PDA

Bekijk Volledige Versie : Server wordt aangevallen



pcmw
12/10/06, 18:31
Beste Heren,

Ik heb met spoed raad en hulp van de ervaren systeembeheerder nodig.

Al een week wordt onze server lastig gevallen door Ddos attacks, denk ik.
Ik krijg op eens een hoge piek aan dataverkeer OUTBOUND. Ik heb naar alles gekeken op de server. Op de server was ook AFP, BFD, Mod_sec geinstalleerd.

In de ochten om 5 tot 7 en in de middag van 17.05 tot 17.15 wordt een hoge piek gemaakt en wordt 100MBit uitgetrokken. Dit veroorzaakt problemen zoals niet bereikbaar zijn van de server en natuurlijk hoge data kosten.

Waar kan ik naar kijken?
Welke kan ik nog meer installeren?
Is er geen programma die IP block als ze te veel vragen?

Ik ben nu echt radeloos en heb echt hulp nodig!

Laat het mij weten.

liber!
12/10/06, 18:34
Op de server zelf kan je weinig doen tegen een ddos. Je zou wel aan je provider kunnen vragen de aanvallende ip's te blokkeren.

Allesinds veel succes!

Ospito
12/10/06, 18:36
Bel (078-6767128) en/of mail (info@ospito.nl) ons maar even de inloggegevens, dan kijken we even voor je, in eerste instantie kosteloos uiteraard.

--Edit

Wacht, ik zit niet goed te lezen.
Het gaat dus enkel om een DDOS die binnenkomt? Er is niet door iemand anders software geinstalleerd en/of een uitgaande DDOS aan de gang? Als dit zo is dan kan ik je niet heel veel helpen. Neem contact op met je leverancier, die kunnen zien op welk IP het gericht is en deze null-routen.

londoneye
12/10/06, 18:38
Is een outgoing DDOS overigens ook mogelijk door een Remote Code execution door bijvoorbeeld een lekke Mambo? (?page=http://hacker.nl/hack.txt)

Kan dit heel veel dataverkeer veroorzaken? Wat kun je hier tegen doen?

RayManZ
12/10/06, 19:01
spamrun? Tenminste dat kan omdat er als ik het goed begrijp verkeer uitgaat?

Kijk anders even je crons na. wil ook nog wel eens iets oplossen. draai even rootkit hunter.

londoneye
12/10/06, 19:22
Wat is momenteel de outgoing bandwidth van de server?
Wat is de normale outgoing bandwidth?

Als je httpd stopt, wordt dan de outgoing bandwidth lager?

sp-services
12/10/06, 19:27
phpbb ook goed checken
we hebben hier ook last van gehad

pcmw
12/10/06, 19:36
Beste Heren,

Het is uitgaand verkeer.. Dus iemand heeft wat geinstalleerd of een script die verkeer veroorzaakt.

Ik heb crontab gecontrleerd er staat niets op. Ik heb alles doorgelopen.
Ik weet niet wat ik moet doen.

Keenondots
12/10/06, 19:46
ps auxw, top .. welke processen lopen er die je niet kent. Restart httpd, is je dataverkeer dan normaal? etc.

mrleejohn
12/10/06, 20:06
> Het is uitgaand verkeer.. Dus iemand heeft wat geinstalleerd of een script die verkeer veroorzaakt.

Klinkt als een hack... niet als een typische ddos.

Ik kan je alleen adviseren je webserver van internet los te koppelen en je server goed te onderzoeken. Of beter.... herinstalleren.

Swiftway-UK
12/10/06, 20:11
1. huur een systeembeheerder
2. geef geen root access aan mensen die je niet kent en waar je geen zakenrelatie mee hebt.

Komt dus neer op: huur een partij in die dit probleem oplost, laat het niet doen als vriendendienst door iemand die je niet kent en geen contract mee hebt, wie weet wat ze installeren.

crazycoder
12/10/06, 20:38
Neem even contact op met je colo leverancier. Zij zouden je wellicht kunnen vertellen wat voor soort verkeer het is.

Verder doe je er inderdaad goed aan om de server offline te halen en grondig te onderzoeken.

Ospito
12/10/06, 21:44
1. huur een systeembeheerder
2. geef geen root access aan mensen die je niet kent en waar je geen zakenrelatie mee hebt.

Komt dus neer op: huur een partij in die dit probleem oplost, laat het niet doen als vriendendienst door iemand die je niet kent en geen contract mee hebt, wie weet wat ze installeren.

Ik neem aan dat je hiermee (mede) doelt op mijn post?!

Voor alle duidelijkheid: dit was alleen bedoeld om iemand te helpen, ik wil eventueel zelfs nog een overeenkomstje tekenen waarin het e.e.a. staat over wat wel en niet de bedoeling is en een geheimhoudingsverklaring. Daarnaast zijn al onze gegevens openbaar (KvK bijvoorbeeld) met (huis)adres in Nederland en al...dus daar hoef je m.i. niet zo bang voor te zijn bij een bedrijf...

Wij doen overigens dit soort diensten ook betaald, dus we hebben al toegang tot vele servers. Het enige verschil voor TS is dat hij voor een simpele check wat er aan de hand is niet zou hoeven te betalen.

londoneye
12/10/06, 21:46
> Het is uitgaand verkeer.. Dus iemand heeft wat geinstalleerd of een script die verkeer veroorzaakt.

Klinkt als een hack... niet als een typische ddos.

