Merkwürdiger Pakettransfer, Angriff?

Apache, Lighttpd, nginx, Cherokee
acu
Posts: 11
Joined: 2006-03-23 20:41
Location: Leipzig

Merkwürdiger Pakettransfer, Angriff?

Post by acu » 2007-02-21 01:23

Hallo!
Ich habe einen rootDS bei server4you (bitte keine Kommenare dazu).
Heute (bzw. jetzt gestern) hatte S4you (mal wieder) heftig mit einer DOS-Attacke zu kämpfen. Ging soweit, dass die Verbindung zu meinem Server nichtmehr möglich war.
So das war die Hintergrundinfo.
Mein eigentliches Problem ist, dass mein Server merkwürdigen Transfer von Paketen verursacht. Kurz vor dem Zusammenbruch der Verbindung sieht man, dass dieser Transfer ansteigt. Ich habe schon alles durchgecheckt, mein Server scheint nicht gehackt worden zu sein. Wie mein beim Traffic sehen kann, wird auch nicht richtig viel übertragen, aber halt konstant.
Auf dem Server läuft apache2 und mysql. Außerdem ein teamspeaksserver.
Den tss hatte ich erst im verdacht, weil der auch immer ziemlich viel Pakete verschickt, aber zu der Zeit war keiner auf dem Server.
Hat das was mit dem DOS-Angriff zu tun?

Hier die Grafiken:
Traffic
Pakete

Es würde mir wahrscheinlich schon einiges helfen, wenn ich sehen könnte, über welches Programm der Transfer kommt.

Vielen Dank schon im Vorraus.


MfG Marcus

sledge0303
Posts: 695
Joined: 2005-09-16 00:06
Location: Berlin-Reinickendorf

Re: Merkwürdiger Pakettransfer, Angriff?

Post by sledge0303 » 2007-02-21 09:44

Schau doch einfach mal in den Logs nach ob irgendetwas auffälliges zu finden ist. Ein Bekannter mit seinem S4U hat mir aber ähnliches berichtet, allderdings ist es schon ein paar Tage her.

bfrackie
Posts: 63
Joined: 2003-08-26 12:00

Re: Merkwürdiger Pakettransfer, Angriff?

Post by bfrackie » 2007-02-21 11:05

mich würde interessieren, woher du weisst, das es eine DOS Attacke war?

Ich habe auch einen V-Server dort, der per Nagios ein paar andere Server überwacht, und auch in den letzten zwei Tagen grosse Erreichbarkeitsprobleme.

Grüße,

Bart

acu
Posts: 11
Joined: 2006-03-23 20:41
Location: Leipzig

Re: Merkwürdiger Pakettransfer, Angriff?

Post by acu » 2007-02-21 11:33

Ich habe eben nochmal geguckt, der komische Traffic ist immernoch da.
Das Problem ist, dass ich nichtmal weiß in welchen logs ich suchen muß.

Hier die Nachricht von S4you von gestern aus dem PowerPanel:
20.02.2007 - 18:04:11 - Netzwerkstörung

Sehr geehrter Kunde,

im Laufe des heutigen Nachmittags kam es zwischen 16:50 Uhr und 17:05 Uhr zu kurzzeitigen Netzwerkstörungen aufgrund einer massiven DOS-Attacke, welche über mehrere Carrier das Netzwerk der vServer angriff. Durch eine schnelle Reaktion konnten die Beeinträchtigungen auf wenige Minuten begrenzt werden und es werden für die Zukunft umfangreiche Gegenmaßnahmen ausgearbeitet.

Mit freundlichen Grüßen
Ihr Server4You Support-Team
EDIT:

Ich habe jetzt diese "Power Firewall" von Server4you wieder aktivert.
Außerdem habe ich den Teamspeak Server neu gestartet. Und siehe da plötzlich ist der Spuck vorbei. Ich habe keine Ahnung, was da los war.


MfG ACU