soweit ich weiß war wirklich nur filecache betroffen, wobei die wirklich heftige ddos attacken hatten.. auch wennses glaub ich erst net zugegeben haben...

sonst ist mir keiner bekannt.. gibt ein hoster der setzt schon seit 8 monaten auf strato..
meiner rennt auch seit 2 monaten etwa ununterbrochen

trojan

meiner ist seit samstag weg... mit eben dieser begründung :

Zitat:

Hiermit möchten wir Sie informieren, dass uns unsere Techniker vom STRATO Rechenzentrum darüber in Kenntnis gesetzt haben, dass von Ihrem Server mit dem Hostnamen: h775860.serverkompetenz.net mit der Auftragsnummer: * eine DoS-Attacke (Denial of Service) ausgeht.
Dieser Vorgang beeinträchtigt die technische Infrastruktur der STRATO Medien AG auf nicht akzeptable Weise und verstößt damit gegen die Regelbetriebsbedingungen unserer Allgemeinen Geschäftsbedingungen, die Sie jederzeit im Internet einsehen können unter: http://www.strato.de/full/STRATO/agb.html

Es ist möglich, dass sich ein Dritter Zugang zu den root-Benutzerrechten auf Ihrem Server verschafft hat. In jedem Fall wird Ihr Server einer Teilsperrung unterzogen, um weiteren Schaden für alle Beteiligten zu vermeiden.
Trotz dieser Sperrung ist es Ihnen weiterhin möglich, über die RemoteConsole, die Sie im Kundenservicebereich aktivieren können, eine SSH-Verbindung zu Ihrem Server aufzunehmen. Mit Hilfe dieser Verbindung können Sie entsprechende Maßnahmen einleiten, die den Regelbetrieb wiederherstellen. Eine Anleitung zur Benutzung der RemoteConsole finden Sie hier unter folgendem Link:
http://strato-faq.de/view.php4?articleid=1190

Nach erfolgter Beseitigung der Ursache des Problems setzen Sie uns in Kenntnis, dass wir den Server wieder freischalten können. Als Termin haben wir uns spätestens den 20.03.2006 vorgemerkt.

Falls Sie die Vermutung hegen, dass ein Dritter Ihren Server gehackt hat, empfehlen wir Ihnen eine Sicherung Ihrer persönlichen Dateien auf dem Server und eine Neuinstallation des Servers. Erzeugen Sie mit dem Befehl "tar cvfz /backup.tgz <verzeichnisname>" Backupdateien Ihrer persönlichen Dateien. Geben Sie dann den Befehl "/etc/init.d/networking stop" ein, booten Sie danach im RecoveryModus und kopieren Sie Ihre Dateien per FTP oder SSH auf einen anderen Server.

Wir müssen hier das Interesse aller Internetnutzer über das Interesse eines Einzelnen unserer Kunden stellen und bitten dafür um Verständnis. Falls Sie noch weitere Fragen haben, stehen wir Ihnen selbstverständlich jederzeit gerne zur Verfügung.

nur habe ich von einer DoS attacke nichts mitbekommen... nur den ganz normalen wochenend traffic (samstag 320gb) , da ich für winboard.org die UpdateDVDs und FreewareDVDs hoste...

wer hostet denn noch bei strato?

repeXX

hmmmmm.... das hört sich ja nicht gut an...
nur wer weiß evtl wars ja doch ddos..
aber das is ja nun schwer zu sagen, nachdem
der server weg ist... vielleicht kannste das ja nochmal mit denen klären..
un 320gb is net sooooo viel am tach...
hab bei meinem oft auch 800gb am tag...
nur is meiner defintiv noch net ddos't worden...

hmm is natürlich jetz doof :x
frag ma nach ob deh wenigstens die daten noch sichern kannst :x

trojan

kann man das unterscheiden ob es DoS ist oder normaler andrang?

getelt hab ich mit denen schon, nur kommt die sperrung von der abuse abteilung und die abuse erreicht man nur per mail... und bis die antworten is wieder wochenende...

repeXX

Zitat:

Zitat von trojan

kann man das unterscheiden ob es DoS ist oder normaler andrang?

getelt hab ich mit denen schon, nur kommt die sperrung von der abuse abteilung und die abuse erreicht man nur per mail... und bis die antworten is wieder wochenende...

ja kann man sicherlich..
ddos attacken, da gehen ja extrem viele attacken auf die seite, also extrem viele zugriffe..
das kann man sehr wohl unterscheiden..

