Brauche Hilfe bei DDOs Attacken

[Night]

Hallo an alle die sich da besser auskennen als ich ( Anungslos)

Ich habe da ein massives Problem mit meinen server ( angemieter)
Ich habe ein kleines aber feines Board ( gehabt), das wird momentan lahmgelegt von DDoS attacken .
habe das Board von der com. domäne geändert in eine org.domäne aber 12stunden später war es erneut lahmgelegt.

Bin also momentan echt ratlos was ich machen kann möchte den Server nicht wechseln wobei mir heute gesagt wurde das das eh nicht viel bringen würde wenn der neue anbieter keinen Hardware Firewall hat wie dervon proserver also doppelt so teuer wie ein server von server4you ca 120? was mit da echt zuteuer währe für mein kleines hobby.

Also ist hier auf dem board jemand wo mir helfen kann währe sehr dankbar .

Das einzige was ich rausbekommen habe das die meisten IPs aus russland gekommen sind wohl ehr aber durch einen proxi aber konnte auch 3 de ips aus deutschland mit t-online nummer sicherstellen.

Biete helft mir möchte mein board nicht schlissen wollen was ich tun müsste wenn ich keine lösung finde die ich bezahlen kann .

 

[bitmuncher]

Zuerstmal solltest du dies hier mal lesen.
Oder das ganze etwas ausfuehrlicher in meinem Blog. Dann die notwendigen Konsequenzen daraus ziehen und dein Board auf einen Webspace umziehen. Man braucht keinen eigenen Server um ein Forum zu betreiben.

Solltest du dazu nicht bereit sein, solltest du dir die unter http://bitmuncher.blog.de/2009/03/15/systemadministratoren-allrounder-5757904/ dargestellten Themen aneignen.

Und solltest du tatsaechlich Hilfe wollen, solltest du ein paar Infos mehr zu deinem Server geben. Welches System? Wie an's Netz angebunden? Welcher Dienst steht unter DDoS? Welche Software verwendet dieser Dienst? Wie wirkt sich der DDoS aus? Warum laesst du nicht einfach die Pakete der Angreifer von der Firewall droppen? Hast du Source-Adress-Verification aktiviert? Ist der TCP-SYN-Cookie-Schutz angeschaltet? Ist dein System auf dem aktuellsten Stand? usw. usf.

 

[GregorSamsa]

Um es schnell zu machen: ist das ein BotNet oder nur einige wenige feste IP's? In letzterem Fall würde ein IP-Ban helfen.

Und wozu brauchst du bei einem Board einen eigenen Server? Zieh auf nen einfachen Webspace um.

 

[Night]

@bitmuncher

Ich bin nicht der server admin sondern nur der boardbetreiber.

Ein Paarfragen kann ich aber denoch beantworten .

System Linux mit IPTable Firewall
DoS Deflate ist installiert aber ohne wirkung
Wir Arbeiten mit dem Parallel Plesk Panal 9.2

Hatten versucht Apache ist aber nicht so einfach da wir plask verwenden.
Mehr infos sobald ich heute abend mit dem server Admin gesprochen habe.sorry


Auswirkung von DDoS

Es werden soviele anfragen auf die indexseite unserer domäne abgeschickt das der server Lahm gelegt wird und zusammenbricht.

Das einzige was ich noch hjabe ist der IP auszug aber den kann ich hier nicht posten datenschutz sag ich mal .

edit: Für ein Webspace ist dann doch mein Board etwas zugross benötige einen server

 

[xeno]

dann würd ich schonmal die index seite durch eine statische ersetzen, nimmt last vom server.

 

[bitmuncher]

Original von Night
edit: Für ein Webspace ist dann doch mein Board etwas zugross benötige einen server

Du wirst mit einem einzelnen Server ziemlich sicher nicht die Leistung zusammenbekommen, die ein Webspace-Anbieter mit einem Web-Cluster zustande bringt.

