Hallo,
ich habe grad ein Problem festgestellt: Mein Server redet seit einem halben Tag ziemlich viel nach draussen.
Ich habe im ROuter gesehen, dass ca. 10GB hochgeladen wurden heute. Wie bekomme ich heraus, was da im genauen Passiert?
Gruß
Pcace
Woher und warum Upstream?
Re: Woher und warum Upstream?
Die einfachste Lösung ist wahrscheinlich einfach mal in iptraf rein zu gucken. Da siehst du dann von wo wie stark kommuniziert wird. Ansonsten kannst du an IPtables auch ACCEPT-Regeln anfügen. Dann bekommst du mit iptables -vL Statistiken wie viel Traffic auf diese Regel gematcht hat.
rot: Moderator wanne spricht, default: User wanne spricht.
Re: Woher und warum Upstream?
Ich würde mal anfangen das System dicht zu machen. Mach mal alle Ports zu und dann nach und nach die Ports auf die wirklich brauchst.
Außerdem solltest du die geblockten Pakete mitloggen. Dann siehst du problemlos was da passiert.
Wir reden hier ja offensichtlich von einem Server jetzt ist eben die Frage welche Dienste da drauf laufen. 10GB/Tag für einen Server finde ich nicht viel.
Ich nehme mal an der Server ist ordentlich abgesichert?
Außerdem solltest du die geblockten Pakete mitloggen. Dann siehst du problemlos was da passiert.
Wir reden hier ja offensichtlich von einem Server jetzt ist eben die Frage welche Dienste da drauf laufen. 10GB/Tag für einen Server finde ich nicht viel.
Ich nehme mal an der Server ist ordentlich abgesichert?
Re: Woher und warum Upstream?
Hallo,
ja, es ist ein Server. Er hängt hinter einem Router, an einem Kabeldeutschland anschluss.
Der Router leitet nur 1194 (OpenVPN) an den Server weiter. Sonst keinen weiteren Port.
Er macht wirklich nicht viel - ein bisschen Musik via subsonic, ein bischen bzflag und ein bischen daten schubsen.
Komischerweise schiebt er mit voller Kraft (was die Kabeldeutschland leitung so hergibt) daten ins internet - sobald ich das netzwerkkabel anschliesse.
Sofort ist bei mir panik ausgebrochen und ich habe dem server über den Router sämtliche Internetverbindungen gekappt.
iptraf gibt mir folgendes:
zigtausend zeilen von dem hier:
@wanne:
@hec_tec: "Ich nehme mal an der Server ist ordentlich abgesichert?"
Tcha, warscheinlich nicht ordentlich genug
Was meinst du im Genauen damit?
Gruß
Pcace
ja, es ist ein Server. Er hängt hinter einem Router, an einem Kabeldeutschland anschluss.
Der Router leitet nur 1194 (OpenVPN) an den Server weiter. Sonst keinen weiteren Port.
Er macht wirklich nicht viel - ein bisschen Musik via subsonic, ein bischen bzflag und ein bischen daten schubsen.
Komischerweise schiebt er mit voller Kraft (was die Kabeldeutschland leitung so hergibt) daten ins internet - sobald ich das netzwerkkabel anschliesse.
Sofort ist bei mir panik ausgebrochen und ich habe dem server über den Router sämtliche Internetverbindungen gekappt.
