RootForum Community

Resources for System-Administrators
https://www.rootforum.org/forum/

Attacke von IPs

https://www.rootforum.org/forum/viewtopic.php?t=50166

Page 1 of 1

Attacke von IPs

Posted: 2009-03-15 01:09
by kreuzwald
Hallo !

Mein Server scheint angegriffen worden zu sein:

Apache Log: http://nopaste.com/p/aiiAPZ898

IPs: http://nopaste.com/p/acFoaHzBB

Es scheint ein Bot-Netz aus infizierten Windows-Servern zu sein. Mein Server läuft unter Linux. Kann ich dieses IPs irgendwie sperren und ggf. irgendwo melden ?

Wie kann ich sicher gehen, dass nicht auch mein Server infiziert wurde ?

Danke

Gruß

Kreuzwald

Re: Attacke von IPs

Posted: 2009-03-15 02:35
by daemotron
Das gehört doch schon zum normalen Hintergrund-Rauschen... Da Dein Server immer schön brav mit Status 400 geantwortet hat, haben die Requests auch keinen Schaden angerichtet. Wirklich etwas dagegen tun kannst Du nicht. Wenn Du zu viel Zeit hast, kannst Du ja die Abuse-Adressen für die IPs per whois rauspopeln und auf diesem Wege die Provider informieren. Ich mache das aber mittlerweile nur noch, wenn die Quelle ein dedizierter Server bei einem Provider in DE, AT oder CH ist - dort reagiert man wenigstens noch auf Abuse-Meldungen.

Problematisch wird es erst, wenn so viele Requests dahinter stecken, dass Dein Server ge-DDoS-t wird (sprich: die Last durch die Müll-Anfragen so stark nach oben getrieben wird, dass normale Requests nicht mehr durchkommen oder nur noch verzögert bedient werden können). In dem Fall bleibt Dir nur, deinen Provider um eine neue IP zu bitten oder wenn das nicht hilft, mit einer dedizierten Firewall und entsprechenden Regelsätzen den Server am Leben halten (das macht viel Arbeit, da die Regelsätze ständig angepasst werden müssen, hilft aber bei geschäftskritischen Systemen, zumindest eine gewisse Erreichbarkeit zu ermöglichen).

Re: Attacke von IPs

Posted: 2009-03-15 09:42
by kreuzwald
Das gehört doch schon zum normalen Hintergrund-Rauschen... Da Dein Server immer schön brav mit Status 400 geantwortet hat
GET /w00tw00t.at.ISC.SANS.DFind:

Was ist denn das für eine komische Anfrage ?

Es ist nicht auszuschließen, dass auch die anderen Server-Dienste gescannt wurden, oder ?

Kreuzwald 8-[

Re: Attacke von IPs

Posted: 2009-03-15 10:32
by Roger Wilco
Kreuzwald wrote:GET /w00tw00t.at.ISC.SANS.DFind:

Was ist denn das für eine komische Anfrage ?
Einfach mal eine Suchmaschine damit bemühen. Das ist alles andere als unbekannt...
Kreuzwald wrote:Es ist nicht auszuschließen, dass auch die anderen Server-Dienste gescannt wurden, oder ?
Nein, ist es nicht.
All times are UTC+01:00
Page 1 of 1