 

[lightsaver]

Original von bitmuncher

Original von Night
edit: Für ein Webspace ist dann doch mein Board etwas zugross benötige einen server

Du wirst mit einem einzelnen Server ziemlich sicher nicht die Leistung zusammenbekommen, die ein Webspace-Anbieter mit einem Web-Cluster zustande bringt.

Ich vermute, er will damit nicht auf Rechenleistung oder die Anbindung ans Internet hinaus, sondern eher auf Speicherplatzbeschränkungen

@Night:

Wieso hast du dich eigentlich noch nicht zu dem Tip geäußert, die Pakete zu droppen?
Du erwähnst zwar Dos-Deflate, aber wenn es immer wieder die gleichen IPs sind, kannst du das ja erstmal per Hand mit iptables machen. Und ich habe mir mal kurz ne Anleitung zu Dos-Deflate angesehen. Da wird erwähnt, dass es APF benötigt, ist das auch korrekt installiert?

 

[Night]

Hallo xeno
Werde das mal testen wenn es mein Serveradim noch nicht versucht hatte.


Und das mit dem webspace kann ich mir immer noch überlegen wenn alles ander nichts bringt.
Habe eben mal nach einen webspace geschaut stimmt die sind bedeutend künstiger also ein Rootserver aber momentan nicht mein problem.

Ok mein Board ist ca 7gb gross und der rest ist frei .
Traffik habe ich unbegrenz also nicht wichtig

Der Server ist nicht mir habe nur ein teilstück angemietet , 100gb habe ich davon

@lightsaver

Ich werde alle tips meinen server admin geben , er ist aber erst abends erreichbar und kennt sich da auch besser aus als ich.
Und werde natürlich hier bescheidgeben ob man damit erfolg hatte oder nicht.
Ich habe nur einen Kunden zugriff und kein Admin zugriff so das ich da nichts gross machen kann, muss auch dazusagen das ich nicht mal wissen würde was ich genau mache

Mein techniker wird aber alle eure tips bearbeiten und mitteilen .

 

[bitmuncher]

Du solltest dringend deinen "Techniker"/Admin wechseln, wenn der noch nichtmal in der Lage ist ein paar IPs auszusperren.

 

[Chromatin]

Du solltest dringend deinen "Techniker"/Admin wechseln, wenn der noch nichtmal in der Lage ist ein paar IPs auszusperren.

$goldencash.tld
Viel spass beim Blocken

Ausserdem besteht die moeglichkeit eines Angriffs mittels slowloris
Da reicht ein popeliger ADSL Account.

@Night
Du hast keinen Admin, sondern wohl eher einen "Kumpel", der sich um die Kiste kuemmert, nehme ich an.
Es gibt hier sicherlich ein paar Leute die du moeglicherweise telefonisch erreichen kannst und helfen koennen.

 

[bitmuncher]

Mir ist durchaus klar, dass es Moeglichkeiten gibt, die schwer zu blocken sind, aber so wie das bisher hier klang, koennen ja spezifische IPs ausgemacht werden. Ansonsten schaffen aber auch mod_security und mod_evasive zumeist Abhilfe.

 

[Night]

Also es geht hier nicht um einfache IP ausperrung
hatte beim ersten mal mehr als 1000 russische IPs die mein Board lahmgelegt hatten beim 2ten man als ich die Donäne äderte konnte ich 3 de IPs ausfindig machen unter den ganzen andern also geht es nicht um 3 ips die hätten wirbestimmt schon ausgesperrt.

mod_security und mod_evasive haben keine abhilfe gebracht , hatten wir auch zuerst darn gedacht aber die sperren ips die mehrfach vorkommen nicht einzelne die nur 1-3 mal vorkommen, die masse macht es in dem fall.

