Hilfe Mein server hatte bereits den 3. Ddos und ...

[ProGamer]

Hallo
Brauche Dringen hilfe
Was kann ich gegen Ddos atacken machen?
Und wie verhintere ich das mein Server Die ganze Zeit spam versendet?

Und zwar Folgentes Problem ich habe jetzt wieder seit 4 Monaten einen eigenen server mit debian dieser versendet aber die ganze zeit spam und durch Ddos atacken werde ich die ganze Zeit gesperrt. Gibt es Irgentwelche Programme die Ich verwenden kann um dies zu verhinter Die Ddos Atacken kann ich mir ja erklären dadurch das wir eine Community sind aber den Spam nicht.

[hec_tech]

Wenn dein Server eine Spamschleuder ist dann trenn das Teil bitte sofort vom Netz.

Check mal auf rootkits und überprüfe deinen Server auf open relay.

Gegen ddos kannst du nicht wirklich was machen. Eventuell mit Geoblocks wenn die alle aus einem Land kommen.

[ProGamer]

Also mein Server versendet laut MyLock 10000 e-mails pro stunde. Ist meinerseits sehr viel weis nicht wie ihr das seht. Wo kann ich nachschauen wo die Ddos atacken herkommen?
Und vom Netzt kann ich den Server leiter nicht nehmen daher das ich kein Kundenlogin habe und mir der Server von Einer ID-Firma Gesponsort kann ihn dadurch den server nur Rebooten.

[ProGamer]

Wenn dein Server eine Spamschleuder ist dann trenn das Teil bitte sofort vom Netz.

Check mal auf rootkits und überprüfe deinen Server auf open relay.

Gegen ddos kannst du nicht wirklich was machen. Eventuell mit Geoblocks wenn die alle aus einem Land kommen.

Und soweit ich glaube müssen diese Atacken von einem anderen Server Kommen weil ein PC bekommt den Server nicht so leicht von netzt weg Aber könnte ja vieleicht falls die atacken von einen einzigen server kommen diese IP von dem server sperren oder?

[gbotti]

Wir betreiben auch Server, die mehr als 10000 Mails pro Stunde versenden können. Es sind entsprechend viele Mailkonten darauf...
Die Ursache dafür muss halt erkannt / behoben werden. Wie hec_tech schon erwähnte muss das System irgendwie Offline gebracht werden, wie auch immer. Das kann sein den Webserver und den Mailserver auf dem Server selbst deaktivieren und die Firewall entsprechend anzupassen. Leider kann ein Rootkit aber sämtliche Mühen zu Nichte machen, da jemand von außen theoretisch auf dem System machen könnte, was er/sie/es will.

Am besten ist das System in einen "vertrauenswürdigen" Zustand zu bringen, beispielsweise mit einer Live-CD, einer Rescue-Console oder einer kompletten Neuinstallation.

Meine Vorgehensweise wäre:
- Mailserver auf ein offenes Relay überprüfen. Ich verwende dazu Beispielsweise http://www.mailradar.com/openrelay/
- Server, so weit möglich, abschalten.
- Rescue-System starten und den Server überprüfen, auf Rootkits, unerlaubte Benutzer, Konfigurationsfehler, veränderte / hinzugefügte Internetseiten, ...
- Letzte Logins überprüfen
- FTP-Server überprüfen
- Datenbanken überprüfen

Falls du irgendetwas findest ist das sinnvollste den Server komplett neu aufzusetzen. Wenn ein Rootkit auf dem Server war, dann kann man nie Sicher sein alles entfernt zu haben und ob nicht ein anderes "Hintertürchen" vorhanden ist.

Bevor der Server wieder Online geht, dann sollten auf jeden Fall alle Patches und Sicherheitsupdates eingespielt sein, eine Firewall (iptables) sollte laufen.