ich hab auch mal mit der abuse abteilung zu tun gehabt und die ham mir sogar am samstag um 23 uhr noch in 20 min geantwortet, allerdings hab ich auch zusätzlich ein fax geschickt

trojan

...ab gerade mit jmd telefoniert, der war sehr kompetent

ausnahmsweise^^

Also Strato kann nicht sagen ob es ein DoS oder am Traffic lag... die zählen nur die Pakete ... und da hatte ich am Samstag Abend knapp 20.000 pro Sekunde... das war wohl über dem Schwellenwert, wie hoch der Schwellenwert genau ist konnte der Herr mir aber nicht sagen. Auch konnte er mir nicht sagen wieso dieser Schwellenwert nicht in den AGB angegeben ist.
Der Herr meinte weiterhin, dass ich mich per remoteconsole anmelden soll um as Problem zu beheben... nur der Vogel hat scheinbar übersehn, dass ich einen Win-Server hab und das man da nicht soo viel über cmd machen kann wie bei linux

aus dem grund wird der Server in den nächsten 30-60min wieder freigeschaltet... aber er sagte mir, das der Server sofort wieder eine Halbsperre bekommt sobald wieder der unbekannte Schwellenwert überschritten wird...

bin nicht so happy über diesen Schwellenwert... vorallem das die es auf DoS schieben und es noch nichteinmal beweisen können...!

repeXX

20.000 pro Sekunde
also das is sauheftig!
und ganz sicher ddos...

naja zum glück is deiner ja wieder frei passt ja dann

sindse doch was kulant da...

alerdings würd ich genau schauen was jetz mit deinems erver los ist, net das
die den wieder sperren...

denn 20k pro sec is net normal und gasnz sicher ddos..
würd da aufpassen evtl noch jemand dritten zur beratung hohlen, der
dir dabei helfen kann..

trojan

hier is das traffic pic der letzten 7 Tage

aber wie soll ich mich davor schützen?

gibts WIN-tools womit man die max packets / s begrenzen kann?

mittlerweile ist der Server wieder frei

hoffe das das nicht nochmal passiert...

Bestrafer

Zitat:

Hiermit möchten wir Sie informieren, dass uns unsere Techniker vom STRATO Rechenzentrum darüber in Kenntnis gesetzt haben, dass von Ihrem Server mit dem Hostnamen: h775860.serverkompetenz.net mit der Auftragsnummer: * eine DoS-Attacke (Denial of Service) ausgeht.

Laut dieser Information war dein Server nicht ZIEL sondern QUELLE einer DoS-Attacke.

Es ist also zu vermuten, dass sich irgendjemand Zugriff zu deinem Server verschafft hat und diese Pakete von deinem Server aus gegen Ziele schickt.

Damit verursachter Traffic muss dadurch nicht zwingend "bemerkbare" Groessenordnungen erreichen.

Schuetzen kannst du dich nur indem du deinen Server ordentlich absicherst gegen Eindringlinge, Traffic- oder Paketbegrenzungen kann jemand, der einmal auf deinen Server Zugriff hat ohne Probleme aushebeln.

repeXX

ach du kagge!!
puh... also ich hab das 3 fache an traffic...
und hab 5k im extremfall...

trojan

auf dem server ist definitiv niemand. und sicher ist er auch. zumindest bin ich der meinung, dass er sicher ist. lass mich gern eines besseren belehren. würd mich aber wundern wenn man irgendwie reinkommt.

kann das evtl durch eMule / BT erzeugt werden? share da nämlich massig die Autopatcher und den STUFF von winboard...

repeXX

Zitat:

Zitat von trojan

auf dem server ist definitiv niemand. und sicher ist er auch. zumindest bin ich der meinung, dass er sicher ist. lass mich gern eines besseren belehren. würd mich aber wundern wenn man irgendwie reinkommt.

kann das evtl durch eMule / BT erzeugt werden? share da nämlich massig die Autopatcher und den STUFF von winboard...

es muss ka keiner drauf sein, kann ja auch ein angriff von außen sein.. weiß man ja net..
ddos ist jedenfalls immer von außen aus..

und 20k is net normal, dass mein auchn techniker von mir...
wie gesagt hab das 3 fache an traffic und gerade mal 5k in hochzeiten..

Bestrafer

Zitat:

es muss ka keiner drauf sein, kann ja auch ein angriff von außen sein.. weiß man ja net..
ddos ist jedenfalls immer von außen aus..

Strato sagt der Angriff ging von dem Strato-Server aus: Der Server ist die QUELLE des Angriffs, nicht das ZIEL.

Der Packet-Graph zeigt das ebenfalls.