iptraf gibt mir folgendes:
zigtausend zeilen von dem hier:
das ganze Fenster sieht so aus:x UDP (457 bytes) from 192.168.10.100:27960 to 198.15.85.154:7700 on eth0
Code: Alles auswählen
root@t64:/home/user# iptraf
IPTraf
l TCP Connections (Source Host:Port) qqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqq Packets qqqqqqqqqqqqqqqqqq Bytes qqqqqq Flags qqqqqqqqq Iface qqqqqqqqqqk
xl192.168.10.100:22 > 4350 2337272 -PA- eth0 x
xm192.168.10.143:51764 > 4372 231184 --A- eth0 x
xl127.0.0.1:56627 = 0 0 ---- lo x
xm127.0.0.1:3306 > 1 52 --A- lo x
xl127.0.0.1:3306 = 0 0 ---- lo x
xm127.0.0.1:56628 > 1 52 --A- lo x
xl127.0.0.1:3306 > 1 52 --A- lo x
xm127.0.0.1:56629 = 0 0 ---- lo x
xl127.0.0.1:56633 = 0 0 ---- lo x
xm127.0.0.1:3306 > 1 52 --A- lo x
xl127.0.0.1:3306 = 0 0 ---- lo x
xm127.0.0.1:56634 > 1 52 --A- lo x
xl127.0.0.1:3306 > 1 52 --A- lo x
xm127.0.0.1:56635 = 0 0 ---- lo x
xl192.168.10.143:52199 = 2810 151241 --A- eth0 x
xm192.168.10.100:22 = 2785 1065820 -PA- eth0 x
xl127.0.0.1:3306 > 1 52 --A- lo x
xm127.0.0.1:56637 = 0 0 ---- lo x
xl192.168.10.109:54058 > 1 52 --A- eth0 x
xm192.168.10.100:445 = 0 0 ---- eth0 x
xl127.0.0.1:56638 = 0 0 ---- lo x
xm127.0.0.1:3306 > 1 52 --A- lo x
xl127.0.0.1:3306 > 1 52 --A- lo x
xm127.0.0.1:56639 = 0 0 ---- lo x
xl127.0.0.1:56641 = 0 0 ---- lo x
xm127.0.0.1:3306 > 1 52 --A- lo x
xl127.0.0.1:3306 = 0 0 ---- lo x
xm127.0.0.1:56642 > 1 52 --A- lo x
xl127.0.0.1:3306 > 1 52 --A- lo x
m TCP: 22 entries qqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqq Active qj
lqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqk
x UDP (46 bytes) from 198.15.85.154:7700 to 192.168.10.100:27960 on eth0 x
x UDP (457 bytes) from 192.168.10.100:27960 to 198.15.85.154:7700 on eth0 x
x UDP (46 bytes) from 198.15.85.154:7700 to 192.168.10.100:27960 on eth0 x
x UDP (457 bytes) from 192.168.10.100:27960 to 198.15.85.154:7700 on eth0 x
x UDP (457 bytes) from 192.168.10.100:27960 to 198.15.85.154:7700 on eth0 x
x UDP (457 bytes) from 192.168.10.100:27960 to 198.15.85.154:7700 on eth0 x
x UDP (457 bytes) from 192.168.10.100:27960 to 198.15.85.154:7700 on eth0 x
x UDP (457 bytes) from 192.168.10.100:27960 to 198.15.85.154:7700 on eth0 x
x UDP (457 bytes) from 192.168.10.100:27960 to 198.15.85.154:7700 on eth0 x
x UDP (457 bytes) from 192.168.10.100:27960 to 198.15.85.154:7700 on eth0 x
x UDP (457 bytes) from 192.168.10.100:27960 to 198.15.85.154:7700 on eth0 x
x UDP (457 bytes) from 192.168.10.100:27960 to 198.15.85.154:7700 on eth0 x
x UDP (457 bytes) from 192.168.10.100:27960 to 198.15.85.154:7700 on eth0 x
x UDP (457 bytes) from 192.168.10.100:27960 to 198.15.85.154:7700 on eth0 x
x UDP (457 bytes) from 192.168.10.100:27960 to 198.15.85.154:7700 on eth0 x
x UDP (457 bytes) from 192.168.10.100:27960 to 198.15.85.154:7700 on eth0 x
x UDP (457 bytes) from 192.168.10.100:27960 to 198.15.85.154:7700 on eth0 x
m Bottom qqqqqq Elapsed time: 0:04 qqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqj
Pkts captured (all interfaces): 294513 x TCP flow rate: 0,00 kbits/s
Up/Dn/PgUp/PgDn-scroll M-more TCP info W-chg actv win S-sort TCP X-exit
Code: Alles auswählen
root@t64:/home/user# iptables -vL
Chain INPUT (policy ACCEPT 13315 packets, 579K bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 13284 packets, 6031K bytes)
pkts bytes target prot opt in out source destination@hec_tec: "Ich nehme mal an der Server ist ordentlich abgesichert?"
Tcha, warscheinlich nicht ordentlich genug
Was meinst du im Genauen damit? Gruß
Pcace
Re: Woher und warum Upstream?
Hallo,
ich hab mir mal getraut, nmap anzuschmeissen, und zu schauen, was das ist:
Sagt mir das:
irgendetwas?
Ich würde mich freuen, wenn mir jemand moralischen beistand bieten könnte
Gruß
Pcace
ich hab mir mal getraut, nmap anzuschmeissen, und zu schauen, was das ist:
Sagt mir das:
Code: Alles auswählen
sudo nmap -Pn 198.15.85.154
Starting Nmap 6.01 ( http://nmap.org ) at 2012-10-22 22:31 CEST
^[[C^[[Csendto in send_ip_packet_sd: sendto(3, packet, 44, 0, 198.15.85.154, 16) => No route to host
Offending packet: TCP 192.168.10.143:53310 > 198.15.85.154:8292 S ttl=49 id=60054 iplen=11264 seq=3872270952 win=1024 <mss 1460>
Warning: 198.15.85.154 giving up on port because retransmission cap hit (10).
