PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Hacker Attacken - DDOS - IPTABLES



caglarkan
04.01.07, 16:05
Hallo,

Habe seit fast einer woche einen Hacker am hals. habe versucht mod_evasive zu installieren hat aber leider nicht so besonders geklappt.

Danach habe ich gelesen, dass man mit IPTABLES den Hacker(FLOODER) DROPpen kann.

Dafür müsste ich aber die liste der IP adressen auf dem Server herausfinden.

Mit welchem Befehl bekomme ich die Liste der IP adressen, damit ich z.b. den Hacker aus der Liste entfernen kann?

Und wie filtere ich die Hacker IP aus meinem server?

leute danke an euch alle

caglarkan

Tomek
04.01.07, 16:33
Wenn du weisst, welcher Dienst attackiert wird, kannst du mit iptables die Anzahl neuer Verbindungen beschränken lassen, so dass danach kein ausgehender Verkehr mehr stattfindet:

iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW -m limit --limit 25/s --limit-burst 25 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW -j DROPEs gibt durchaus noch mehr Ansätze, aber meiner Meinung nach wirst du mit keiner Lösung einen wirklichen Erfolg erzielen können, da du nicht verhindern kannst, dass die Pakete deinen Server erreichen. Stattdessen solltest du deinen Provider über die Attacken informieren, so dass dieser entsprechende Maßnahmen einleiten kann, die dir wirklich helfen.

caglarkan
04.01.07, 16:49
hmm danke tomek

nur woher weiss ich welche attacken auf welche dienste über welche IP durchgeführt wird.

kannst du mir hierfür einen befehl nennen, weil iptables -L hilft mir z.b. garnicht weiter.

gibt es nicht wie bei microsoft den befehl netstat -i oder so ?

Tomek
04.01.07, 16:50
man netstat
man ipraf
man tcpdump
Mit (D)DoS-Attacken sind i.d.R. viele Verbindungen auf einen oder mehrere Dienste gemeint, so dass du mit top auch sehen müsstest, welcher Dienst viel CPU/RAM benötigt.

caglarkan
04.01.07, 17:03
also so recht ich das verstehe kann ich mit top genau die zur laufzeit laufenden dienste sehen uns diese PID's dan KILLen ?

aber die prozesse werden ja bei hacker attacken dutzende male ausgeführt.

leider sehe ich bei top nicht welche ip gerade diesen dienst benutzt

Tomek
04.01.07, 17:11
Wie kommst du eigentlich darauf, dass du attackiert wirst? Woran siehst du das und welcher Dienst ist es deiner Meinung nach?

caglarkan
04.01.07, 17:19
Was der hacker gemacht hat war nichts anderes als den MaxClient zu erreichen, so dass der server zusammenbricht. wie ich darauf komme hmm ganz einfach er hat kurz ein PM auf der seite hinterlassen und hat gesagt, dass er die seite jetzt einfrieren lassen wird, bis gestern hat er das gemacht

und es ist eine tatsache, der server brach zusammen, so dass man auf keine webseite des servers kam.

aber an port 8000 habe ich z.b. einen radio laufen, die dadurch nicht beeinträchtigt wurde.


hir ein paar zitate vom provider...

Sehr geehrter Kunde,

typischerweise ist dies der Fall, wenn die MaxClient erreicht ist oder der Server ausgelastet ist. Derzeit habe ich jedoch keine Probleme Ihre Webseiten zu erreichen, wesshalb ich dies nicht genauer lokalisieren kann.

-----
Sehr geehrter Kunde,

Ihr Server war seltsamerweise aus. Das Rechenzentrum hat ihn wieder eingeschaltet, der Server ist wieder erreichbar.

DoS-Attacken können Sie mit einer Sperrung über die iptables oder eine Null-Route blockieren. Sollte es mehrere verschiedene Quellen geben, können Sie auch zu einem automatischen Tool wie mod_evasive greifen, welches hier eine gewisse Abhilfe verschafft.

