Soeben eine nette e-Mail bekommen:



Es geht zwar nicht um einen meiner Shops, sondern "nur" um ein Blog eines Kunden, das ich auf einem unserer Server mitlaufen habe, aber ärgerlich ist das schon.

Meine kurzfristige Strategie erst einmal:
1. Umlegen der Domain / Site auf einen nicht anderweitig genutzten Server, so dass keine anderen Sites beeinträchtigt werden (läuft gerade)
2. Anzeige gegen unbekannt (nicht sehr erfolgversprechend, aber man weiß ja nie)
3. Abwarten.

Eine ganze Reihe "böser" IPs sind ohnehin schon per .htaccess ausgesperrt, aber das mag im schlimmsten Fall (echtes Botnetz) nicht viel nützen.
Hat jemand Erfahrungen bzw. Lösungsansätze, um so etwas einigermaßen abzuwettern? Könnte ja auch mal eine der Geldbringer-Websites erwischen...

(Der Server läuft auf Ubuntu 10.04 LTS + Plesk 10.0, dedicated)

_________________
Falls jemand fragt: Ich verkaufe Kondome.
Wir sind auch auf Facebook mit Infos, Aktionen und Rabatten!
Exklusiv und neu (Wiederverkäufer gesucht!): ESP Kondome mit ungewöhnlichen Sorten

Anzeigen, mehr kann man erstmal nicht machen.
I.d.R. sind das eh nur Spams. Vielleicht gibt es ja Dumme, die zahlen...

Das ist Spam...welcher Idiot würde ein Botnet nutzen um einen Blog zu plätten?

Eine Erpressung läuft anders: Zuerst wird deine Moneysite für 1-2 Stunden überlastet. DANACH erhälst Du eine mail welche Dich darauf hinweist das eine Zahlung fällig wird wenn Du das zukünftig vermeiden möchtest.

_________________
Zuerst gewalttätig sein und dann in Furcht vor dem eigenen Volk geraten, das ist der Gipfel der Unfähigkeit. (Sun Zi)

Leider haben wir es nicht immer mit intelligenten Gegnern zu tun.
Natürlich ist mir die Wahrscheinlchkeit bewusst, dass es sich um Spam handelt; nichtsdestotrotz kann ich mich nicht zurücklehnen und sagen: Och, da wart ma ab, dat passiert nich.
Nehmen wir also - just for fun - mal an, es wäre echt. Und irgendwann erwischt es einen bestimmt mal...

_________________
Falls jemand fragt: Ich verkaufe Kondome.
Wir sind auch auf Facebook mit Infos, Aktionen und Rabatten!
Exklusiv und neu (Wiederverkäufer gesucht!): ESP Kondome mit ungewöhnlichen Sorten

Ich würde es drauf ankommen lassen ( das meine ich im Ernst), wenn er zeigt was er drauf hat kannst Du immer noch zahlen. Er will ja scheinbar Geld und Dich nicht vernichten...

_________________
Zuerst gewalttätig sein und dann in Furcht vor dem eigenen Volk geraten, das ist der Gipfel der Unfähigkeit. (Sun Zi)

Nachdem Du einen eigenen Server hast, ist das Blocken über die .htaccess die schlechteste Lösung, da dann der Traffic bereits auf dem Server ist und den Apache und eventuell DNS (falls in den Regeln der .htacces Domainnamen verwendet werden) lahmlegt.

Besser die IP-Ranges über die iptables blocken, noch besser eine Server-Kaskade aus mindestens 2 Servern machen. Auf dem ersten Server läuft nur iptables und filtert den unerwünschten Traffic, was durchkommt wird auf den eigentlichen Server weitergeleitet.

Vorteil der iptables gegenüber der .htaccess ist, dass iptables auf der Ebene der Netzwerkprotokolle arbeitet. Wird eine IP oder ein IP-Bereich gesperrt, reagiert die Netzwerkkarte einfach nicht auf Anfragen von dieser IP. Für den Angreifer sieht das so aus, als wäre hinter der IP kein Server. Für den Server bedeutet diese Lösung eine Resourcen-Entlastung, da die massenweisen Aufrufe nicht vom Apache gefiltert werden müssen (+ womöglich einem DNS-Lookup je Ping, falls die .htaccess über Domainnamen filtert. Dazu reicht, dass in nur einer Regel keine IP sondern ein Domainname verwendet wird).

