DoS mal wieder - DoS "Arnold"

Heiko · 31 Dezember 2005

DoS-Angriffe werden immer geeignet sein, Einzelserverlösungen wie diese hier temporär auszuschalten.
Dauerhaft ist das was anderes.
Wenn man bedenkt, dass der Angriff ungebremst weiterläuft, gefällt mir das hier richtig. :rofl:

Es soll nicht hochmütig klingen: ich muß einräumen, dass uns der Angreifer richtig Arbeit gemacht hat. Allerdings haben wir dabei auch viel gelernt, was uns bei den nächsten (sicher kommenden) Angriffen erheblich helfen wird.

Der Jurist · 31 Dezember 2005

Heiko schrieb:
DoS-Angriffe werden immer geeignet sein, Einzelserverlösungen wie diese hier temporär auszuschalten.
Dauerhaft ist das was anderes.

Gut gemacht, dafür meinen :respekt: und Hut ab. :tach:

Heiko schrieb:
Wenn man bedenkt, dass der Angriff ungebremst weiterläuft, gefällt mir das hier richtig.

:rotfl:

Heiko schrieb:
Es soll nicht hochmütig klingen: ich muß einräumen, dass uns der Angreifer richtig Arbeit gemacht hat. Allerdings haben wir dabei auch viel gelernt, was uns bei den nächsten (sicher kommenden) Angriffen erheblich helfen wird.

Was uns nicht umbringt, macht uns härter. :holy: :holy:

Nachedit: So schnell waren die Antwortzeiten des Forums noch nie.

drboe · 31 Dezember 2005

advisor schrieb:
drboe schrieb:

Man nutzt einfach nur das falsche System zur falschen Zeit am falschen Ort.

Zum Vergrößern anklicken....

Wobei auch infizierte Linux-Kisten eine gewisse Rolle in den Botnetzen spielen:

Gut möglich. Anders sind die dictionary login attacks gegen "root" schlecht zu interpretieren, die ich regelmäßig in den Logs des ssh Servers finde. Bei mir müßte er aber an die Konsole, von extern ist mit root nix zu machen. Soweit ein leidlich seriöser ISP für den Angriff genutzt wird, Unis etc., sende ich einen Hinweis mit dem Log-Auszug und bitte darum die Quelle des Angriffs trocken zu legen. In anderen Fällen wird der IP Bereich geerdet.

M. Boettcher

Der Jurist · 31 Dezember 2005

Die Auferstehung wird verkündet.

Stalker2002 · 31 Dezember 2005

Re: Ihr seid super !!

Axiom schrieb:
Ähh, wo war noch mal der Zweck der DoS Attacke ? *frechgrins*

Was auch immer der Zweck war, das Kollateralschadensbild ist IMHO muchas interessantos...

Meine Google-Mail Spamtrap, auf der z.B. der Dupont-Spam immer dutzendweise eingeschlagen ist, hat seit dem 23. Dezember exakt NULL Zugänge im Spamfolder. Nicht eine einzige Spammail seit der Angriff läuft. Null, nada, nixos...
Möge ein Jeder seine eigenen Schlüsse daraus ziehen...

MfG
L.

exe · 31 Dezember 2005

drboe schrieb:
Gut möglich. Anders sind die dictionary login attacks gegen "root" schlecht zu interpretieren, die ich regelmäßig in den Logs des ssh Servers finde. Bei mir müßte er aber an die Konsole, von extern ist mit root nix zu machen. Soweit ein leidlich seriöser ISP für den Angriff genutzt wird, Unis etc., sende ich einen Hinweis mit dem Log-Auszug und bitte darum die Quelle des Angriffs trocken zu legen. In anderen Fällen wird der IP Bereich geerdet.

Sicher eine sinnvolle Taktik. Ich persönlich verschiebe auch gerne den SSH-Port auf eine andere Hausnummer, dass verhindert wenigstens die lästigen Login-Versuche der 1337 Kiddiz und Bots. Root-Login auf "no" stellen ist sowieso das mindeste. Port-Knocking habe ich noch nicht probiert.