----- nmap -----
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2007-01-04 10:09 CET
Interesting ports on server...
(The 1644 ports scanned but not shown below are in state: filtered)
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
53/tcp closed domain
69/tcp closed tftp
80/tcp open http
110/tcp open pop3
113/tcp closed auth
137/tcp closed netbios-ns
138/tcp closed netbios-dgm
139/tcp closed netbios-ssn
443/tcp closed https
445/tcp closed microsoft-ds
873/tcp closed rsync
5801/tcp closed vnc-http-1
5901/tcp closed vnc-1
8000/tcp closed http-alt
8888/tcp closed sun-answerbook
9090/tcp closed zeus-admin

marce
04.01.07, 17:27
Ok, so scheint er es nur geschafft zu haben, den Apache zu blockieren und nicht die komplette Netzwerkanbindung auszureizen. In dem Fall kannst Du natürlich mit IPtables die IP blocken. Die sollte ja dann aus dem Apache-Log ersichtlich sein. Zusätzlich kannst Du natürlich auch die MaxClients hochsetzen...

caglarkan
04.01.07, 17:37
wie weit kann ich denn mit dem MaxClient hoch, wieviel resourcen frißt ein user eigentlich bei einem linux server ?

soweit ich es bei mir in der glaube httpd.conf gesehen habe, war sie auf 150 gesetzt, also die originaleinstellung von der firma server4you aus.

ich habe, weiss nicht mehr wo auch gelesen, dass die genau durch diese attacke 3 sehr grosse seiten tage lang lamgelegt haben.

Es scheint eine ganz einfache art einer attacke zu sein, nur denke ich hat das mit der installation von mod_evasive komischerweise nicht hingehauen, die theoretisch gerade diese attacken unterbindet.

der speicher meines servers liegt bei 512 MB
und es ist ein athlon xp 3000+
worauf ein suse linux 9.2 läuft

marce
04.01.07, 17:41
je nach Apache-Vairante - beim 1.3 z.B. sind's ohne im Sourcecode zu basteln 255.

... ob das dann hilft / ausreicht hängt von der genauen Art der Attacke ab - aber da fehlen definitv Infos...

... ansonsten solltest Du dir überlegen, das BS zu updaten - für Suse 9.2 gibt's keine Updates mehr...

caglarkan
04.01.07, 17:48
ich werde mal ein bichen rumbasteln, ich könnte womöglich das betriebssystem kostenfrei auf 9.3 updaten, nur müsste ich gucken ob das auch wirklich geht...

danke euch beiden nochmals, bei einem problem werde ich auf jedenfall, ganz schnell wieder auf linuxforen.de sein.

man sieht sich

cane
04.01.07, 17:56
a) War das kein Hacker!
b) Warum hat er das getan?

mfg
cane

marce
04.01.07, 18:02
9.3 ist keine gute Idee - da hast Du das Problem in ca. 6 Monaten wieder...

caglarkan
04.01.07, 18:07
zunachst zu cane und dan zu marce


also es war ein hacker, ist sogar einer der sich wirklich gut auskennt nachdem ich den mails folgen kann, dank ihm habe ich viele bugs am software gefixt, aber warum und weshalb er das macht ist, lut der mail, das er ein bischen unordnung auf der seite errichen wollte, seiner meinung nach hat er das auch sehr gut erreicht...


jetzt zu dir marce

also was kann ich denn machen wenn server4you gerade nur 9.3 anbietet, dann waret ich lieber doch so lange bis version 10 zum update verfügbar ist oder ?

also es hat mich schon sehr viel zeit gekostet, soviel habe ich noch nie recherchiert, hoffe doch bald dass der hacker die finger vom server lässt

cane
04.01.07, 19:54
also es war ein hacker, ist sogar einer der sich wirklich gut auskennt nachdem ich den mails folgen kannt

Hacker die sich "richtig gut auskennen" wären nicht so armselig einen DDoS zu starten sondern würden inteligentere Wege gehen.


dank ihm habe ich viele bugs am software gefixt, aber warum und weshalb er das macht ist, lut der mail, das er ein bischen unordnung auf der seite errichen wollte, seiner meinung nach hat er das auch sehr gut erreicht...


Was hat ein DDoS bitte mit Unordnung zu tun? DDoS ist zu 99 % das stupide Werk von armseligen Würstchen.