DDoS: Man kann mit verschiedenen Tools erkennen, welche IP-Adresse gerade auf ein System zugreift. Wenn iptables ordentlich konfiguriert ist kann man dort für DDoS eine Logging-Rule einfügen (die aber in diesem Fall sehr schnell die Festplatte vollschreiben könnte). Darin sind normalerweise IP-Adressen aufgeführt. Alternativ kann man mit netstat, iptraf, iftop usw. arbeiten und Verbindungen ansehen. Da muss man sich halt einarbeiten.

EDIT: Noch ein paar Punkte, die ich überprüfen würde, hinzugefügt...

[gbotti]

Und soweit ich glaube...

Glauben ist im Serverbereich eine sehr gefährliche Sache...

[charno]

Evtl. versucht auch einfach jemand, deine Spam-Schleuder vom Netz zu holen? So als Dienst an der Menschheit

Trenne den Server bitte erstmals vom Netz, wenn der pro Stunde 10'000 Mails versendet. Anschliessend mindestens überprüfen (gbotti macht hier gute Vorschläge), am Besten gleich neu aufsetzen und sauber absichern. Dafür hast du ja ein Backup, oder?

DDoS steht übrigens für Distributed Denial of Service, daran ist per Definition mehr als ein Angreifer beteiligt.

[ProGamer]

Nein meine "spamschleudert" versucht keiner vom netz zu nehmen ich habe die angriffe schon gehabt da hatte noch gar keinen spam versendet laut anbieter.

[ProGamer]

Und Es ist ein Backup vorhanden dies ist aber leider nicht auf den Aktuellsten Stand. und deshalb kann ich den server zur zeit auch nicht neu aufsetzten weil sonst einige wichtige sachen fehlen.

[gbotti]

Ist ein CMS (Joomla, SilverStripe, Typo3, ...) installiert, sind da alle Sicherheitsupdates eingespielt?

[Radfahrer]

Schon mal daran gedacht, erst einmal den Umgang mit einem Server zu erlernen, bevor du einen als Spamschleuder ins Netz stellst?

[ProGamer]

und könnte es vieleicht an einem der folgenten Parameter liegen?:
liste der programme:
4x Minecraftserver
3x TS³-Server
1x Multi Theft Auto Server
1x SinusBot
1x TekBase

[gbotti]

Und Es ist ein Backup vorhanden dies ist aber leider nicht auf den Aktuellsten Stand. und deshalb kann ich den server zur zeit auch nicht neu aufsetzten weil sonst einige wichtige sachen fehlen.

/Sarkasmus an
Das ist die richtige Einstellung. Soll sich doch der Provider darum kümmern den Server vom Netz zu nehmen, wenn die Beschwerden groß genug werden...
/Sarkasmus aus

Mhm... Wichtiger Server ohne ausreichende Backups... Echt jetz?

Siehe vorigen Post von Radfahrer und den von mir mit dem was ich machen würde....

[gbotti]

und könnte es vieleicht an einem der folgenten Parameter liegen?:
liste der programme:
4x Minecraftserver
3x TS³-Server
1x Multi Theft Auto Server
1x SinusBot
1x TekBase

Was für Parameter? Ich sehe da schön Langsam eher Eigenwerbung...

[ProGamer]

Ich bin mir den Umgang mit Servern Bewusst Daher das ich dies schon seit mehreren Jahren mache. Bin aber das erste mal mit Root Zugriff dabei deshalb... Habe nur gesagt das dieser Server seit 4 monaten Exestiert hatte schon Insgesamt 5 Server und hatte bis dahin nur Ddos Probleme Aber nicht so stark wie zur zeit...

[ProGamer]

Nein keine Eigen Werbung sondern problem suche vielicht könnte ja eines der Dargestellten Programme Der Auslöser sein Deshalb die Auflistung.

[hec_tech]

Wordpress mit seinen Rootkits (Plugins) hast noch vergessen

Moment mal dein Anbieter sagt du sendest keinen Spam? Sendest du direkt oder über deinen Anbieter?

10k Mails pro Stunde halte ich schon etwas hoch. Schau mal in die Mailbox von root eventuell werden da diverse Mails eingeliefert.

edit: wie misst du die 10k mails überhaupt?