Und ich denke schon das mein Techadmin ahnung hat wie er was macht

 

[bitmuncher]

Na so langsam bekommen wir ja ein paar Infos zusammen. Die meisten DDoS dieser Art kommen erfahrungsgemaess aus einem oder wenigen Netzwerken. Du solltest also erstmal rausbekommen welche(s) Netzwerk(e) das hauptsaechlich sind:

netstat -lpn|grep :80|awk '{print $5}'|sort

Dann einfach das komplette Netzwerk mittels iptables aussperren. Dann sollte man mal schauen, ob die Rechner, die am DDoS beteiligt sind eine bestimmte Browser-Kennung mitsenden. Bots von Bot-Netzwerken nutzen nur selten echte Browser-Kennungen oder immer die gleiche. Damit kann man dann z.B. mittels Apache die Kennung sperren. Eine gute Default-Grundlage bietet z.B. die folgende Liste:

        BrowserMatchNoCase ^Accoona blockAccess
        BrowserMatchNoCase ^ActiveAgent blockAccess
        BrowserMatchNoCase ^Attache blockAccess
        BrowserMatchNoCase BecomeBot blockAccess
        BrowserMatchNoCase ^bot blockAccess
        BrowserMatchNoCase Charlotte/ blockAccess
        BrowserMatchNoCase ^ConveraCrawler blockAccess
        BrowserMatchNoCase ^CrownPeak-HttpAgent blockAccess
        BrowserMatchNoCase ^EmailCollector blockAccess
        BrowserMatchNoCase ^EmailSiphon blockAccess
        BrowserMatchNoCase ^e-SocietyRobot blockAccess
        BrowserMatchNoCase ^Exabot blockAccess
        BrowserMatchNoCase ^FAST blockAccess
        BrowserMatchNoCase ^FDM blockAccess
        BrowserMatchNoCase ^GetRight/6.0a blockAccess
        BrowserMatchNoCase ^GetWebPics blockAccess
        BrowserMatchNoCase ^Gigabot blockAccess
        BrowserMatchNoCase ^gonzo1 blockAccess
        BrowserMatchNoCase ^Google\sSpider blockAccess
        BrowserMatchNoCase ^ichiro blockAccess
        BrowserMatchNoCase ^ie_crawler blockAccess
        BrowserMatchNoCase ^iGetter blockAccess
        BrowserMatchNoCase ^IRLbot blockAccess
        BrowserMatchNoCase Jakarta blockAccess
        BrowserMatchNoCase ^Java blockAccess
        BrowserMatchNoCase ^KrakSpider blockAccess
        BrowserMatchNoCase ^larbin blockAccess
        BrowserMatchNoCase ^LeechGet blockAccess
        BrowserMatchNoCase ^LinkWalker blockAccess
        BrowserMatchNoCase ^Lsearch blockAccess
        BrowserMatchNoCase ^Microsoft blockAccess
        BrowserMatchNoCase ^MJ12bot blockAccess
        BrowserMatchNoCase MSIECrawler blockAccess
        BrowserMatchNoCase ^MSRBOT blockAccess
        BrowserMatchNoCase ^noxtrumbot blockAccess
        BrowserMatchNoCase ^NutchCVS blockAccess
        BrowserMatchNoCase ^RealDownload blockAccess
        BrowserMatchNoCase ^Rome blockAccess
        BrowserMatchNoCase ^Roverbot blockAccess
        BrowserMatchNoCase ^schibstedsokbot blockAccess
        BrowserMatchNoCase ^Seekbot blockAccess
        BrowserMatchNoCase ^SiteSnagger blockAccess
        BrowserMatchNoCase ^SiteSucker blockAccess
        BrowserMatchNoCase ^Snapbot blockAccess
        BrowserMatchNoCase ^sogou blockAccess
        BrowserMatchNoCase ^SpiderKU blockAccess
        BrowserMatchNoCase ^SpiderMan blockAccess
        BrowserMatchNoCase ^Squid blockAccess
        BrowserMatchNoCase ^Teleport blockAccess
        BrowserMatchNoCase ^User-Agent\: blockAccess
        BrowserMatchNoCase VoilaBot blockAccess
        BrowserMatchNoCase ^voyager blockAccess
        BrowserMatchNoCase ^W3C blockAccess
        BrowserMatchNoCase ^w3search blockAccess
        BrowserMatchNoCase ^Web\sDownloader blockAccess
        BrowserMatchNoCase ^WebCopier blockAccess
        BrowserMatchNoCase ^WebDevil blockAccess
        BrowserMatchNoCase ^WebSec blockAccess
        BrowserMatchNoCase ^WebVac blockAccess
        BrowserMatchNoCase ^Webwhacker blockAccess
