Unbekannter Angriff/Scan

[sirius01]

Hallo @all,

mir fiel heute ein erhöhter Netzwerk Verkehr beim meinen Server auf.
Also mal gleich alles angeschaut.
Ein Ausschnitt von iftop:

Code: Alles auswählen

192.168.1.x:http                                                 => 91.203.103.x:44792                                                 176b     70b     44b
                                                                 <=                                                                      0b      0b      9b
192.168.1.x:http                                                 => 91.203.103.x:35557                                                   0b     70b     35b
                                                                 <=                                                                      0b      0b      9b
192.168.1.x:http                                                 => 91.203.101.x:41149                                                   0b     70b     35b
                                                                 <=                                                                      0b      0b      9b
192.168.1.x:http                                                 => 91.203.103.x:39352                                                   0b     35b     44b
                                                                 <=                                                                      0b      0b      9b
192.168.1.x:http                                                 => 91.203.103.x:33693                                                   0b     35b     44b
                                                                 <=                                                                      0b      0b      9b
192.168.1.x:http                                                 => 91.203.101.x:55166                                                   0b     35b     44b
                                                                 <=                                                                      0b      0b      9b
192.168.1.x:http                                                 => 91.203.103.x:44431                                                   0b     35b     44b
                                                                 <=                                                                      0b      0b      9b
192.168.1.x:http                                                 => 91.203.103.x:48407                                                   0b     35b     44b
                                                                 <=                                                                      0b      0b      9b
192.168.1.x:http                                                 => 91.203.101.x:33207                                                   0b     35b     44b
                                                                 <=                                                                      0b      0b      9b
192.168.1.x:http                                                 => 91.203.101.x:45623                                                   0b      0b     53b

Es wurden im Apachen kein keine logs hinterlassen.
Sperre ich in der Fritzbox das Internet der Ip vom Server ist es ohne Wirkung.
Wenn ich aber den Port 80 der Portfreigabe deaktiviere verschwindet der Angriff.
Um welche Art des Angriffs könnte es sich handeln. Etwas ernsteres wird es wohl sein.
Ich habe an Hand der IP, die Firma ermittelt. Das Webportal ist von dehnen nicht mehr erreichbar.

gruß sirius01

[mat6937]

Sperre ich in der Fritzbox das Internet der Ip vom Server ist es ohne Wirkung.
Wenn ich aber den Port 80 der Portfreigabe deaktiviere verschwindet der Angriff.
Um welche Art des Angriffs könnte es sich handeln. Etwas ernsteres wird es wohl sein.

Du hast den Port 80 für den Zugang aus dem Internet geöffnet, für die Öffentlichkeit.
Warum soll das ein Angriff sein, wenn sich jemand mit deinem Server verbindet?
Oder ist es der erhöhte Traffic? Evtl. ist dein Server dann nicht richtig konfiguriert?

[sirius01]

mat6937

An der Serverconfig liegt es nicht .
Nach so vielen Jahren Serverbetrieb werde ich es wohl hinbekommen.
Sicherlich gibt es hin und wieder etwas neues.
Aber auch das lässt sich nach etwas belesen in die Config einpflegen.
Aber darum geht es nicht. Hier wurde nachweislich ein Firmenserver gekapert mit dem auch
die Angriffe durchgeführt wurden. Ich tippe mit dem was ich noch gestern herausbekommen habe,
das es sich um eine Art der DoS Attacke gehandelt hat.
Der Server der Firma Y*lwa ist immer noch nicht erreichbar. Das sagt wohl alles.

gruß sirius01

[Tintom]

Hier wurde nachweislich ein Firmenserver gekapert mit dem auch
die Angriffe durchgeführt wurden.

Woran machst du das fest? Beweise?

Ich tippe mit dem was ich noch gestern herausbekommen habe,
das es sich um eine Art der DoS Attacke gehandelt hat.

Nur mal so aus Neugier: Warum sollte jemand eine DoS-Attacke auf deinen Server durchführen? Welche hochsensiblen Dienste betreibst du auf deinem Homeserver, damit er für andere attraktiv ist?

Der Server der Firma Y*lwa ist immer noch nicht erreichbar. Das sagt wohl alles.

Genau. Nämlich nichts. Downtime wegen Wartungsarbeiten wäre eine Möglichkeit.

[sirius01]

Hallo @ Tintom,

ich lag mit meiner Vermutung richtig. Ebend
gerade hatte ich mit der besagten Firma telefoniert.
Da wurde mir die Sache bestätigt.

So leichtfertig werde ich so etwas nicht schreiben!

gruß sirius01

[kayit]

Vom gesamte IP Bereich 91.203.100.1 - 91.203.103.254 scheinen heute DoS Attacken auszugehen.
Die Firma ist informiert und lt. Auskunft der fast weinenden Sekretären hart am Kämpfen.
Der Rückruf des Admins erfolgte bislang nicht.
Für mich sind sie selber Opfer und ungewollter Bestandteil eines größeren Botnetzes geworden, was die Angriffe fährt.
Ich habe daher den betreffenden IP Bereich für meine Server vorübergehend gesperrt.

[sirius01]

@kayit
das ist korrekt . Danke das Du meine Aussage bestätigst

gruß sirius01

[sirius01]

Aktualisierung:

Der "DoS" Angriff läuft noch. Zusätzlich ist jetzt der IP Bereich 82.100.253.xxx
beteiligt.

Die können einen bei Y*lwa wirklich leid tun. Ich hoffe mal das die es ohne größere
Schäden bald in den Griff bekommen.

gruß sirius01

[sirius01]

Entweder ist im Netz ein Krieg ausgebrochen oder diese
kriminellen haben es auf meinen unbedeutenden Server abgesehen .
IP,s des vorherigen Bereich habe ich nicht mehr gefunden.
Dafür aber jede Menge aus den USA und aus Singapore.
Aber egal solche Hacker würde ich gerne mit einen Begriff aus der Biologie vergleichen.
Sie leben auf Kosten des Wirts, schaden ihn aber ohne ihm ein Nutzen zu bringen.
Meinen Server fahre ich runter und die Ports werden deaktiviert. Dann ist es mir wurscht.
Es wird Zeit, das uns unsere Politiker und Behörden endlich mal vor solchen Machenschaften beschützen.
Wofür bezahlen wir die eigendlich?
Für die Hacker wünsche ich mir, das sie in einem Land gefasst werden, was nicht so human mit solchen Leuten umgeht.

gruß sirius01