DoS mal wieder - DoS "Arnold"

Status
Für weitere Antworten geschlossen.
DoS-Angriffe werden immer geeignet sein, Einzelserverlösungen wie diese hier temporär auszuschalten.
Dauerhaft ist das was anderes.
Wenn man bedenkt, dass der Angriff ungebremst weiterläuft, gefällt mir das hier richtig. :rofl:
Es soll nicht hochmütig klingen: ich muß einräumen, dass uns der Angreifer richtig Arbeit gemacht hat. Allerdings haben wir dabei auch viel gelernt, was uns bei den nächsten (sicher kommenden) Angriffen erheblich helfen wird.
 
Heiko schrieb:
DoS-Angriffe werden immer geeignet sein, Einzelserverlösungen wie diese hier temporär auszuschalten.
Dauerhaft ist das was anderes.
Gut gemacht, dafür meinen :respekt: und Hut ab. :tach:
Heiko schrieb:
Wenn man bedenkt, dass der Angriff ungebremst weiterläuft, gefällt mir das hier richtig. :rofl:
:rotfl: :rofl:
Heiko schrieb:
Es soll nicht hochmütig klingen: ich muß einräumen, dass uns der Angreifer richtig Arbeit gemacht hat. Allerdings haben wir dabei auch viel gelernt, was uns bei den nächsten (sicher kommenden) Angriffen erheblich helfen wird.
Was uns nicht umbringt, macht uns härter. :holy: :holy:

Nachedit: So schnell waren die Antwortzeiten des Forums noch nie.
 
advisor schrieb:
drboe schrieb:
Man nutzt einfach nur das falsche System zur falschen Zeit am falschen Ort.
Wobei auch infizierte Linux-Kisten eine gewisse Rolle in den Botnetzen spielen:

Gut möglich. Anders sind die dictionary login attacks gegen "root" schlecht zu interpretieren, die ich regelmäßig in den Logs des ssh Servers finde. Bei mir müßte er aber an die Konsole, von extern ist mit root nix zu machen. Soweit ein leidlich seriöser ISP für den Angriff genutzt wird, Unis etc., sende ich einen Hinweis mit dem Log-Auszug und bitte darum die Quelle des Angriffs trocken zu legen. In anderen Fällen wird der IP Bereich geerdet.

M. Boettcher
 
Re: Ihr seid super !!

Axiom schrieb:
Ähh, wo war noch mal der Zweck der DoS Attacke ? *frechgrins*

Was auch immer der Zweck war, das Kollateralschadensbild ist IMHO muchas interessantos...

Meine Google-Mail Spamtrap, auf der z.B. der Dupont-Spam immer dutzendweise eingeschlagen ist, hat seit dem 23. Dezember exakt NULL Zugänge im Spamfolder. Nicht eine einzige Spammail seit der Angriff läuft. Null, nada, nixos...
Möge ein Jeder seine eigenen Schlüsse daraus ziehen... :)

MfG
L.
 
drboe schrieb:
Gut möglich. Anders sind die dictionary login attacks gegen "root" schlecht zu interpretieren, die ich regelmäßig in den Logs des ssh Servers finde. Bei mir müßte er aber an die Konsole, von extern ist mit root nix zu machen. Soweit ein leidlich seriöser ISP für den Angriff genutzt wird, Unis etc., sende ich einen Hinweis mit dem Log-Auszug und bitte darum die Quelle des Angriffs trocken zu legen. In anderen Fällen wird der IP Bereich geerdet.
Sicher eine sinnvolle Taktik. Ich persönlich verschiebe auch gerne den SSH-Port auf eine andere Hausnummer, dass verhindert wenigstens die lästigen Login-Versuche der 1337 Kiddiz und Bots. Root-Login auf "no" stellen ist sowieso das mindeste. Port-Knocking habe ich noch nicht probiert.

Leider stellen sich einem die Haare auf, wenn man sich mal die Standardkonfiguration eines vServer div. Provider ansieht. Da lauscht sogar der mySQL in die weite Welt obwohl ihn 99,9% aller User nur lokal benutzen. Hab schon zig Angriffe deren Quelle diverse vServern waren gesehen. Wenn man ein nmap auf die Kisten macht, leuchten die wie ein Christbaum mit 100 Lampen. Es werden leider offensichtlich sehr viele Kisten von Anfängern betreut. Eine der besten Fragen eines solchen "Admins" war: "Wie kann ich den $DIENST auf dem Server per PHP-Skript starten und stoppen?" :bigcry:
 
Re: Wer steckt hinter der Attacke?

Hallo Sirius!

Sirius schrieb:
Falls "The Brain" hinter den DDoS-Attacken stecken sollte, ist es seltsam, dass Gulli.com attackiert wird, aber nicht GTI-Verbraucherschutz-Forum.de
(Mein Favorit ist ein anderer - einschlägig bekannter - ... )
Das GTI-Forum läuft nicht auf einem kleinen Root-Server, sondern wird gemeinsam mit anderen Seiten auf einem deutlich leistungsstärkem System gehosted. Damit benötigt der Angriff deutlich mehr Resourcen und gleichzeitig sind festangestellte Admins vor Ort für das Gerät verantwortlich. Vielleicht hat der Angreifer mangels Chancen auf den Angriff verzichtet, oder er ist erfolglos.

