RootForum Community

Resources for System-Administrators
https://www.rootforum.org/forum/

Angriff

https://www.rootforum.org/forum/viewtopic.php?t=44106

Page 1 of 1

Angriff

Posted: 2006-12-29 14:17
by kevink
Hi,

Ich kann in letzer Zeit meinen Server über Port 80 so gut wie gar nichtmehr erreichen. Alles andere läuft ohne Probleme.

Das seltsame ist, das in der Apache Logs nichts merkwürdiges zeigt. Habe wie immer ca. 10-20 Zugriffe pro Sekunde, und das machte der bis jetzt auch immer mit.

[Fri Dec 29 14:08:21 2006] [error] server reached MaxClients setting, consider raising the MaxClients setting

Das ist immer die Fehlermeldung im error.log. Ich betreibe noch gleichzetig einen Gameserver, daher weiß Ich nicht ob diese viele IP´s die Ich über netstat angezeigt bekomme normal sind:

Code: Select all

tcp6       0    469 static.88-198-xxx-1:www p5083CE1C.dip0.t-:61764 LAST_ACK
tcp6       1    454 static.88-198-xxx-1:www xdslx103.osnanet.d:2882 CLOSING
tcp6       0    454 static.88-198-xxx-1:www e176077241.adsl.al:1387 LAST_ACK
tcp6       0    468 static.88-198-xxx-1:www pD9EC7EDC.dip.t-di:3880 LAST_ACK
tcp6       0    468 static.88-198-xxx-1:www e176077241.adsl.al:1377 LAST_ACK
tcp6       0    454 static.88-198-xxx-1:www pD9EC7EDC.dip.t-di:3876 LAST_ACK
tcp6       0    468 static.88-198-xxx-1:www 125-27.3-85.cust.:49894 LAST_ACK
tcp6       0    469 static.88-198-xxx-1:www pD9570B0D.dip0.t-:61933 FIN_WAIT1
tcp6       0      1 static.88-198-xxx-1:www pD9570B0D.dip0.t-:61932 FIN_WAIT1
tcp6       0      1 static.88-198-xxx-1:www p548428AC.dip0.t-:62500 FIN_WAIT1
tcp6       0      0 ip6-localhost:32907     ip6-localhost:www       TIME_WAIT
tcp6       0      0 ip6-localhost:32908     ip6-localhost:www       TIME_WAIT
tcp6       0    468 static.88-198-xxx-1:www dont-blame-admin-:63078 FIN_WAIT1
tcp6       0    468 static.88-198-xxx-1:www M5759.m.pppool.de:62412 FIN_WAIT1
tcp6       0    454 static.88-198-xxx-1:www M5759.m.pppool.de:62410 FIN_WAIT1
tcp6       0    468 static.88-198-xxx-1:www p57B5B065.dip0.t-:63858 LAST_ACK
tcp6       0    468 static.88-198-xxx-1:www p57B5B065.dip0.t-:63852 LAST_ACK
tcp6       0    454 static.88-198-xxx-1:www p5081F255.dip.t-d:62241 LAST_ACK
tcp6       0    469 static.88-198-xxx-1:www 85-233-102-141.kt:50116 LAST_ACK
tcp6       0    468 static.88-198-xxx-1:www p57B5B065.dip0.t-:63838 LAST_ACK
tcp6       0      1 static.88-198-xxx-1:www p508C5CB9.dip.t-d:62159 FIN_WAIT1
tcp6       0    469 static.88-198-xxx-1:www bonn-4db4a99c.pool:4132 LAST_ACK
tcp6       0    468 static.88-198-xxx-1:www ip-90-186-50-171.w:1928 LAST_ACK
tcp6       0    469 static.88-198-xxx-1:www ip-90-186-50-171.w:1938 LAST_ACK
tcp6       0    454 static.88-198-xxx-1:www i577B50D5.versane:63081 LAST_ACK
tcp6       0    468 static.88-198-xxx-1:www p54AF6794.dip.t-di:2761 FIN_WAIT1
tcp6       0    454 static.88-198-xxx-1:www p54808D52.dip0.t-:61491 FIN_WAIT1
tcp6       0    454 static.88-198-xxx-1:www dyndsl-085-016-23:64485 FIN_WAIT1
tcp6       0    468 static.88-198-xxx-1:www i577A6ADB.versanet:4688 LAST_ACK
tcp6       0    454 static.88-198-xxx-1:www Q7bf8.q.strato-ds:62457 FIN_WAIT1
tcp6       0    468 static.88-198-xxx-1:www Q7bf8.q.strato-ds:62459 FIN_WAIT1
tcp6       0    468 static.88-198-xxx-1:www Q7bf8.q.strato-ds:62458 FIN_WAIT1
tcp6       0    469 static.88-198-xxx-1:www Q7bf8.q.strato-ds:62460 FIN_WAIT1
tcp6       0    454 static.88-198-xxx-1:www p5081F255.dip.t-d:62195 LAST_ACK
tcp6       0    469 static.88-198-xxx-1:www pD95DFED9.dip.t-di:4420 LAST_ACK
tcp6       0    468 static.88-198-xxx-1:www pD95DFED9.dip.t-di:4419 LAST_ACK
tcp6       0    468 static.88-198-xxx-1:www pD9581186.dip.t-d:62408 FIN_WAIT1
tcp6       0    469 static.88-198-xxx-1:www pD9581186.dip.t-d:62409 FIN_WAIT1
tcp6       0    454 static.88-198-xxx-1:www pD9581186.dip.t-d:62406 FIN_WAIT1
tcp6       0    468 static.88-198-xxx-1:www pD9581186.dip.t-d:62407 FIN_WAIT1
Das ist nur ein Ausschnitt, komplett sind es ca. 140 Zeilen.

