|   
26 February 2010, 18:16
| | Delftsche Bytes | Branche: Internetdiensten, webhosting, dedicated en colocatie diensten, VPS/VDS, domeinnamen Ondernemingsnummer BE: nvt | | Geregistreerd: 27 September 2006 Locatie: Rijswijk
Berichten: 638
| | | tsjek ook ff of het wel allemaal outbound was, het kan ook zijn dat je stats vooral inkomend verkeer of zelfs broadcast meet. Je hebt dan slechts netjes in kaart gebracht wat de omvang van de ddos bij i3d was, zonder daar verder zelf aan deel te nemen. Zou niet voor het eerst zijn dat iemand zijn server ondersteboven keert om uit te zoeken wat nu het probleem is, terwijl het slechts verkeerde parameters zijn die gemeten worden
__________________
-- HostingLines --
Om links of plaatjes te kunnen zien heb je tenminste 10 of meerdere posts nodig. Op dit moment heb je 0 posts.
-- |
26 February 2010, 18:38
| | resU deretsigeR | Branche: Hosting, PHP, CSS Servers Ondernemingsnummer BE: nvt | | Geregistreerd: 1 July 2008 Locatie: Zuid-Holland
Berichten: 25
| | Citaat:
Oorspronkelijk geplaatst door Lite-On  Aha, daar kwam dus deels de overlast vandaan  | ?? Wat bedoel je hiermee.
Het is (ifconfig) outbound.
Als ik bij de stats van I3D gaat kijken is het Incoming. Maar dit is (imo) logisch te verklaren als hun van hun routers uitgaan...
Ik heb nog geen bericht van Randy.
__________________
Hoi.
Doei. |
26 February 2010, 18:40
| | Gaming Industry | Branche: Gaming Industry Ondernemingsnummer BE: nvt | | Geregistreerd: 12 September 2005 Locatie: Zuid Holland
Berichten: 4.984
| | Citaat:
Oorspronkelijk geplaatst door arjenlodder ?? Wat bedoel je hiermee.
Het is (ifconfig) outbound.
Als ik bij de stats van I3D gaat kijken is het Incoming. Maar dit is (imo) logisch te verklaren als hun van hun routers uitgaan...
Ik heb nog geen bericht van Randy. | Klopt; incoming vanuit de switch gezien (dus van server naar switch).
__________________
Gaming from the GSPs PoV:
Om links of plaatjes te kunnen zien heb je tenminste 10 of meerdere posts nodig. Op dit moment heb je 0 posts.
PC & Microsoft XBOX360 & PS3 hosting in Amsterdam, Rotterdam, Frankfurt, London, Paris, Tokyo, Sydney
Om links of plaatjes te kunnen zien heb je tenminste 10 of meerdere posts nodig. Op dit moment heb je 0 posts.
|
26 February 2010, 19:09
| | Registered User | Branche: Webhosting, Servers, Netwerken, ICT Ondernemingsnummer BE: nvt | | Geregistreerd: 28 January 2006 Locatie: Tilburg
Berichten: 872
| | Citaat:
Oorspronkelijk geplaatst door arjenlodder ?? Wat bedoel je hiermee.
Het is (ifconfig) outbound.
Als ik bij de stats van I3D gaat kijken is het Incoming. Maar dit is (imo) logisch te verklaren als hun van hun routers uitgaan...
Ik heb nog geen bericht van Randy. | Een server binnen ons netwerk was doelwit. |
26 February 2010, 19:11
| | resU deretsigeR | Branche: Hosting, PHP, CSS Servers Ondernemingsnummer BE: nvt | | Geregistreerd: 1 July 2008 Locatie: Zuid-Holland
Berichten: 25
| | 
Tja, kan alleen maar zeggen dat het me spijt...
Wist het zelf namelijk ook niet... En waar zijn 'jullie' van? Waarom zouden 'jullie' aangevallen moeten worden?
__________________
Hoi.
Doei. |
27 February 2010, 02:37
| | Registered User | Branche: ICT / Webhosting Ondernemingsnummer BE: nvt | | Geregistreerd: 18 June 2004 Locatie: Maastricht
Berichten: 822
| | Citaat: |
Een server binnen ons netwerk was doelwit.
| Zal best maar er hebben toch heel wat meer systemen last van gehad. 
Ben benieuwd wat Randy gevonden heeft. Al doende leert men... |
27 February 2010, 09:49
| | Registered User | Branche: Webhosting, Servers, Netwerken, ICT Ondernemingsnummer BE: nvt | | Geregistreerd: 28 January 2006 Locatie: Tilburg
Berichten: 872
| | Citaat:
Oorspronkelijk geplaatst door Blacky Zal best maar er hebben toch heel wat meer systemen last van gehad. | Heb ik gezegd dat hij de enigste was? ;-)
Was een grote groep sources, allemaal servers welke waarschijnlijk op dezelfde manier infected (bots) waren. |
27 February 2010, 19:06
| | resU deretsigeR | Branche: Hosting, PHP, CSS Servers Ondernemingsnummer BE: nvt | | Geregistreerd: 1 July 2008 Locatie: Zuid-Holland
Berichten: 25
| | Ik heb nog niets gehoord van Randy, wel heb ik hem netjes een mail met de gegevens gestuurd.
Mocht ik nog iets horen hou ik jullie op de hoogte 
Het is trouwens nog steeds aan de gang. 266GB vandaag weer :S
__________________
Hoi.