Leider stellen sich einem die Haare auf, wenn man sich mal die Standardkonfiguration eines vServer div. Provider ansieht. Da lauscht sogar der mySQL in die weite Welt obwohl ihn 99,9% aller User nur lokal benutzen. Hab schon zig Angriffe deren Quelle diverse vServern waren gesehen. Wenn man ein nmap auf die Kisten macht, leuchten die wie ein Christbaum mit 100 Lampen. Es werden leider offensichtlich sehr viele Kisten von Anfängern betreut. Eine der besten Fragen eines solchen "Admins" war: "Wie kann ich den $DIENST auf dem Server per PHP-Skript starten und stoppen?" :bigcry:

Nebelwolf ✟ · 31 Dezember 2005

Re: Wer steckt hinter der Attacke?

Hallo Sirius!

Sirius schrieb:
Falls "The Brain" hinter den DDoS-Attacken stecken sollte, ist es seltsam, dass Gulli.com attackiert wird, aber nicht GTI-Verbraucherschutz-Forum.de
(Mein Favorit ist ein anderer - einschlägig bekannter - ... )

Das GTI-Forum läuft nicht auf einem kleinen Root-Server, sondern wird gemeinsam mit anderen Seiten auf einem deutlich leistungsstärkem System gehosted. Damit benötigt der Angriff deutlich mehr Resourcen und gleichzeitig sind festangestellte Admins vor Ort für das Gerät verantwortlich. Vielleicht hat der Angreifer mangels Chancen auf den Angriff verzichtet, oder er ist erfolglos.

Gulli.com war in der Vergangenheit das Sprachrohr der einschlägig bekannten Person im Streit gegen Heise und Gulli hat ihm meines Wissens nicht auf die Füsse getreten. Aber letztendlich ist alles nur Spekulatius.

Einen Guten Rutsch wünscht
Nebelwolf

advisor · 31 Dezember 2005

exe schrieb:
Da lauscht sogar der mySQL in die weite Welt obwohl ihn 99,9% aller User nur lokal benutzen.

Das wäre ein totaler Anfängerfehler. Aus diesem Grund ist zB beim neuen SQL Server 2005 von M$ standardmäßig TCP/IP deaktiviert. Die lokale Nutzung der Datenbanken geht problemlos über Shared Memory.

Adele · 31 Dezember 2005

DoS mal wieder

Danke!!!! an Heiko und Sascha!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

stieglitz · 31 Dezember 2005

Schön, dass ihr wieder da seid. :lol:
Man fühlt sich so heimatlos.
Und wenn die Geliebte abwesend ist, besteht immer die Gefahr, dass man Fremd geht.
Kann aber auch mal eine schöne Erfahrung sein.
Guten Rutsch!

350x2 · 31 Dezember 2005

Klasse, das der Angriff sich hier nicht mehr bemerkbar macht
und vielen Dank an die Admins.

P.S. Deutscher Spam schlägt bei mir seit dem 23.12. fast nicht mehr auf.

Wünsch allen einen guten Rutsch und ein gutes 2006.

Viele Grüße 350x2

Anonymous · 1 Januar 2006

Spam

Heute erstmals wieder Spam erhalten. Die Verbrecher haben wohl inzwischen wieder SPAM-Kapazitäten frei.

Viele Grüße
JohnnyBGoode

PS: Antispam hat wohl massivere Probleme !

dvill · 3 Januar 2006

DDoS, wer?

Dietmar Vill

lyrikologiker · 3 Januar 2006

wo ist den der DoS-O-Meter (Bandbreitenanzeige)?

technofreak · 3 Januar 2006

Heise schrieb:
Die zwischen Weihnachten und Neujahr stattfindende DDoS-Attacke ...
war zwar nicht die erste, ungewohnt war aber die lange Dauer und die Hartnäckigkeit.

Kleine Korrektur, statt war > ist, der Angriff läuft nach wie vor
http://forum.computerbetrug.de/viewtopic.php?p=131183#131183
http://forum.computerbetrug.de/viewtopic.php?p=131245#131245

tf

Anonymous · 3 Januar 2006

Anders sind die dictionary login attacks gegen "root" schlecht zu interpretieren, die ich regelmäßig in den Logs des ssh Servers finde.

