Hallöchen,

Vor 2 Tagen erreichte uns folgende E-Mail


HE IHR WIXXER.. WENN IHR EUREN ******* WebSERVER WEITER HABEN WOLLT
SCHICKT 50PSC AN psc_wixxe@trash-mail.com - UND DAS INNERHALB VON 24
STUNDEN AB JETZT !!

WENN NICHT WIRD DER ROOT WEITER GEFICKT !! DA HILFT NUR ABSCHALTEN !!!

******

wenn fragen heult euch aus und schreibt an psc_wixxe@trash-mail.com

50 Euro in paysafecards oder es geht weiter mit ::::

error message: Connecting to MySQL server 'localhost' failed.
error code: 2002
sql type: MySQLDatabase
sql error: Can't connect to local MySQL server through socket
'/var/run/mysqld/mysqld.sock' (11)

IHR HBAT DIE WAHL!!!

DOWN !DOWN !DOWN !DOWN !DOWN !DOWN ! ******* ** !! *** FTW!!


Seitdem her kämpfen wir mit Attacken die sich über die Tageszeit strecken und über nacht nachlassen.

Meine Vermutung ist , das sich die Attacken direkte auf den Mysql Server beziehen. Der CPU ist komplett ausgelastet. In den Acess_Logs ist uns nichts aufälliges aufgefallen.

IP Tables läuft.
Mod_Security und mod_evasive auch.

Jemand der mir Tipps zum Stoppen der Angriffe geben kann?

Gruß

Servus!



Jemand der mir Tipps zum Stoppen der Angriffe geben kann?

MySQL auf localhost binden?

Und ggf. einmal mit eurem Hoster sprechen...

Grüße, Stefan

IP dürfte aus den Logs bekannt sein. Mit whois den Provider suchen und dann Kontakt aufnehmen.

IP dürfte aus den Logs bekannt sein. Mit whois den Provider suchen und dann Kontakt aufnehmen.

In den Acess_Logs ist uns nichts aufälliges aufgefallen.

Dann mit iptables filtern, was reinkommt. Irgendwo wird was auffälliges zu finden sein, wenn eure CPU schon Probleme macht.

was mir komisch vorkommt, das in der mail localhost steht.. definitiv alle passwörter ändern, root login per ssh deaktivieren und auf keybased auth umschaltetn falls noch nicht geschehen.

Abgesehen von technischen Maßnahmen würde sich in diesem Fall wohl auch eine Anzeige lohnen. Es geht zwar nur um Minimalbeträge, die E-Mail erfüllt aber vermutlich den Tatbestand der Nötigung oder sogar Erpressung.

Nabend,

Wir führen gerade eine Neuinstallation des Servers durch, um sicher zu gehen das kein Fremdzugriff zum Server besteht.

Eine Anzeige könnte wohl schwierig sein, da es sich bei der Email Adresse um
sogenannte "Müll-Adressen" oder eher One-Click Adressen handelt bzw.
einmal eine E-Mail eines Französischen Proxy Anbieters.

Ich werde fallls weiterhin das Problem besteht hier nochmals melden.
Ich bedanke mich für die Hilfe!

Gruß
Skyline

Eine Anzeige könnte wohl schwierig sein, da es sich bei der Email Adresse um
sogenannte "Müll-Adressen" oder eher One-Click Adressen handelt bzw.
einmal eine E-Mail eines Französischen Proxy Anbieters.
Das ist doch super. Zum Einen ist die Ermittlung des Taeters nicht dein Problem (bei Straftatbestaenden muss die Polizei von sich aus ermitteln) und mit Frankreich existieren entsprechende Staatsvertraege, so dass der franzoesische Anbieter Auskunft geben muss.

Habt ihr denn herausgefunden wie die Angriffe durchgeführt wurden?
Sonst habt Ihr nach der Neuinstallation das gleiche Problem!


Das ist doch super. Zum Einen ist die Ermittlung des Taeters nicht dein Problem (bei Straftatbestaenden muss die Polizei von sich aus ermitteln) und mit Frankreich existieren entsprechende Staatsvertraege, so dass der franzoesische Anbieter Auskunft geben muss.

Soviel zur Theorie. Meine Erfahrung zeigt leider, dass die Behörden in dem Bereich schnell überfordert sind und sich allein der technischen Möglichkeiten nicht bewusst sind. Das Verfahren wird mit an Sicherheit grenzender Warscheinlichkeit eingestellt wegen mangeldem öffentlichen Interesse.
Abgesehen davon dürfen die Provider seit dem BGH Urteil zur Vorratsdatenspeicherung die Zugangsdaten nur noch speichern, sofern diese zu Abrechnungszwecken benötigt werden. Da die meisten eh eine Internetflat haben sieht's da wohl auch finster aus.

Moin,

Nachdem wir noch gewisse Konfiguration an den IPTables vorgenommen haben
und wohl eine IP rausbekommen haben hatten wir zunächst ruhe.

Am nächsten Tag ging das Spiel von vorne los aber nicht auf kosten des MYSQL Servers. Ich vermutete eine Syn-Attacke und wir installierten ein Script gegen Syn-Attacken. Bisher haben wir Ruhe und schauen wir mal weiter.