        BrowserMatchNoCase ^Webzip blockAccess
        BrowserMatchNoCase ^Wells blockAccess
        BrowserMatchNoCase ^WhoWhere blockAccess
        BrowserMatchNoCase www\.netforex\.org blockAccess
        BrowserMatchNoCase ^WX_mail blockAccess
        BrowserMatchNoCase ^yacybot blockAccess
        BrowserMatchNoCase ^ZIBB blockAccess
        BrowserMatchNoCase ^$ blockAccess
        BrowserMatchNoCase ^Accoona blockAccess
        BrowserMatchNoCase ^ActiveAgent blockAccess
        BrowserMatchNoCase ^Attache blockAccess
        BrowserMatchNoCase BecomeBot blockAccess
        BrowserMatchNoCase ^bot blockAccess
        BrowserMatchNoCase Charlotte/ blockAccess
        BrowserMatchNoCase ^ConveraCrawler blockAccess
        BrowserMatchNoCase ^CrownPeak-HttpAgent blockAccess
        BrowserMatchNoCase ^EmailCollector blockAccess
        BrowserMatchNoCase ^EmailSiphon blockAccess
        BrowserMatchNoCase ^e-SocietyRobot blockAccess
        BrowserMatchNoCase ^Exabot blockAccess
        BrowserMatchNoCase ^FAST blockAccess
        BrowserMatchNoCase ^FDM blockAccess
        BrowserMatchNoCase ^GetRight/6.0a blockAccess
        BrowserMatchNoCase ^GetWebPics blockAccess
        BrowserMatchNoCase ^Gigabot blockAccess
        BrowserMatchNoCase ^gonzo1 blockAccess
        BrowserMatchNoCase ^Google\sSpider blockAccess
        BrowserMatchNoCase ^ichiro blockAccess
        BrowserMatchNoCase ^ie_crawler blockAccess
        BrowserMatchNoCase ^iGetter blockAccess
        BrowserMatchNoCase ^IRLbot blockAccess
        BrowserMatchNoCase Jakarta blockAccess
        BrowserMatchNoCase ^Java blockAccess
        BrowserMatchNoCase ^KrakSpider blockAccess
        BrowserMatchNoCase ^larbin blockAccess
        BrowserMatchNoCase ^LeechGet blockAccess
        BrowserMatchNoCase ^LinkWalker blockAccess
        BrowserMatchNoCase ^Lsearch blockAccess
        BrowserMatchNoCase ^Microsoft blockAccess
        BrowserMatchNoCase ^MJ12bot blockAccess
        BrowserMatchNoCase MSIECrawler blockAccess
        BrowserMatchNoCase ^MSRBOT blockAccess
        BrowserMatchNoCase ^noxtrumbot blockAccess
        BrowserMatchNoCase ^NutchCVS blockAccess
        BrowserMatchNoCase ^RealDownload blockAccess
        BrowserMatchNoCase ^Rome blockAccess
        BrowserMatchNoCase ^Roverbot blockAccess
        BrowserMatchNoCase ^schibstedsokbot blockAccess
        BrowserMatchNoCase ^Seekbot blockAccess
        BrowserMatchNoCase ^SiteSnagger blockAccess
        BrowserMatchNoCase ^SiteSucker blockAccess
        BrowserMatchNoCase ^Snapbot blockAccess
        BrowserMatchNoCase ^sogou blockAccess
        BrowserMatchNoCase ^SpiderKU blockAccess
        BrowserMatchNoCase ^SpiderMan blockAccess
        BrowserMatchNoCase ^Squid blockAccess
        BrowserMatchNoCase ^Teleport blockAccess
        BrowserMatchNoCase ^User-Agent\: blockAccess
        BrowserMatchNoCase VoilaBot blockAccess
        BrowserMatchNoCase ^voyager blockAccess
        BrowserMatchNoCase ^W3C blockAccess
        BrowserMatchNoCase ^w3search blockAccess
        BrowserMatchNoCase ^Web\sDownloader blockAccess
        BrowserMatchNoCase ^WebCopier blockAccess
        BrowserMatchNoCase ^WebDevil blockAccess
        BrowserMatchNoCase ^WebSec blockAccess
        BrowserMatchNoCase ^WebVac blockAccess
        BrowserMatchNoCase ^Webwhacker blockAccess
        BrowserMatchNoCase ^Webzip blockAccess
        BrowserMatchNoCase ^Wells blockAccess
        BrowserMatchNoCase ^WhoWhere blockAccess
        BrowserMatchNoCase www\.netforex\.org blockAccess
        BrowserMatchNoCase ^WX_mail blockAccess
        BrowserMatchNoCase ^yacybot blockAccess
        BrowserMatchNoCase ^ZIBB blockAccess
        BrowserMatchNoCase ^$ blockAccess