Gulli.com war in der Vergangenheit das Sprachrohr der einschlägig bekannten Person im Streit gegen Heise und Gulli hat ihm meines Wissens nicht auf die Füsse getreten. Aber letztendlich ist alles nur Spekulatius.

Einen Guten Rutsch wünscht
Nebelwolf
 
exe schrieb:
Da lauscht sogar der mySQL in die weite Welt obwohl ihn 99,9% aller User nur lokal benutzen.
Das wäre ein totaler Anfängerfehler. Aus diesem Grund ist zB beim neuen SQL Server 2005 von M$ standardmäßig TCP/IP deaktiviert. Die lokale Nutzung der Datenbanken geht problemlos über Shared Memory.
 
Schön, dass ihr wieder da seid. :lol:
Man fühlt sich so heimatlos.
Und wenn die Geliebte abwesend ist, besteht immer die Gefahr, dass man Fremd geht.
Kann aber auch mal eine schöne Erfahrung sein.
Guten Rutsch!
 
Klasse, das der Angriff sich hier nicht mehr bemerkbar macht
und vielen Dank an die Admins.

P.S. Deutscher Spam schlägt bei mir seit dem 23.12. fast nicht mehr auf.

Wünsch allen einen guten Rutsch und ein gutes 2006.

Viele Grüße 350x2
 
Spam

Heute erstmals wieder Spam erhalten. Die Verbrecher haben wohl inzwischen wieder SPAM-Kapazitäten frei.

Viele Grüße
JohnnyBGoode

PS: Antispam hat wohl massivere Probleme !
 
Anders sind die dictionary login attacks gegen "root" schlecht zu interpretieren, die ich regelmäßig in den Logs des ssh Servers finde.

Das ist inzwischen "normales Hintergrundrauschen".. Ich bin einer der Admins von Megarausch.

Wir haben zwischen der Installation von Snort und PortSentry geschwankt und fahren jetzt eine Kombination aus PortSentry und mod_security. Hat sich bestens bewährt, die Attacken laufen weiter, werden aber wunderbar abgeschmettert.
 
Ich habe mir mal die zur DDoS-Attacke veröffentlichten Unterlagen angeschaut. Danach stimmen wesentliche Teile Eurer Presseinformation nicht ganz. Fangen wir mal mit den IP-Adressen der Angreifer an. Von den ersten 100 aufgezeichneten IP-Adressen gehörten etwa 60 Prozent zu deutschen Providern. Man kann also keineswegs von einem Angriff aus dem "Osten" sprechen, wie das zB Sacha geschrieben hat.

Zum anderen wurden von Angreifern im fünfstelligen Bereich gesprochen. Die IP-Liste der geblockten Angreifer weißt aber nur knapp 5000 verschiedene IP-Nummern auf. Da es sich meist um dynamische Adressen handelt, tauchen da gleiche Angreifer eben mehrfach auf, wenn sie sich zwischenzeitlich neu eingewählt haben. Es waren also wesentlich weniger Bots beteiligt.

Ebenfalls ist mir aufgefallen, dass sich zwischen den dynamischen IPs auch einige statische Adressen befunden haben - auch von deutschen, kleineren Betrieben. Hier kann man auf Rückfrage erfahren, welche Ursache solch ein Angriff haben kann, da der angreifende Computer auszumachen ist. Meine Frage - um welchen Wurm/Virus handelte es sich eigentlich, der hier zum Einsatz kam?

Gruß OskarMaria
 
Hi Captain, ich habe ernsthafte Fragen gestellt - da will ich mich nicht in Nebensachen verzetteln.

Eine IP-Liste wurde zusammen mit den Abwehrmaßnahmen am Rande des CCC-Kongresses in Berlin veröffentlicht. Von hier war nicht die Rede.

Gruß OM
 
was in Berlin veröffentlich wurde, ist uns nicht bekannt ( und ist mir auch egal) , in unseren Sperrlisten
tauchen jedenfalls fast ausschließlich Osteuropa und der Rest der Welt auf.

Selbst wenn ein Zombie ermittelt werden könnte, auf dem ein Backdoortrojaner installiert wurde, so what?
Der ist ja nicht der Urheber sondern der Depp, der sich mißbrauchen läßt.
Außerdem wird in aller Regel nicht direkt gesteuert, sondern über IRC-Server und die stehen im Ausland
http://cert.uni-stuttgart.de/doc/netsec/bots.php

tf

PS: im Heiseforum wird unendlich viel Unwissen zu diesem Thema gepostet
 
Status
Für weitere Antworten geschlossen.
Zurück
Oben