Ab und an passiert es, dass eine Webseite eines Kunden gehackt wird. Wenn wir dann innert kurzer Zeit eine oder mehrere Abuse-Mails bekommen, haben wir noch Glück gehabt und können der Sache nachgehen - ohne schwerwiegendere Folgen.
Meine Frage ist, ob jemand ein Tool oder eine Vorgehensweise kennt, selber frühzeitig solche Aktivitäten zu entdecken.
Wir verwenden SuUE 11.4, PLESK, Apache
DDOS aus dem eigenen Webserver
-
ddm3ve
- Moderator
- Posts: 1235
- Joined: 2011-07-04 10:56
Re: DDOS aus dem eigenen Webserver
Eine dedizierte Firewall.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.
-
danu
- Posts: 264
- Joined: 2005-02-02 11:15
Re: DDOS aus dem eigenen Webserver
Sorry, ich habe nicht erwähnt, dass unsere Webserver bei STRATO stehen. Deshalb muss ich nach einer andern Lösung suchen.
-
Joe User
- Project Manager
- Posts: 11183
- Joined: 2003-02-27 01:00
- Location: Hamburg
Re: DDOS aus dem eigenen Webserver
Den Webusern per SELinux/AppArmor/whatever das Erzeugen von Sockets unterbinden.
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
-
ddm3ve
- Moderator
- Posts: 1235
- Joined: 2011-07-04 10:56
Re: DDOS aus dem eigenen Webserver
Eben, Du musst Dir eine andere Lösung suchen. Die nächste sinnvolle und effektivste Lösung ist ein entsprechendes Colocoation und eine Firewall davor klemmen. Der Rest hilft Dir nur so weit, wie der Angreifer unbedarft ist.danu wrote:Sorry, ich habe nicht erwähnt, dass unsere Webserver bei STRATO stehen. Deshalb muss ich nach einer andern Lösung suchen.
Wenn sich bei "einem" Kunden regelmässig löcher öffnen und genutzt werden, dann sind da erwartungsgemäss auch ein paar findige Kollegen auf dem Radar.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.
-
danu
- Posts: 264
- Joined: 2005-02-02 11:15
Re: DDOS aus dem eigenen Webserver
Colocations und Firmennetzwerk sind wir laufend am optimieren. Dabei haben wir von einer Partnerfirma -zig Hostingkunden übernommen, u.a. mit älteren Joomla's, in "vergessenen" Subdomains.
Ja, ich danke euch schon mal für die paar Tips. Ich sehe jedenfalls eine Menge Arbeit vor mir.
Ja, ich danke euch schon mal für die paar Tips. Ich sehe jedenfalls eine Menge Arbeit vor mir.
-
ddm3ve
- Moderator
- Posts: 1235
- Joined: 2011-07-04 10:56
Re: DDOS aus dem eigenen Webserver
Also als quick Tipps und Stichworte:
Snort, IDS, logwatch.
Das bringt Dir aber nur etwas, wenn Du es zeitnah auswertest und sehr kurzfristig reagieren kannst.
Generell würde ich ein Monitoring aufsetzen, dass ggf. bei deutlich stärkerem Netzwerktraffik etc. alarm schreit und dich schnellstmöglich informiert.
Das ganze macht leider aber erst dann Sinn, wenn es auf externe Systeme aufsetzt und an externen Messpunkten misst. z.B. den Traffic (Menge und Art) an der Firewall oder Switch etc.
Generell würde ich jedoch ausgehenden Datenverkehr erstmal blocken.
Für einzelne Dienste lässt sich das nur schwehr bewerkstelligen, aber hier kann man dann auf eine Drosselung z.B. eingehen um das schlimmste wenigstens zu mildern.
Hier fängt es halt leider an, dass Rootserver bei hostern nicht die notwendige Möglichkeiten bieten.
Ich habe allerdings bei deinem Provider lange auf vlans gesetzt und in der Tat auch hierüber den ausgehenden Netzwerktraffik durch einen davor liegendes Gateway (rootsever im vlan) gefiltert, analysiert und bei bedarf auch geblockt.
Snort, IDS, logwatch.
Das bringt Dir aber nur etwas, wenn Du es zeitnah auswertest und sehr kurzfristig reagieren kannst.
Generell würde ich ein Monitoring aufsetzen, dass ggf. bei deutlich stärkerem Netzwerktraffik etc. alarm schreit und dich schnellstmöglich informiert.
Das ganze macht leider aber erst dann Sinn, wenn es auf externe Systeme aufsetzt und an externen Messpunkten misst. z.B. den Traffic (Menge und Art) an der Firewall oder Switch etc.
Generell würde ich jedoch ausgehenden Datenverkehr erstmal blocken.
Für einzelne Dienste lässt sich das nur schwehr bewerkstelligen, aber hier kann man dann auf eine Drosselung z.B. eingehen um das schlimmste wenigstens zu mildern.
Hier fängt es halt leider an, dass Rootserver bei hostern nicht die notwendige Möglichkeiten bieten.
Ich habe allerdings bei deinem Provider lange auf vlans gesetzt und in der Tat auch hierüber den ausgehenden Netzwerktraffik durch einen davor liegendes Gateway (rootsever im vlan) gefiltert, analysiert und bei bedarf auch geblockt.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.