Wenn er Dir mails und PNs geschickt hat hast Du ja schonmal eine Spur, schau erstmal ob er einen Proxy benutzt hat und wenn ja ob der Proxy sicher war.

mfg
cane

sysop
05.01.07, 12:19
sie mal hier, ein ansatz vielleicht.
ein kleines script, dass die logfiles nach z.b. ssh angriffen durchsucht und abwehrmassnahmen über iptabels trifft.
http://www.linux-club.de/viewtopic.php?t=33232&postdays=0&postorder=asc&highlight=skkill&start=20

edit von ssh auf z.b. ssh ;-)

marce
05.01.07, 12:30
nur leider sind ssh-Brute-Force-Angriffe meist _etwas_ anders strukturiert wie (D)DOS-Angriffe auf den Apache...

caglarkan
05.01.07, 21:07
also cane er benutz ein programm um seine ip zu verstecken er ist also mal hier mal dort.

warum er nur eine flood attacke macht ist nur, damit er einfach dafür sorgt, dass di seite für ein paar stunden nicht läuft, und er macht das halt immer

hmm sagt euch AHTOPOS etwas ? kenne mich mit hacker sachen nicht aus

cane du weisst sicherlich genau, mit welchem befehl man feststellen kann welcher dienst gerade von wem benutzt wird. ich meine welche ip sie gerade benutzt, damit man den jenigen über iptables sperren kann, hoffe aber nur, dass die ip sich nicht alle paar minuten ändert :mad:

cane
05.01.07, 22:33
also cane er benutz ein programm um seine ip zu verstecken er ist also mal hier mal dort.

Dann muss man schauen inwiefern er die IPs wechselt, womit etc. Am einfachsten ist es solche leute mit ihren eigenen Mitteln zu schlagen. Man schaut beispielsweise welches Betriebssystem und welchen Browser sie einsetzen und bekommt sie darüber. Oder man installiert versehentlich einen daemon mit bekannten Lücken und platziert ein interessant aussehendes file in dem bereich in dem der Angreifer dann zugreifen kann.

Erfordert aber alles Kenntnisse der Materie, sonst geht der Schuss schnell nach hinten los...


warum er nur eine flood attacke macht ist nur, damit er einfach dafür sorgt, dass di seite für ein paar stunden nicht läuft, und er macht das halt immer

Nur so aus Spaß? Oder hattet ihr Ärger? Irgendwwas stimmt doch da nicht...


hmm sagt euch AHTOPOS etwas ? kenne mich mit hacker sachen nicht aus

Nein - was soll das sein?


cane du weisst sicherlich genau, mit welchem befehl man feststellen kann welcher dienst gerade von wem benutzt wird. ich meine welche ip sie gerade benutzt, damit man den jenigen über iptables sperren kann, hoffe aber nur, dass die ip sich nicht alle paar minuten ändert

Beschreibe erstmal wie es dazu kommt das er Dich attakiert.
Und sag nochmal ganz klar welche Dienste genau betroffen sind, nur der Apache?

mfg
cane

sysop
06.01.07, 04:12
mal ein auszug aus dem script skill

Overview: skkill blocks IP addresses automatically
==================================================
this program scans log files for specific patterns. If a pattern matches, then it looks for an IP address and
blocks it by entering a DROP statement into iptables.
You can list all blocked IPs with the command: iptables -L or iptables -L -n

damit kann man also drops aller art einfügen. das ganze bezog sich darauf:


Hallo,

Habe seit fast einer woche einen Hacker am hals. habe versucht mod_evasive zu installieren hat aber leider nicht so besonders geklappt.

Danach habe ich gelesen, dass man mit IPTABLES den Hacker(FLOODER) DROPpen kann.

Dafür müsste ich aber die liste der IP adressen auf dem Server herausfinden.

Mit welchem Befehl bekomme ich die Liste der IP adressen, damit ich z.b. den Hacker aus der Liste entfernen kann?

Und wie filtere ich die Hacker IP aus meinem server?

leute danke an euch alle

caglarkan

im thread selber geht es vorwiedend um ssh, allerdings lässt sich damit auch alles andere blocken. ip´s, browser und und und. alles was man braucht ist eine regelmässigkeit, nach der das script die logfiles durchforsten kann.

bluesky666
06.01.07, 06:32
wenn es viele verschiedene IPs sind wirds wohl eher nen Bot-Netz sein das die DDOS auf den Server verursacht