PDA

Bekijk Volledige Versie : Is dit een hack/ddos poging?



ensermo
08/11/07, 12:58
We kregen net een melding binnen van monitoring software dat een van de servers ruim 12Mbit/s aan bandbreedte gebruikte.
Omdat we zelf weten dat deze server nooit meer dan 1Mbit gebruikt vond ik het raar.

tcpdump liet zien.

11:51:13.204175 IP ev1s-66-98-210-152.ev1servers.net.http > 145.94.x.x.58263: . 4344:5792(1448) ack 1 win 1716 <nop,nop,t
imestamp 1048352241 604658279>
11:51:13.204191 IP 145.94.x.x.58263 > ev1s-66-98-210-152.ev1servers.net.http: . ack 5792 win 2520 <nop,nop,timestamp 6046
58309 1048352241>
11:51:13.204298 IP ev1s-66-98-210-152.ev1servers.net.http > 145.94.x.x.58263: . 5792:7240(1448) ack 1 win 1716 <nop,nop,t
imestamp 1048352241 604658279>
11:51:13.204421 IP ev1s-66-98-210-152.ev1servers.net.http > 145.94.x.x.58263: . 7240:8688(1448) ack 1 win 1716 <nop,nop,t
imestamp 1048352241 604658279>
11:51:13.204437 IP 145.94.x.x.58263 > ev1s-66-98-210-152.ev1servers.net.http: . ack 8688 win 2520 <nop,nop,timestamp 6046
58309 1048352241>
11:51:13.204543 IP ev1s-66-98-210-152.ev1servers.net.http > 145.94.x.x.58263: . 8688:10136(1448) ack 1 win 1716 <nop,nop,
timestamp 1048352241 604658279>
11:51:13.204697 IP ev1s-66-98-210-152.ev1servers.net.http > 145.94.x.x.58263: . 10136:11584(1448) ack 1 win 1716 <nop,nop
,timestamp 1048352241 604658279>
11:51:13.204713 IP 145.94.x.x.58263 > ev1s-66-98-210-152.ev1servers.net.http: . ack 11584 win 2520 <nop,nop,timestamp 604
658309 1048352241>
11:51:13.204788 IP ev1s-66-98-210-152.ev1servers.net.http > 145.94.x.x.58263: . 11584:12640(1056) ack 1 win 1716 <nop,nop
,timestamp 1048352241 604658279>

Is dit een DDOS poging?

De server draait in principe de volgende services op de volgende poorten.
PORT STATE SERVICE
22/tcp open ssh
111/tcp open rpcbind
831/tcp open unknown
3306/tcp open mysql
8888/tcp open webserver

Ik heb het al in de firewall gezet en de bandbreedte is weer 1Mbit maar vroeg me af of jullie wisten (of en wat) voor attack dit was?

ttbviper
08/11/07, 13:07
u bedoelt dus dat uw server zo veel connecties maakt dat hij 12mb/s verbuikt.
Als dit waar is dan moet u even uw systeem controleren op virussen.
Verderest misschien als het vaker voor komt is een keer het ip dicht zetten en dan in het datacenter kijken wat er aan de hand is.

ensermo
08/11/07, 13:39
Ik bedoel dat op een server met in principe geen speciale software en waar precies één persoon toegang heeft plotseling 12Mbit aan incoming data gegenereerd wordt (PRTG meet dit en meld ons).

Maar wat voor data IN gaat snap ik niet aangezien er niets op de server draait (Linux testbak).

Weet iemand wat poort 58263 is? (misschien dat ik iets over het hoofd gezien heb)

maxnet
08/11/07, 15:10
Gewoon iemand die wat download van je webserver?


Ik bedoel dat op een server met in principe geen speciale software en waar precies één persoon toegang heeft plotseling 12Mbit aan incoming data gegenereerd wordt (PRTG meet dit en meld ons).

Zie op je TCPdump meer uitgaand verkeer.
Webserver stuurt TCP pakketje 5792 met 1448 bytes data richting client.



11:51:13.204175 IP ev1s-66-98-210-152.ev1servers.net.http > 145.94.x.x.58263: . 4344:5792(1448) ack 1 win 1716 <nop,nop,t
imestamp 1048352241 604658279>


Client bevestigt ontvangst pakketje:



11:51:13.204191 IP 145.94.x.x.58263 > ev1s-66-98-210-152.ev1servers.net.http: . ack 5792 win 2520 <nop,nop,timestamp 6046
58309 1048352241>




Weet iemand wat poort 58263 is? (misschien dat ik iets over het hoofd gezien heb)

Bij een uitgaande verbinding pakt de client een min of meer willekeurige poort boven de 1024.

MMaI
08/11/07, 16:15
dit ziet eruit als een bepaald iemand (misschein wel een klant?) die een high speed uplink heeft die even via ftp aan het uploaden is naar de server
het kan ook een server naar server backup zijn oid, maar volgens mij hoef je tenzij het heel erg lang duurde en er een groot aantal verbindingen werd gemaakt geen enkel probleem te zijn.

Als het outgoing verkeer is kan het ook gewoon iemand zijn die met een zeer snelle verbinding aan het downloaden is, ik vind het allemaal er niet erg bijzonder uit zien om heel eerlijk te zijn
is het overigens 12 MByte/sec of Mbit/sec?

ensermo
08/11/07, 19:34
12Mbit per seconde. Ik weet dat het niet veel is maar punt is dat er dus niets op de server zit nog. De server is een testserver. Niemand heeft toegang tot de machine. Er draait nog niets op behalve een CentOS installatie, ssh, mysql en een webmin webserver op poort 8888. Dus geen klanten, ftp of zo. Zelf was ik niets aan het downloaden/uploaden. Daarom vond ik het raar dat "ineens" de server zoveel verkeer genereerde en toen ik APF installeerde en anadeed was alles weer ok.