Da sind noch ein paar Spider dabei. Kannst du ja aussortieren.

Unter http://www.rfxn.com/projects/ findest du auch noch ein paar Projekte, die bei der Analyse und der Unterbindung des Angriffs helfen koennen. Speziell APF ist da einen Blick wert. Und natuerlich die oben bereits erwaehnten Standards einschalten...Source Address Verification, TCP SYN Cookie Protection, RST-Pakete senden und die Anzahl der erlaubten SYN-Retries runtersetzen:

echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 1 > /proc/sys/net/ipv4/tcp_abort_on_overflow
echo 3 > /proc/sys/net/ipv4/tcp_syn_retries

 

[Night]

Hallo da bin ich wieder,
Hatten die IPs einzelgespert und alle stämme .
Danach das Board wieder online gestellt ist auch sehr gut gelaufen 12stunden lang heute im laufe des nachmittags ist es wieder zusammen gebrochen .
Alle versuche sind nur von kurzer dauer , bannen wir eine Ip kommen 5 neue nach die server anfragen sind immer andere ob aus DE oder Ru immer wieder werden wir lahmgelegt .
Mein Techadmin ( auch mein Provider / hat einen eigenen server zuhaus )ist langsam ratlos was er noch tun kann.

Habe meinen techniker den rat gegeben hier um hilfe über meinen Nick zuhollen habe die hoffnung das er euch besser sagen kann was er genau gemacht hat und was er alles für software hardwera usw hat genauso was er genau festgestellt hat .

Die ganze nacht um die ohrengeschlagen um 12 stunden später wir down zusein ist echt sehr hart

update

es wird diese datei "Domaine/wbb2/index.php" von so vielen anfragen überschüttet das der server diese nicht mehr verarbeiten kann und die dienste dadurch versagen...mysql und der apache

wenn die domaine in plesk gesperrt wird ist wieder alles in ordnung mit dem server...

mod_avasive lässt sich nicht richtig nutzen weil die dienste alle von plesk installt sind und da dort noch einige andere boards drauf laufen die nicht verlegt werden können ist es schlecht wenn die dienste gänzlich versagen....