Ik kan je alleen adviseren je webserver van internet los te koppelen en je server goed te onderzoeken. Of beter.... herinstalleren.Flink genaaid als het achteraf een klant blijkt te zijn met een lek php-script... phpBB... waardoor veel dataverkeer veroorzaakt wordt.

Magus
12/10/06, 21:57
* Tsjek ook je /tmp en /dev/shm directories

* Tjsek met 'netstat -plan' welke programma's er draaien die netwerk connecties hebben, en met welke ip's en op welke poorten ze die hebben. Staat daar iets wat je niet kent, dan kun je die poort en/of het ip blocken

* Tsjek je logfiles op strings zoals londonee die opperde

alexbik
12/10/06, 21:59
Het gebeurt regelmatig dat er via lekke (php) scripts tooltjes geinstalleerd worden om mee te dossen. Niet om jouw server te dossen, maar om vanaf jouw server anderen te dossen. Met tcpdump, iptraf en dergelijke kun je dat verkeer zichtbaar maken. Meestal staan dit soort dingen dan in /tmp, omdat die directory voor iedereen (en dus ook voor nobody) schrijfbaar is. Het weggooien van die files helpt niet, omdat iets wat draait blijft draaien ook al gooi het het script of de binary zelf weg.

Als je zef niet in staat bent om dit soort dingen uit te zoeken (dat begrijp ik uit je post tenminste), kun je het beste beginnen met het moven van alles wat in /tmp staat naar een andere directory (voor eventueel later onderzoek) en het rebooten van je server. En check of het verkeer dan weg is.

Daarna is het zaak om er iemand bij te halen die goed is in security, bijvoorbeeld de jongens van Madison Gurkha. Alleen files moven en rebooten zou het probleem voor nu best op kunnen lossen, maar de kans is dan natuurlijk groot dat het binnen de kortste keren weer terug is, omdat je niets aan de oorzaak hebt gedaan.

Snelle aktie is in ieder geval wel geboden, omdat je met je uitgaande verkeer anderen waarschijnlijk overlast bezorgt.

pcmw
12/10/06, 22:26
Ik heb de /tmp geleegd.
Via netstat zie ik geen bijzondere programma`s draaien.
Tevens was de /tmp wel beveiligd

De ik "top" check zie ik 1 actief task.

Waar kan ik nog meer checken ?

Guys,

I heb een perl gescript gevonden op de TOP
hoe kan ik achterhalen, van wie deze perl script is en waar deze draait ?

RayManZ
12/10/06, 23:29
ps -aux | grep perl ??

pcmw
13/10/06, 00:35
Beste heren,

Er start automatisch een PERL script op. Ik kill ze allemaal maar toch starten ze. Ik dacht dat ik mijn tmp had beveiligd maar toch krijg ik hoop bestanden op mijn tmp directory.

- Hoe kan ik mijn tmp beveiligen tegen perl scripten ?
- Hoe kan ik die perl script verwijderen

Wil iemand mij aub helpen

maxnet
13/10/06, 00:48
Er start automatisch een PERL script op.

Doe eens "pstree -Aup" en kijk door welk programma het perl script wordt opgestart.

Mocht dit de webserver zijn, kijk dan om welk tijdstip het script is opgestart ( "ps ax -o comm,cmd,lstart |grep perl" ), en kijk in de access log welke website/pagina er op dat exacte tijdstip is opgevraagd.

pcmw
13/10/06, 11:55
Ik heb in de logs gekeken maar daar zit ook niets in.

Hoe kan ik PERL uitzetten ?? Dat perl alleen door Root wordt gedraait en niet door een ander gebruiker?

Keenondots
13/10/06, 11:57
chmod 700 `which perl`
Maar je kunt beter iemand met verstand van zaken naar je server laten kijken, want dit is geen werken natuurlijk. Je post ook geen enkele output van de commando's die je uitvoert zodat wij 0,0 inzicht hebben in jouw probleem.

arvid
13/10/06, 12:07
Ik dacht dat ik mijn tmp had beveiligd maar toch krijg ik hoop bestanden op mijn tmp directory.

Het noexec mounten van /tmp heeft bij scripts geen zin en helpt alleen ter voorkoming van het uitvoeren van binary files. Wat wel heel goed werkt tegen eventuele schade door scripts is het werken met limits.

pcmw
13/10/06, 12:26
Het lijkt alsof alles nu weer normaal is.
BIj de eerste beste keer zal ik ook met output komen.

mrleejohn
13/10/06, 12:46
Heeejjj.... Arvid.... leuk dat je hier ook komt.... welkom.

arvid
13/10/06, 12:49
Heeejjj.... Arvid.... leuk dat je hier ook komt.... welkom.

Thanx :)

pcmw
13/10/06, 12:56
hoe kan ik ervoor zorgen dat scripts met limits werken ?

Swiftway-UK
13/10/06, 13:01
Huur een sysadmin, je kunt toch niet met al je vragen voor een productieplatform wachten op antwoord op een publiek forum?

Elke 95% extra mibt kost je meer geld dan dat je kwijt bent aan een uurtje sysadmin, Ospito heeft al aangeboden dit te doen al dan niet betaald, met een contractje, het heeft naar mijn mening weinig zin om langzaam je informatie hier te vergaren over je specifiek probleem.

Je hebt te weinig kennis hiervoor, huur kennis in, dit gaat je namelijk veel meer geld kosten aan traffic.

arvid
13/10/06, 13:03
Lees o.a dit maar eens door: http://www.seifried.org/lasg/users/ ;)