[gbotti]

Aus meiner Zeit bei einem Hoster kannte ich einige Kunden mit Gameservern. Die haben alle durch die Bank Schwierigkeiten mit Angriffen. Das liegt (laut Aussage eines der Kunden) daran, dass manche Gameserversysteme im Ausland eventuell geschützt sind und man diese aber in Deutschland "einfach so" installiert. Das passt manchen Herstellern oder anderen Gameserveranbietern angeblich nicht... Ob das allerdings stimmt ist eine reine Vermutung!

Mails:
- /var/log/mail.log ist auch ne Anlaufstelle, wo man etwas sehen könnte...
- mailq

[zwiebelchen]

Wie kannst du Erfahrungen mit Servern haben, wenn du vorher noch nie Root warst?

Gehe ich recht in der Annahme, dass es ein Debian-6-Server ist?
Sind die LTS-Repositories aktiviert?
Ich rate trotzdem langsam mal zum Upgrade...

Wenn du dich über die ganzen Mails wunderst, schau doch einfach in /var/log/mail.log rein. Da steht dann drin, wer die ganzen Mails verschickt. Einen offenen Relay scheinst du aber nicht zu haben...

Du scheinst nicht viel über Server zu wissen und daher halte ich das ganze für sehr gefährlich, was du da veranstaltest

[ProGamer]

Der server beinhaltet Debian 7 und danke für den tipp ich schaue gleich in den verzeichnis nach

[ProGamer]

in der mail.log steht komischer weise nichts drinne aber in mail.warn extrem viel soviel wie ich rauslesen kann versucht jemand die e-mail adressen durchzugehen was für welche es gibt das ist etwas fragwürdig Verlauf und in der Datei maillog sehe ich das sich andauern wer einlogt mit einer IP die mir Persönlich nicht bekannt ist.

[charno]

Du könntest natürlich auch mal bei Gelegenheit immerhin den Mailserver ausschalten...

[ProGamer]

War ich auch schon am überlegen weil ja die website auf einem anderem server läuft...

Aber wie schalte ich das ab?

[zwiebelchen]

...in der mail.log steht komischer weise nichts drinne...

...und in der Datei maillog sehe ich...

Was denn nun?

das sich andauern wer einlogt mit einer IP die mir Persönlich nicht bekannt ist.

Du kannst auch unmöglich "persönlich" alle IP-Adressen kennen, da sie bei DSL-Anschlüssen dynamisch sind.

Viel wichtiger ist:
Ist der Login erfolgreich und wenn ja, mit welchem Konto?
Dann würde ich diese Person mal zur Rede stellen bzw. das Konto löschen / blockieren...

Hast du schonmal an Fail2Ban gedacht?

EDIT:

Ich bin mir den Umgang mit Servern Bewusst Daher das ich dies schon seit mehreren Jahren mache.

Da kommen mir langsam immer mehr Zweifel

Aber wie schalte ich das ab?

[uname]

Zum Thema Backup. Backup werden eigentlich überbewertet. Es würde bei deinem minimalen System mit ein paar unnötigen Diensten vollkommen ausreichen wenn du dir die nachinstallierten Pakete (Paketverwaltung oder auch manuell) sowie die entsprechenden Konfigurationsanpassungen gemerkt hättest. Entscheidend ist bei einem Backup nicht alles z.B. per dd, tar, iso, rsync oder sonstwie zu sichern, sondern zu wissen, wie man aus einem frisch installierten System (dann natürlich Jessie) die aktuellen Funktionsstand wieder herstellt.
Da das System (nach deinen Angaben) jedoch verseucht ist bleibt sowieso nur eine Neuinstallation. Und das Backup solltest du auch nicht zurückspielen, da da nicht wissen kannst ob diese letztmalige Sicherung nicht auch schon verseucht war. Ich gebe dir somit den Tipp die Paketliste auszulesen, /etc zu sichern und beides für den Neuaufbau als Basis einzusetzen. Natürlich nicht stumpf rüberkopieren.