Das ist inzwischen "normales Hintergrundrauschen".. Ich bin einer der Admins von Megarausch.

Wir haben zwischen der Installation von Snort und PortSentry geschwankt und fahren jetzt eine Kombination aus PortSentry und mod_security. Hat sich bestens bewährt, die Attacken laufen weiter, werden aber wunderbar abgeschmettert.

OskarMaria · 4 Januar 2006

Ich habe mir mal die zur DDoS-Attacke veröffentlichten Unterlagen angeschaut. Danach stimmen wesentliche Teile Eurer Presseinformation nicht ganz. Fangen wir mal mit den IP-Adressen der Angreifer an. Von den ersten 100 aufgezeichneten IP-Adressen gehörten etwa 60 Prozent zu deutschen Providern. Man kann also keineswegs von einem Angriff aus dem "Osten" sprechen, wie das zB Sacha geschrieben hat.

Zum anderen wurden von Angreifern im fünfstelligen Bereich gesprochen. Die IP-Liste der geblockten Angreifer weißt aber nur knapp 5000 verschiedene IP-Nummern auf. Da es sich meist um dynamische Adressen handelt, tauchen da gleiche Angreifer eben mehrfach auf, wenn sie sich zwischenzeitlich neu eingewählt haben. Es waren also wesentlich weniger Bots beteiligt.

Ebenfalls ist mir aufgefallen, dass sich zwischen den dynamischen IPs auch einige statische Adressen befunden haben - auch von deutschen, kleineren Betrieben. Hier kann man auf Rückfrage erfahren, welche Ursache solch ein Angriff haben kann, da der angreifende Computer auszumachen ist. Meine Frage - um welchen Wurm/Virus handelte es sich eigentlich, der hier zum Einsatz kam?

Gruß OskarMaria

Captain Picard · 4 Januar 2006

OskarMaria schrieb:
Ich habe mir mal die zur DDoS-Attacke veröffentlichten Unterlagen angeschaut. Danach stimmen wesentliche Teile Eurer Presseinformation nicht ganz.

Wo sind hier (CB/DS) IP-Adressen veröffentlicht worden?

cp

OskarMaria · 4 Januar 2006

Hi Captain, ich habe ernsthafte Fragen gestellt - da will ich mich nicht in Nebensachen verzetteln.

Eine IP-Liste wurde zusammen mit den Abwehrmaßnahmen am Rande des CCC-Kongresses in Berlin veröffentlicht. Von hier war nicht die Rede.

Gruß OM

technofreak · 4 Januar 2006

was in Berlin veröffentlich wurde, ist uns nicht bekannt ( und ist mir auch egal) , in unseren Sperrlisten
tauchen jedenfalls fast ausschließlich Osteuropa und der Rest der Welt auf.

Selbst wenn ein Zombie ermittelt werden könnte, auf dem ein Backdoortrojaner installiert wurde, so what?
Der ist ja nicht der Urheber sondern der Depp, der sich mißbrauchen läßt.
Außerdem wird in aller Regel nicht direkt gesteuert, sondern über IRC-Server und die stehen im Ausland
http://cert.uni-stuttgart.de/doc/netsec/bots.php

tf

PS: im Heiseforum wird unendlich viel Unwissen zu diesem Thema gepostet

DoS mal wieder - DoS "Arnold"

Heiko

root

Der Jurist

drboe

Mitglied

Der Jurist

Stalker2002

Frisch registriert

exe

Mitglied

Nebelwolf ✟

R.I.P

advisor

Frisch registriert

Adele

Foren-Poetin

stieglitz

Mitglied

350x2

Frisch registriert

Anonymous

dvill

Aktiv

lyrikologiker

Frisch registriert

technofreak

Forenveteran

Anonymous

OskarMaria

Frisch registriert

Captain Picard

Commander

OskarMaria

Frisch registriert

technofreak

Forenveteran