Gruß
Skyline

P.S: Strafanzeige wird erstattet morgen, und vielen Dank nochmal für die Zahlreiche hilfe.

Edit:// Es geht so ebend von vorne los.

http://pastebin.com/BSjR1LTL

Netstat ausgabe

Probiert mal über den Provider, die entsprechenden Attacken zu Blocken. Der kann meist mehr ausrichten mit einer Hardwarefirewall.

Da uns nun ein Botnet Attackiert, und die Zombies größtenteils aus dem Ausland kommen haben wir uns überlegt den Server nur in Deutschland erreichbar zu machen. Ist das Realisierbar? Wenn ja womit?

Beispiel:

http://www.cyberciti.biz/faq/block-entier-country-using-iptables/

Quelle:
http://www.google.de/search?q=iptables+china

mfg
cane

Soviel zur Theorie.
Eine Anzeige kostet, abgesehen von etwas Zeit, nichts. Selbst wenn die Ermittlungen eingestellt werden, hat man dadurch nicht allzuviel verloren, kann aber eine Menge gewinnen, wenn die Ermittlungen erfolgreich sind.


Abgesehen davon dürfen die Provider seit dem BGH Urteil zur Vorratsdatenspeicherung die Zugangsdaten nur noch speichern, sofern diese zu Abrechnungszwecken benötigt werden. Da die meisten eh eine Internetflat haben sieht's da wohl auch finster aus.
Viele Provider speichern die Daten durchaus für ein oder zwei Wochen. Wenn man mit der Anzeige nicht zu lange wartet, kann diese durchaus erfolgsversprechend sein.

Beispiel:

http://www.cyberciti.biz/faq/block-entier-country-using-iptables/

Quelle:
http://www.google.de/search?q=iptables+china

mfg
cane

Dankeschön dafür.

Ich setze es gerade in die Tat um alles außer Deutschland Österreich und der Schweiz zu filtern. Wie sieht es dann mit der Performance von IPTables aus? Wie verhält sich IPTables mit circa. einer halben Millionen Regeln?

Aktuell lädt das Script die aktuellen IPs runter.

Wie sieht es dann mit der Performance von IPTables aus? Wie verhält sich IPTables mit circa. einer halben Millionen Regeln?


verwende ipset für iptables, das ist für solche zwecke gemacht.
du kannst aber auch die regeln so anordnen, dass sie einen binären suchbaum darstellen. dann ist es auch ohne ipset sehr schnell.

wenn du die regeln einfach so reinknallst dann wirst du bestimmt etwas merken.

//richard

verwende ipset für iptables, das ist für solche zwecke gemacht.
du kannst aber auch die regeln so anordnen, dass sie einen binären suchbaum darstellen. dann ist es auch ohne ipset sehr schnell.

wenn du die regeln einfach so reinknallst dann wirst du bestimmt etwas merken.

//richard

Das Script setzt die Einträge Automatisch von selbst.
Wie es das letzendlich tut kann ich euch nicht sagen.

Das Script setzt die Einträge Automatisch von selbst.
Wie es das letzendlich tut kann ich euch nicht sagen.
dann wirst du das rausfinden und ggf. ändern müssen.

//richard

Bitte zukünftig mehrfaches Posting melden!

http://forum.webhostlist.de/forum/webserver-software-linux-unix-etc/111364-attacken-webserver.html

mfg
cane

Eine Anzeige kostet, abgesehen von etwas Zeit, nichts. Selbst wenn die Ermittlungen eingestellt werden, hat man dadurch nicht allzuviel verloren, kann aber eine Menge gewinnen, wenn die Ermittlungen erfolgreich sind.
Ja... anzeigen würde ich das auch in jedem Fall, nur man sollte sich keine großen Hoffnungen machen.



Viele Provider speichern die Daten durchaus für ein oder zwei Wochen. Wenn man mit der Anzeige nicht zu lange wartet, kann diese durchaus erfolgsversprechend sein.
Leider gibt es da genau zwei Probleme:
1. Der Provider gibt Daten heraus, die er nicht hätte speichern dürfen und macht sich deshalb selbst angreifbar.
2. Die Geschwindigkeit der Ermittlungsbehörden in solchen Fällen.

Ich melde mich nach geraumer Zeit mal wieder bei euch:

Wir haben heute Rücksprache mit unserem Anbieter gehalten.
Fazit des Gesprächs, sie halten sich aus der Geschichte erstmal raus,
und hatte das "freundliche" Angebot das Abschalten immer geht.

Serverseitig haben wir alles ausprobiert um die Angriffe zu Stoppen und wissen nun nicht mehr weiter.

Ich danke schonmal wieder für sämtliche Hilfe.

Gruß
Skyline

Wenn Serverseitig nichts mehr zu machen ist und der Anbieter nicht möchte, bleibt wohl nicht mehr viel übrig. Eventuell ist der Gang zu einem anderen Anbieter empfehlenswert und hier direkt auf einen managed Server setzen. Damit seid ihr schon mal fein raus und der Anbieter darf sich drum kümmern.

Ich frage mich, warum der Angreifer es auf euch abgesehen hat. So brisante Daten und er weiß davon oder eine so große Seite und fehlendes Know How?