^[[Csendto in send_ip_packet_sd: sendto(3, packet, 44, 0, 198.15.85.154, 16) => No route to host
Offending packet: TCP 192.168.10.143:53312 > 198.15.85.154:8009 S ttl=54 id=39527 iplen=11264 seq=3872139882 win=1024 <mss 1460>
sendto in send_ip_packet_sd: sendto(3, packet, 44, 0, 198.15.85.154, 16) => No route to host
Offending packet: TCP 192.168.10.143:53377 > 198.15.85.154:993 S ttl=50 id=63290 iplen=11264 seq=3704557673 win=1024 <mss 1460>
Nmap scan report for 198.15.85.154
Host is up (0.19s latency).
All 1000 scanned ports on 198.15.85.154 are closed (966) or filtered (34)
Nmap done: 1 IP address (1 host up) scanned in 1695.90 seconds
klapperkiste:~ user$
Ich würde mich freuen, wenn mir jemand moralischen beistand bieten könnte
Gruß
Pcace
Re: Woher und warum Upstream?
Also der 198.15.85.154 hat da seinen Server gemitet und scheint ziemlich paranoid zu sein. Auf den ersten ping reagiert er dann ist schluss. (Der Server kann natürlich auch nur überlastet sein.)
Ansonsten ist dadrauf je eigentlich kein Durchsaz zu erkennen. Vielleicht später nochmal versuchen.
Ansonsten ist dadrauf je eigentlich kein Durchsaz zu erkennen. Vielleicht später nochmal versuchen.
rot: Moderator wanne spricht, default: User wanne spricht.
-
habakug
- Moderator
- Beiträge: 4314
- Registriert: 23.10.2004 13:08:41
- Lizenz eigener Beiträge: MIT Lizenz
Re: Woher und warum Upstream?
Hallo!
Diese IP/Port-Kombination zeigt die Suchmaschine an.
Da schaut sich jemand Videos an [1] / spielt [2], such dir was aus. Quelle ist wohl die 192.168.10.100.
Vielleicht ist ein Video von deinem Server dort verlinkt.
Gruß, habakug
[1] http://monitor.sacnr.com/server-982271.html
[2] http://whatiexpect.in/index.php?option= ... deo=xtyvz0
Diese IP/Port-Kombination zeigt die Suchmaschine an.
Da schaut sich jemand Videos an [1] / spielt [2], such dir was aus. Quelle ist wohl die 192.168.10.100.
Vielleicht ist ein Video von deinem Server dort verlinkt.
Gruß, habakug
[1] http://monitor.sacnr.com/server-982271.html
[2] http://whatiexpect.in/index.php?option= ... deo=xtyvz0
Re: Woher und warum Upstream?
Hallo nochmal,
ich habe nochmal eine Frage: ich habe vor ein paar Monaten mal einen Quake3 Server aufgesetzt um eine runde zu spielen - und habe auch die Ports von aussen erreichbar gemacht. Logischerweise (für mich) habe ich vergessen, die Ports wieder zu schliessen nachdem wir fertig gespielt hatten. es war Port 27960 - also der port wo gestern 10GB nach draussen gegangen sind.
Wenn ich mich (ich hab wirklich wenig ahnung wie man angriffe macht) in einen Angreifer versetze, und per nmap zufällig einen port finde (eben zum beispiel 27960) dann suche ich nach einem exploit. Was kann ich dann mit dem rechner anfangen? Wozu bin ich dann befähigt?
-ich habe ein sehr starkes rootpasswort - kann ich dann als angreifer überhaupt was auf dem rechner anfangen?
noch eine Frage: wenn ich nun den Port wieder schliesse. Kann ein potentieller angreifer immernoch irgendwie zugreifen?
Und noch eine: bin bei Kabeldeutschland - also behalte ich meine Ip adresse solange der Router nicht neugestartet wird (?!). Wenn ich nun den Router neustarte und eine eine neue IP bekomme, welche Möglichkeiten gibt es für den Angreifer weiterhin (sollte es überhaupt einen geben) auf dem rechner sich zu bewegen.
Danke schonmal für antworten!!
Pcace
ich habe nochmal eine Frage: ich habe vor ein paar Monaten mal einen Quake3 Server aufgesetzt um eine runde zu spielen - und habe auch die Ports von aussen erreichbar gemacht. Logischerweise (für mich) habe ich vergessen, die Ports wieder zu schliessen nachdem wir fertig gespielt hatten. es war Port 27960 - also der port wo gestern 10GB nach draussen gegangen sind.
