RootForum Community

Hallo,

1und1 hat uns vorgestern den Switchport dichtgemacht, weil unser Server DOS-Attacken ausführt:

20:26:15.652015 IP XXX.XXX.XXX.XXX.37248 > 200.219.213.203.80: UDP, length 1
20:26:15.652209 IP XXX.XXX.XXX.XXX.37248 > 200.219.213.203.80: UDP, length 1
20:26:15.652222 IP XXX.XXX.XXX.XXX.37248 > 200.219.213.203.80: UDP, length 1
20:26:15.652277 IP XXX.XXX.XXX.XXX.37248 > 200.219.213.203.80: UDP, length 1
20:26:15.652297 IP XXX.XXX.XXX.XXX.37248 > 200.219.213.203.80: UDP, length 1


Nach Änderung des root-Passwortes und einer Verschärfung der Firewall im Rescue-Modus ist Ruhe.

Die Ursache kann aber dadurch nicht gelöst sein.
Eher schon durch den Reboot.

Ein Analyse-Tool zum Firewall-Log suche ich noch, aber grob durchgeschaut find ich da nicht viel.

Was könnte die Ursache sein?
Wo und wie soll ich suchen?

Danke

Ich würde darauf tippen, dass $Angreifer durch eine Lücke in einer Applikation (Webapplikation oder sonstige Server-Dienste, die nach draußen hin angeboten wurden) reingekommen ist. Da wirst Du in den Paketfilter-Logs wohl keine Auffälligkeiten finden...

1. Server vom Netz nehmen
2. Daten sicher
3. neuinstallieren

Wenn der Server schon kompromitiert wurde kannst du dir nie sicher sein was der Angreifer alles installiert hat. Da hilft nur neuinstallieren.

Angriffe erfolgen meistens über schwache Passwörter oder unsichere Webapps.