Wenn diese hohe Paketanzahl nicht durch irgendwelche anderen Applikationen generiert werden (mir faellt spontan keine Applikation ein die 20k packets/sec Outgoing produziert) ist es wahrscheinlich dass jemand ueber irgendeine Sicherheitsluecke in deinen Server eingedrungen ist oder irgendein Script dort platziert hat womit dein Server als Angreifer Pakete an das Angriffsziel schickt.

Nimm den Server vom Netz, lokalisier den Eindringling oder das Script und saeubere den Server und fix die Sicherheitsluecken damit es nicht wieder vorkommt.

trojan

ich verstehe nicht, wie mein server die quelle sein soll...

wenn aktuell eine Lücke offen ist werde ich sie nicht schließen können, da es für die benutzten progz zZ keine patches oder updates gibt..

server vom netz nehmen halte ich für schwachsinn... werde die augen offen halten und schauen ob es nochmal auftaucht

repeXX

Zitat:

Zitat von trojan

ich verstehe nicht, wie mein server die quelle sein soll...

wenn aktuell eine Lücke offen ist werde ich sie nicht schließen können, da es für die benutzten progz zZ keine patches oder updates gibt..

server vom netz nehmen halte ich für schwachsinn... werde die augen offen halten und schauen ob es nochmal auftaucht

jau halt ich auch für das beste.. am besten codeste dir eine funtkion dazu, dass eine mail zu dir sendet, wenn deh über 10k kommst..

Bestrafer

Zitat:

ich verstehe nicht, wie mein server die quelle sein soll...

Habe ich schon geschrieben. Wenn dus trotzdem net verstehst, Finger weg von RootServern.

Zitat:

server vom netz nehmen halte ich für schwachsinn...

Und wenn dein Server bei einem DDoS auf z.b. eine deutsche Seite eingesetzt wird, die aus den Logs die Server-IP ersehen und dir erstmal ne Anzeige reindruecken wirst du das in Zukunft nicht mehr fuer Schwachsinn halten, denn DU bist fuer deinen Server verantwortlich und du hast bereits Kenntnis von dem Problem.

trojan

lol und wie soll ich das anstellen? hab ne win-kiste, evtl gibts ja tools dafür, mal schauen^^

//edit

es gibt keinen eindringling oder ein script , und genau aus diesem grund verstehe ich es nicht!

offene sicherheitslücken in progz kann ich nicht fixen da es zZ keine updates / patches für die eingesetzte software gibt!

TheWorld

Schon mal nen Portscan gemacht ob was offen is? Ich mein ohne ports geht ja au ned viel zu machen ^^

LordMat

Zitat:

Zitat von trojan

lol und wie soll ich das anstellen? hab ne win-kiste, evtl gibts ja tools dafür, mal schauen^^

Genau win toolz oh mein gott.

Ja genau weil du das auch weißt vllt findest ja n passendes win tool das dir sagt dein server ist sicher!

da ich davon ausgehe das dein wissen mit der materie linux == 0 ist aber hauptsache n root server zu haben == 100% proll ergibt.

hol dir lieber n cooles win tool das dein server vor boese haecker schuetzt.

trojan

port scans mache ich alle paar tage um eben schädlinge auf zu decken.. aber da ist nichts ungewöhnliches zu sehn

Zitat:

Zitat von LordMat

da ich davon ausgehe das dein wissen mit der materie linux == 0 ist aber hauptsache n root server zu haben == 100% proll ergibt.

wer lesen kann ist klar im vorteil... ich brauch mich mit linux nicht auskennen, da ich keinen linux server habe...

so kommentare kannst du dir sparen, versuche lieber mit etwas sinnvollem deine post in die höhe zu treiben...

LordMat

Zitat:

eine SSH-Verbindung zu Ihrem Server aufzunehmen

und ssh is dann aus spaß an der freude drauf oder?

imho gibts ssh auch fuer windoze. :wire:

edit: even moege es ein windoze server sein aber da seh ich doch relevant auch schon die loesung des problems?

trojan

das steht standard bei denen im webinterface wenn der server gesperrt wird...

die einzigste möglichkeit an den server ran zu kommen bestand durch eine hintertür , undzwar per SSH auf eine linux kiste und von der linux-kiste über serielle schnittstelle an den server

//edit

hättest du den link gelesen der direkt unter diesem satz steht, hättest du dir den post sparen können...

TheWorld

Wenn du alle paar Tage die Ports Scannst dann kann es daran ja schon einmal nicht mehr daran liegen. Kann ja nur noch an irgendeiner Soft liegen die du druff hast... Du saugst auch über das ding?