Wenn ich mich (ich hab wirklich wenig ahnung wie man angriffe macht) in einen Angreifer versetze, und per nmap zufällig einen port finde (eben zum beispiel 27960) dann suche ich nach einem exploit. Was kann ich dann mit dem rechner anfangen? Wozu bin ich dann befähigt?
-ich habe ein sehr starkes rootpasswort - kann ich dann als angreifer überhaupt was auf dem rechner anfangen?
noch eine Frage: wenn ich nun den Port wieder schliesse. Kann ein potentieller angreifer immernoch irgendwie zugreifen?
Und noch eine: bin bei Kabeldeutschland - also behalte ich meine Ip adresse solange der Router nicht neugestartet wird (?!). Wenn ich nun den Router neustarte und eine eine neue IP bekomme, welche Möglichkeiten gibt es für den Angreifer weiterhin (sollte es überhaupt einen geben) auf dem rechner sich zu bewegen.
Danke schonmal für antworten!!
Pcace
Re: Woher und warum Upstream?
Ein starkes root Passwort ist ja schon mal ein guter Anfang. Ich würde allerdings überhaupt nur aus dem openVPN Netz den Zugriff per SSH gestatten. Weiters würde ich auf Zertifikatsbasierte Auth umstellen.
Das eine ist Bruteforce auf ssh loslassen. Dagegen hilft ein langes komplexes Passwort. Wenn jedoch irgendwelche Sicherheitslücken vorhanden sind in welcher Software auch immer kann sich der Angreifen eventuell darüber einen Zugriff zum Server verschaffen. Sobald mal jemand am Server war gibt es genau eine Möglichkeit: Den Server vom Netz nehmen und neu Aufsetzen. Du weißt nicht was so ein Eindringling alles geändert hat.
Zuerst heißt es aber herausfinden WIE er in den Server gekommen ist. Dann eventuell Backup von vor dem Eindringen zurückspielen und dem Eindringling den Weg versperren den er genommen hat.
Die Regel ist nun mal mach so wenig Ports wie möglich auf. Regelmäßig Sicherheitsupdates einspielen. Eventuell über cron oder sonst was. Den Ganzen Spieleservern traue ich grundsätzlich nicht. Wer weiß schon welche Sicherheitsprobleme die haben.
Selbst wenn du eine andere IP bekommst wer sagt dir denn dass der Eindringling nicht sich die neue IP melden lässt?
Wie hast du überhaupt das openVPN konfiguriert? Ich hoffe mal mit Zertifikaten und TLS.
Das eine ist Bruteforce auf ssh loslassen. Dagegen hilft ein langes komplexes Passwort. Wenn jedoch irgendwelche Sicherheitslücken vorhanden sind in welcher Software auch immer kann sich der Angreifen eventuell darüber einen Zugriff zum Server verschaffen. Sobald mal jemand am Server war gibt es genau eine Möglichkeit: Den Server vom Netz nehmen und neu Aufsetzen. Du weißt nicht was so ein Eindringling alles geändert hat.
Zuerst heißt es aber herausfinden WIE er in den Server gekommen ist. Dann eventuell Backup von vor dem Eindringen zurückspielen und dem Eindringling den Weg versperren den er genommen hat.
Die Regel ist nun mal mach so wenig Ports wie möglich auf. Regelmäßig Sicherheitsupdates einspielen. Eventuell über cron oder sonst was. Den Ganzen Spieleservern traue ich grundsätzlich nicht. Wer weiß schon welche Sicherheitsprobleme die haben.
Selbst wenn du eine andere IP bekommst wer sagt dir denn dass der Eindringling nicht sich die neue IP melden lässt?
Wie hast du überhaupt das openVPN konfiguriert? Ich hoffe mal mit Zertifikaten und TLS.
Re: Woher und warum Upstream?
Hallo,
SSH geht bei mir nur über openVPN. Openvpn ist mit TLS und Zertifikaten konfiguriert.
Aber da fällt mir ein, dass der OpenVPN Server auf dem router läuft - also sind im Endeffekt bis auf den QUake Server überhaupt keine Ports von aussen erreichbar gewesen.
Es muss also der QUake Server gewesen sein.
Dann werde ich mich mal dran machen, den Server neu Aufzusetzen....
Gruß
Pcace
SSH geht bei mir nur über openVPN. Openvpn ist mit TLS und Zertifikaten konfiguriert.
Aber da fällt mir ein, dass der OpenVPN Server auf dem router läuft - also sind im Endeffekt bis auf den QUake Server überhaupt keine Ports von aussen erreichbar gewesen.
Es muss also der QUake Server gewesen sein.
Dann werde ich mich mal dran machen, den Server neu Aufzusetzen....
Gruß
Pcace