der server wurde in punkto performens der dienste mysql und apache ein wenig eingestellt

diese abfrage

netstat -lpn|grep :80|awk '{print $5}'|sort

brachte diese antwort

0.0.0.0:*

hier mal ein beispiel vom logauszug aus plesk

88.76.154.*** - - [30/Jul/2009:12:27:53 +0200] "GET /wbb2/index.php HTTP/1.1" 200 32614 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.1.1) Gecko/20061204 Firefox/2.0.0.1"

 

[bitmuncher]

Admin-Alltag ist nunmal nicht immer leicht. Aber waere schon wichtig mal genauer zu hoeren, was nun alles schon versucht wurde und was nicht und mit welchen Mitteln, um spezifischer helfen zu koennen. Erfahrungsgemaess zeigt fast jeder DDoS-Angriff eine spezifische Eigenheit, anhand der man ihn dann zumeist unter Kontrolle bekommt. Wenn sich da aber jemand soviel Muehe macht ein einziges Forum anzugreifen, muss es entweder sehr wichtig sein, oder ihr seid dem Falschen auf die Fuesse getreten.

 

[Night]

Naja das einzige Forum ist es nicht gerade
5 Boards ingesamt
2 davon kenne ich nicht nur davon erfahren
1 geht wieder habe den admin gefragt was er gemacht hat naja meinte nur nach 1 woche ohne erfolg hätte er sich einen grösseren server zugelegt mit 8gb ram würden die zwar immer noch attakieren aber nicht mehr so stark wie vorher , sein tech hätte sonst auch keine weitern mittel gehabt.

Das andere Board ist nun schon 3 wochen offline sobald er es einschaltet ist er sofort wieder lahmgelegt denkt ans aufgeben
Naja und halt mein Board das nun schon 3 mal wiedereröffnet hat wieder geschlossen hat.

Also was die techadmins angeht sind es 5 verschiedene wobei 2 davon versuchen meines zuretten


den vorherigen beitrag auch beachten

 

[bitmuncher]

Sind es immer nur 2er Firefox, die da als Clients auftauchen? Dann koennte es helfen Anfragen von Firefox 2 auf eine statische Seite umzuleiten, auf der lediglich als Plaintext (also ohne Links etc.) darauf hingewiesen wird, dass FF2 derzeit nicht unterstuetzt wird, der User also updaten oder den IE etc. verwenden soll.

 

[Night]

nein es sind auch andere browser wie der IE dabei...

212.184.131.** - - [30/Jul/2009:12:27:36 +0200] "GET /wbb2/index.php HTTP/1.1" 200 32614 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

 

[bitmuncher]

Dann wuerde ich erstmal alle auf eine statische Seite umleiten um Last vom Server zu nehmen. Dort koennte man z.B. einen Button innerhalb eines HTML-Form einbauen, ueber den man dann zum Forum kommt. Alternativ schaltet man eine Seite vor, wo der User ein Captcha eingeben oder eine Rechenaufgabe loesen muss, bevor er zum Forum kommt. Ist zwar erstmal doof fuer Spider, aber die wenigsten DDoS dauern ewig. Evtl. reicht es aber auch schon, wenn der Pfad zum Forum geändert wird. Also

- Forum in einen anderen Ordner kopieren, der nicht wbb2 heisst
- Konfiguration ggf. anpassen
- VirtualHost des Webservers ggf. umstellen

Auf wbb2-Ordner hab sogar ich ständig Anfragen irgendwelcher Bots, obwohl auf meinen Servern kein wbb2 läuft. Scheint also eher ein typisches Zufallsziel zu sein.

 

[Night]

es wurde auch schon mit einer subdomaine probiert die auch nur ein paar stunden ohne probleme lief...wenn der ordner umbenannt wird oder es über ein anderen butten zu erreichen ist passen die pfeifen den pfad an....soweit haben wir das schon getestet....

aber mit dem zusätzlichen schutz wäre es zu überlegen...die anmelde seite ist nicht groß wie die index