:www pD9581186.dip.t-d:62408 FIN_WAIT1
tcp6       0    469 static.88-198-xxx-1:www pD9581186.dip.t-d:62409 FIN_WAIT1
tcp6       0    454 static.88-198-xxx-1:www pD9581186.dip.t-d:62406 FIN_WAIT1
tcp6       0    468 static.88-198-xxx-1:www pD9581186.dip.t-d:62407 FIN_WAIT1
Das ist nur ein Ausschnitt, komplett sind es ca. 140 Zeilen.

Apachetop liefert mir auch keine besonderen Infos, der Load ist ganz normal.

Sobald Ich aber per iptables die Firewall bis auf SSH zumache, verschwinden die verbindungen nach einer Weile.
Sobald Ich die wieder aufmache, habe Ich gerade 450 Verbindungen die sofort
aufgebaut werden!

Das ist 100%ig ein Dos Angriff von verschiedenen Computer aus. Nur was kann Ich dagegen tun?

Gruß Kevin

User avatar
Joe User
Project Manager
Project Manager
Posts: 11138
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Angriff

Post by Joe User » 2006-12-29 14:32

Du kannst nur Apache und seine Module abspecken und günstiger konfigurieren. Wenn das nicht ausreicht den HTTPd wechseln (lighttpd) und als letzte Option abschalten und abwarten. Wenn es ein echter (D)DoS ist, hilft Dir eventuell Dein Anbieter, was er allerdings nicht (kostenlos) muss.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

flo
Posts: 2223
Joined: 2002-07-28 13:02
Location: Berlin

Re: Angriff

Post by flo » 2006-12-29 14:35

keepalives off und sehen, wie sich das ganze entwickelt, aber möglichst währenddessen drüber bleiben - kann es auch einfach sein, daß eine Deiner Seiten gut besucht wird?

flo.

kevink
Posts: 11
Joined: 2006-11-18 23:12

Re: Angriff

Post by kevink » 2006-12-29 14:40

Hi,

@Joe User:
Der Apache hatte aber nicht mal 2% von der CPU Leistung her gebraucht, und Module habe Ich kaum welche drinnen.

@flo:
Naja, Ich hatte 20 Abrufe in der Sekunde schon davor, und jetzt aufeinmal?

Hehe, habe nun folgendes gemacht:
Ich hatte noch eine IP-Adresse frei, d.h. Ich habe meine Domain, auf die die Angriffe gehen umgestellt zu einer anderen.
Die alte IP habe Ich geblockt. Und, wer häts gedacht? Keine 400 Ips mehr in netstat :).

Das war doch tatsächlich ein Angriff. 1. durch die viele IPs und 2. mehrmals die gleiche IP.

Ok, aber das ist auch keine Lösung, kann man sich dagegen denn gar nicht schützen?

Gruß Kevin

User avatar
Joe User
Project Manager
Project Manager
Posts: 11138
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Angriff

Post by Joe User » 2006-12-29 14:43

kevink wrote:Ok, aber das ist auch keine Lösung, kann man sich dagegen denn gar nicht schützen?
Nicht bei den Billigangeboten und ohne entsprechendes Know-How.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

kevink
Posts: 11
Joined: 2006-11-18 23:12

Re: Angriff

Post by kevink » 2006-12-29 14:48

Ich hoste bei http://www.Hetzner.de. Und da Ich mit einem Dos-Angriff noch nicht konfroniterit wurde, frage Ich ja nach.

micho
Posts: 12
Joined: 2006-12-28 16:40

Re: Angriff

Post by micho » 2006-12-29 14:55

zählt Ihr Hetzner zu den "Billiganbietern" PReisgünstig sind sie zumindest

User avatar
Joe User
Project Manager
Project Manager
Posts: 11138
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Angriff

Post by Joe User » 2006-12-29 14:58

Ja.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

a-n
Posts: 145
Joined: 2004-05-10 10:15

Re: Angriff

Post by a-n » 2006-12-29 14:59

Habe so ziemlich das gleiche Problem wie du :)

http://www.rootforum.org/forum/viewtopic.php?t=44044

Scheint eine neue Masche zu sein, nicht mit Bandbreite sondern mit vielen kleinen Paketen (DDoS) den Apache unerreichbar zu machen.

Eine wirkliche Lösung habe ich noch keine gefunden.

micho
Posts: 12
Joined: 2006-12-28 16:40

Re: Angriff

Post by micho » 2006-12-29 15:05

@Joe user
verrätst Du, wo Du hostest?

User avatar
Joe User
Project Manager
Project Manager
Posts: 11138
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Angriff

Post by Joe User » 2006-12-29 15:19

Das findest Du per SuFu selbst raus ;)
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

simcen
Posts: 333
Joined: 2003-02-12 14:35
Location: Bern, Schweiz

Re: Angriff

Post by simcen » 2006-12-30 21:28

Entschuldigt meinen dummen Kommentar, aber ich kanns nicht lassen:
Betr. SuFu:
http://www.sufuorg.com/ :)

Gruss
Simon

User avatar
Joe User
Project Manager
Project Manager
Posts: 11138
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Angriff

Post by Joe User » 2006-12-30 22:42

YMMD
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

flo
Posts: 2223
Joined: 2002-07-28 13:02
Location: Berlin

Re: Angriff

Post by flo » 2006-12-31 03:30

Na, lecker ...

simcen
Posts: 333
Joined: 2003-02-12 14:35
Location: Bern, Schweiz

Re: Angriff

Post by simcen » 2006-12-31 18:04

SCNR ;)

Guten Rutsch!