Doei. |
27 February 2010, 19:16
| | chattr +i -R /* | | | Geregistreerd: 21 January 2008 Locatie: België
Berichten: 1.542
| | Citaat:
Oorspronkelijk geplaatst door arjenlodder Ik heb nog niets gehoord van Randy, wel heb ik hem netjes een mail met de gegevens gestuurd. | Randy is een drukke man, geef hem even tijd en hij fixt het (lees: heeft het al gedaan als ik het goed lees op de twitter :-) of dat was een ander :-) )
__________________
Tim Bracquez
Web ::
Om links of plaatjes te kunnen zien heb je tenminste 10 of meerdere posts nodig. Op dit moment heb je 0 posts.
Mail ::
Om links of plaatjes te kunnen zien heb je tenminste 10 of meerdere posts nodig. Op dit moment heb je 0 posts.
Diensten (BE, FR, NL) :: Freelance management, Colocation, Dedicated servers, ... |
1 March 2010, 10:44
| | resU deretsigeR | Branche: Hosting, PHP, CSS Servers Ondernemingsnummer BE: nvt | | Geregistreerd: 1 July 2008 Locatie: Zuid-Holland
Berichten: 25
| | | Ik denk niet dat dat mijn server was.
Vandaag heb ik er namelijk weer last van. Gister echter niet.
Het is ook elke keer op een ander tijdstip, dus een cronjob zal het niet zijn.
Ik sta voor een raadsel.
__________________
Hoi.
Doei. |
1 March 2010, 10:52
| | Registered User | Branche: Hosting & Web development Ondernemingsnummer BE: nvt | | Geregistreerd: 3 September 2008 Locatie: Maasbracht
Berichten: 1.746
| | Citaat:
Oorspronkelijk geplaatst door arjenlodder Ik denk niet dat dat mijn server was.
Vandaag heb ik er namelijk weer last van. Gister echter niet.
Het is ook elke keer op een ander tijdstip, dus een cronjob zal het niet zijn.
Ik sta voor een raadsel. | Het is een bot die gewoon op de achtergrond meedraait. Die uitzetten en verwijderen en je probleem is verholpen. Moet je alleen er nog achter zien te komen hoe deze uberhaupt op je server is gekomen.
__________________
Website:
Om links of plaatjes te kunnen zien heb je tenminste 10 of meerdere posts nodig. Op dit moment heb je 0 posts.
E-mail:
Om links of plaatjes te kunnen zien heb je tenminste 10 of meerdere posts nodig. Op dit moment heb je 0 posts.
|
1 March 2010, 11:59
| | Wanna go? | Branche: Managed Webhosting, Virtual Private Servers (VPS) & Dedicated Servers | | Geregistreerd: 5 January 2010 Locatie: Dendermonde
Berichten: 207
| | | Beginnen met alles te blocken en dan één voor één een port/service toe te laten.
__________________
Om links of plaatjes te kunnen zien heb je tenminste 10 of meerdere posts nodig. Op dit moment heb je 0 posts.
- Managed Webhosting, Virtual Private Servers & Dedicated Servers. |
1 March 2010, 14:33
| | resU deretsigeR | Branche: Hosting, PHP, CSS Servers Ondernemingsnummer BE: nvt | | Geregistreerd: 1 July 2008 Locatie: Zuid-Holland
Berichten: 25
| | Citaat:
Oorspronkelijk geplaatst door Piwi-Web Het is een bot die gewoon op de achtergrond meedraait. Die uitzetten en verwijderen en je probleem is verholpen. Moet je alleen er nog achter zien te komen hoe deze uberhaupt op je server is gekomen. | Maar deze 'bot' is nergens te vinden.
Waar ik wel achter ben gekomen is dat het via Apache2 draait.
Als apache2 stop word gezet is het over. Dus hier zal iets inzitten.
__________________
Hoi.
Doei. |
1 March 2010, 16:09
| | Registered User | Branche: ICT / Hosting Ondernemingsnummer BE: nvt | | Geregistreerd: 18 January 2010 Locatie: Bodegraven
Berichten: 184
| | Apache2 logging aanzetten dus, en eens kijken wat er allemaal overheen gaat.
Mod_Status aanzetten: http://httpd.apache.org/docs/2.0/mod/mod_status.html
krijg je dit soort output: http://httpd.apache.org/server-status
__________________
Om links of plaatjes te kunnen zien heb je tenminste 10 of meerdere posts nodig. Op dit moment heb je 0 posts.
- 1 contact, alle ICT diensten - 0172-636831 |
1 March 2010, 16:21
| | Vivor B.V. | | | Geregistreerd: 19 July 2003 Locatie: Nijmegen / Diemen
Berichten: 2.242
| | | Als zoiets gaande is: registreer wat er gebeurt op je server.
Onmisbare tools:
- iptraf
- netstat
Sluit niet uit dat je netstat binary is overschreven door een andere, dus het loont om de net-tools RPM te herīnstalleren (netstat zit in net-tools).
netstat -lnp geeft dan een mooi overzicht van de daemons die draaien. Als je een botje op je server hebt staan, dan zou die op een bepaalde port moeten luisteren.
Overigens geldt eigenlijk in dit soort gevallen: server compromised = reīnstall. Je weet nooit wat er allemaal is gebeurd en wat er is gewijzigd op je server. Als er ergens een lek zit, dan zit het er nog steeds. Botje vinden en uitschakelen is dan niet meer dan een paracetamolletje tegen de migraine. | | Discussietools | | | | Weergave |  Lineaire weergave |  Regels voor berichten | Je mag geen nieuwe discussies starten Je mag niet reageren op berichten Je mag geen bijlagen versturen Je mag niet je berichten bewerken
HTML-code is Uit
| | |   | |
