Brauche mal einen Erfahrenen (DDoS vermutet)

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
manus
Beiträge: 1
Registriert: 04.12.2014 16:27:20

Brauche mal einen Erfahrenen (DDoS vermutet)

Beitrag von manus » 04.12.2014 16:43:06

Moin moin,

ich betreibe einen Vserver - der wurde vor ca. 1 Monat gekapert und wurde von mir daraufhin plattgemacht und neu installiert. Ich habe mich auch hingesetzt und den Server so gut ich konnte abgesichert ... das meiste wird von Fail2ban abgefangen. So gehen mir jeden Tag min. 5-10 Chinesen in die Falle.

Da ich nur einen Clanserver betreibe (mini Gamingcommunity & Teamspeak) hab ich mich dann nach einer Möglichkeit umgeschaut China ganz auszusperren. Ich habe mich dann an diese Anleitung gehalten und seitdem wird mein Syslog geradezu geflutet.

Ich bekomme diese Drops angezeigt:

Code: Alles auswählen

Dec  4 05:44:24 server1 kernel: [6081696.911813] cn Country Drop IN=venet0 OUT= MAC= SRC=120.80.16.42 DST=x.x.x.174 LEN=80 TOS=0x00 PREC=0x00 TTL=52 ID=48744 PROTO=UDP SPT=22318 DPT=53 LEN=60
Mitlerweile sind es 4-6 IP´s die zwischen 1-10 mal die Sekunde diese Meldung verursachen. Alle Ip´s kommen vom selben ISP (via ip-lookup&whois geprüft) und gehen gegen Port 53 meines Vserver (bind9 läuft).

Meine Erfahrung & mein Skill was das angeht sind echt nicht die besten - darum wollte ich hier fragen ob

- ich mich "zurücklehnen" und zu schauen kann wie die Chinesen an der Firewall abperlen oder
- ich mich in Schwierigkeiten befinde.

Ich schaue täglich auf den Server - prüfe die logs - schaue mit iftop auf die verbindungen - und möchte einfach sicher sein das alles soweit ok ist.

Darum nochmal die bitte an einen erfahrenen Admin .. bin ich sicher oder nicht!?

Nebenfrage : lohnt es sich eine Mail mit den Ip´s an Abuse@ des chinesischen Providers zu schicken?


ich hoffe das sind zu dumme fragen !?


grüße

manus

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: Brauche mal einen Erfahrenen (DDoS vermutet)

Beitrag von rendegast » 08.12.2014 10:29:18

Code: Alles auswählen

...
	for ipblock in $BADIPS
	do
	   $IPT -A $SPAMLIST -s $ipblock -j LOG --log-prefix "$SPAMDROPMSG"
	   $IPT -A $SPAMLIST -s $ipblock -j DROP
	done
...
Das erste ist Deine LOG-Message.
Ein Kommentar davor, und der "Spuk" ist vorbei.

Alternativ ginge auch ein Filter für rsyslog.



Dieses Skript setzt am Anfang die iptables-Einstellungen zurück,
müßte/sollte also als erstes Konfigurationsskript ausgeführt werden,
da sonst weitere, eigene Einstellungen ja gelöscht werden.
Alternativ das Skript entsprechend bearbeiten
(zBsp. den '-F/-X'-Teil resp. 'cleanOldRules' kommentieren, das '-A' in '-I' verwandeln).
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

Antworten