Apachetop liefert mir auch keine besonderen Infos, der Load ist ganz normal.

Sobald Ich aber per iptables die Firewall bis auf SSH zumache, verschwinden die verbindungen nach einer Weile.
Sobald Ich die wieder aufmache, habe Ich gerade 450 Verbindungen die sofort
aufgebaut werden!

Das ist 100%ig ein Dos Angriff von verschiedenen Computer aus. Nur was kann Ich dagegen tun?

Gruß Kevin

Re: Angriff

Posted: 2006-12-29 14:32
by Joe User
Du kannst nur Apache und seine Module abspecken und günstiger konfigurieren. Wenn das nicht ausreicht den HTTPd wechseln (lighttpd) und als letzte Option abschalten und abwarten. Wenn es ein echter (D)DoS ist, hilft Dir eventuell Dein Anbieter, was er allerdings nicht (kostenlos) muss.

Re: Angriff

Posted: 2006-12-29 14:35
by flo
keepalives off und sehen, wie sich das ganze entwickelt, aber möglichst währenddessen drüber bleiben - kann es auch einfach sein, daß eine Deiner Seiten gut besucht wird?

flo.

Re: Angriff

Posted: 2006-12-29 14:40
by kevink
Hi,

@Joe User:
Der Apache hatte aber nicht mal 2% von der CPU Leistung her gebraucht, und Module habe Ich kaum welche drinnen.

@flo:
Naja, Ich hatte 20 Abrufe in der Sekunde schon davor, und jetzt aufeinmal?

Hehe, habe nun folgendes gemacht:
Ich hatte noch eine IP-Adresse frei, d.h. Ich habe meine Domain, auf die die Angriffe gehen umgestellt zu einer anderen.
Die alte IP habe Ich geblockt. Und, wer häts gedacht? Keine 400 Ips mehr in netstat :).

Das war doch tatsächlich ein Angriff. 1. durch die viele IPs und 2. mehrmals die gleiche IP.

Ok, aber das ist auch keine Lösung, kann man sich dagegen denn gar nicht schützen?

Gruß Kevin

Re: Angriff

Posted: 2006-12-29 14:43
by Joe User
kevink wrote:Ok, aber das ist auch keine Lösung, kann man sich dagegen denn gar nicht schützen?
Nicht bei den Billigangeboten und ohne entsprechendes Know-How.

Re: Angriff

Posted: 2006-12-29 14:48
by kevink
Ich hoste bei http://www.Hetzner.de. Und da Ich mit einem Dos-Angriff noch nicht konfroniterit wurde, frage Ich ja nach.

Re: Angriff

Posted: 2006-12-29 14:55
by micho
zählt Ihr Hetzner zu den "Billiganbietern" PReisgünstig sind sie zumindest

Re: Angriff

Posted: 2006-12-29 14:58
by Joe User
Ja.

Re: Angriff

Posted: 2006-12-29 14:59
by a-n
Habe so ziemlich das gleiche Problem wie du :)

http://www.rootforum.org/forum/viewtopic.php?t=44044

Scheint eine neue Masche zu sein, nicht mit Bandbreite sondern mit vielen kleinen Paketen (DDoS) den Apache unerreichbar zu machen.

Eine wirkliche Lösung habe ich noch keine gefunden.

Re: Angriff

Posted: 2006-12-29 15:05
by micho
@Joe user
verrätst Du, wo Du hostest?

Re: Angriff

Posted: 2006-12-29 15:19
by Joe User
Das findest Du per SuFu selbst raus ;)

Re: Angriff

Posted: 2006-12-30 21:28
by simcen
Entschuldigt meinen dummen Kommentar, aber ich kanns nicht lassen:
Betr. SuFu:
http://www.sufuorg.com/ :)

Gruss
Simon

Re: Angriff

Posted: 2006-12-30 22:42
by Joe User
YMMD

Re: Angriff

Posted: 2006-12-31 03:30
by flo
Na, lecker ...

Re: Angriff

Posted: 2006-12-31 18:04
by simcen
SCNR ;)

Guten Rutsch!
All times are UTC+01:00
Page 1 of 1