DDOS aus dem eigenen Webserver

Rund um die Sicherheit des Systems und die Applikationen
danu
Posts: 263
Joined: 2005-02-02 11:15

DDOS aus dem eigenen Webserver

Post by danu » 2012-05-29 13:09

Ab und an passiert es, dass eine Webseite eines Kunden gehackt wird. Wenn wir dann innert kurzer Zeit eine oder mehrere Abuse-Mails bekommen, haben wir noch Glück gehabt und können der Sache nachgehen - ohne schwerwiegendere Folgen.
Meine Frage ist, ob jemand ein Tool oder eine Vorgehensweise kennt, selber frühzeitig solche Aktivitäten zu entdecken.

Wir verwenden SuUE 11.4, PLESK, Apache

ddm3ve
Moderator
Moderator
Posts: 1187
Joined: 2011-07-04 10:56

Re: DDOS aus dem eigenen Webserver

Post by ddm3ve » 2012-05-29 13:30

Eine dedizierte Firewall.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.

danu
Posts: 263
Joined: 2005-02-02 11:15

Re: DDOS aus dem eigenen Webserver

Post by danu » 2012-05-29 19:23

Sorry, ich habe nicht erwähnt, dass unsere Webserver bei STRATO stehen. Deshalb muss ich nach einer andern Lösung suchen.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: DDOS aus dem eigenen Webserver

Post by Joe User » 2012-05-29 21:27

Den Webusern per SELinux/AppArmor/whatever das Erzeugen von Sockets unterbinden.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

ddm3ve
Moderator
Moderator
Posts: 1187
Joined: 2011-07-04 10:56

Re: DDOS aus dem eigenen Webserver

Post by ddm3ve » 2012-05-30 13:30

danu wrote:Sorry, ich habe nicht erwähnt, dass unsere Webserver bei STRATO stehen. Deshalb muss ich nach einer andern Lösung suchen.


Eben, Du musst Dir eine andere Lösung suchen. Die nächste sinnvolle und effektivste Lösung ist ein entsprechendes Colocoation und eine Firewall davor klemmen. Der Rest hilft Dir nur so weit, wie der Angreifer unbedarft ist.

Wenn sich bei "einem" Kunden regelmässig löcher öffnen und genutzt werden, dann sind da erwartungsgemäss auch ein paar findige Kollegen auf dem Radar.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.

danu
Posts: 263
Joined: 2005-02-02 11:15

Re: DDOS aus dem eigenen Webserver

Post by danu » 2012-05-31 07:55

Colocations und Firmennetzwerk sind wir laufend am optimieren. Dabei haben wir von einer Partnerfirma -zig Hostingkunden übernommen, u.a. mit älteren Joomla's, in "vergessenen" Subdomains.
Ja, ich danke euch schon mal für die paar Tips. Ich sehe jedenfalls eine Menge Arbeit vor mir.

ddm3ve
Moderator
Moderator
Posts: 1187
Joined: 2011-07-04 10:56

Re: DDOS aus dem eigenen Webserver

Post by ddm3ve » 2012-05-31 14:58

Also als quick Tipps und Stichworte:

Snort, IDS, logwatch.

Das bringt Dir aber nur etwas, wenn Du es zeitnah auswertest und sehr kurzfristig reagieren kannst.

Generell würde ich ein Monitoring aufsetzen, dass ggf. bei deutlich stärkerem Netzwerktraffik etc. alarm schreit und dich schnellstmöglich informiert.

Das ganze macht leider aber erst dann Sinn, wenn es auf externe Systeme aufsetzt und an externen Messpunkten misst. z.B. den Traffic (Menge und Art) an der Firewall oder Switch etc.

Generell würde ich jedoch ausgehenden Datenverkehr erstmal blocken.
Für einzelne Dienste lässt sich das nur schwehr bewerkstelligen, aber hier kann man dann auf eine Drosselung z.B. eingehen um das schlimmste wenigstens zu mildern.

Hier fängt es halt leider an, dass Rootserver bei hostern nicht die notwendige Möglichkeiten bieten.
Ich habe allerdings bei deinem Provider lange auf vlans gesetzt und in der Tat auch hierüber den ausgehenden Netzwerktraffik durch einen davor liegendes Gateway (rootsever im vlan) gefiltert, analysiert und bei bedarf auch geblockt.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.