Ausserdem solltest Du in jedem Server 2 Netzwerkkarten (und damit 2 IP-Adressen) haben, damit Du im Fall eines Angriffs überhaupt noch auf den Server kommst. Eine IP nur für Web-Traffic, zweite IP nur für Admin-Zugriff (also niemals eine Domain über diese IP laufen lassen).
Wenn ein Botnetz richtig loslegt, hast Du sonst keine Chance mehr über eine Shell auf Deinen Server zu kommen.

Das ist die Syntax für iptables:
iptables -A INPUT -m iprange --src-range 174.127.128.0-174.127.255.255 -j DROP

174.127.128.0-174.127.255.255 durch den zu blockierenden Bereich ersetzen (z.B. China, Indien, Russland, ...). Die sind bei mir dauerhaft blockiert, ausser Spam, Hackversuchen und Botnetzen kommt von da kein vernünftiger Traffic.

Bei einem richtig massiven Angriff nutzt das allerdings auch nichts, da braucht man dann schon so etwas wie Akamai

Die in der .htaccess-Datei ausgesperrten IPs sind zur Abwehr echter DDoS-Angriffe natürlich ungeeignet, das ist mir klar. Die sollen ja auch nur die gängigsten Ausgangspunkte von Skriptkiddies aus Brasilien, China, Russland... abhalten.

Klingt logisch. Nützt das auch was, wenn der Firewall-Server und der dahinter stehende Webserver beide als virtuelle Server auf der selben physischen Maschine laufen?

_________________
Falls jemand fragt: Ich verkaufe Kondome.
Wir sind auch auf Facebook mit Infos, Aktionen und Rabatten!
Exklusiv und neu (Wiederverkäufer gesucht!): ESP Kondome mit ungewöhnlichen Sorten

Solange die VMs auf der selben Maschine laufen, wird es wahrscheinlich besser sein nur die iptables auf dem Webserver entsprechend zu konfigurieren. Durch den Overhead der zweiten VM wird die CPU-Last eher stärker steigen.

Hallo Zusammen,

ich habe die selbe Mail erhalten, hielt es auch für Spam und habe nicht darauf reagiert.
Heute ist mein Shop/Server unter der DDoS-Attacke zusammengebrochen.

ACHTUNG: Die Sache ist Echt!
Wir hatten die Mail vor 2 Tagen bekommen und wurden gerade angegriffen.

Infos folgen.

mfg
David

...üble Sache. Gibts schon Erkentnisse zu den verwendeten IP Kreisen der Attacke?

_________________
Zuerst gewalttätig sein und dann in Furcht vor dem eigenen Volk geraten, das ist der Gipfel der Unfähigkeit. (Sun Zi)

Also, wir haben eine Blacklist für die Firewall mit Ip-Adressen erstellt.
Das hat super funktioniert.
Wir hatten sozusagen eine Downtime von 1 Std in der wir die IP-Adressen gesammelt haben.
Danach kamen die Adressen nicht mehr durch.
99% kamen aus Russland ( "ru" im USER_AGENT)
Die Blacklist folgt.

Würde so etwas im Vorfeld etwas bringen?
http://www.countryipblocks.net/malicious-internet-traffic/ukraine-most-dangerous-networks/
Ziehen 2408 zusätzliche Einträge in der .htaccess nicht den Server runter?

_________________
Ich: "Facebook ist doch nur ein einziger, riesiger Stammtisch"
Sie: "Du hast doch nicht wirklich geglaubt, dass sich dort die Schlaumeier treffen, oder?"

Fein, das nenne ich schnelle Reaktion!

_________________
Zuerst gewalttätig sein und dann in Furcht vor dem eigenen Volk geraten, das ist der Gipfel der Unfähigkeit. (Sun Zi)

Nicht in .htaccess!! Da ist es zu spät, da der Server den Request schon hat.
Wenn Ihr einen eigenen Server habt, oder Zugriff auf die Firewall, unbedingt diese mit einer Blacklist konfigurieren, da dann die Anfragen einfach abgewiesen werden bevor sie vom Server (z.B. Apache) verarbeitet werden. Das spart unheimlich Ressourcen.
Wir werden immer noch angegriffen und merken nichts davon (Ab und zu kommt noch eine Adresse durch)
Hier kann man Ip-Adressen pro Land bekommen. http://www.countryipblocks.net/maliciou ... -networks/
Wir haben jetzt die deutschen Adressen in einer Whitelist und die Russischen in einer Blacklist.
Zusätzlich haben wir die IP-Adressen aus access.log mit einem russischen USER_AGENT und User die mehr als 5 mal die Startseite aufgerufen haben in einer Blacklist.
Das wars.

Unser Shop-System läuft mit PHP.
In der index.php kam noch zusätzlich folgender Eintrag:



Wichtig: Weit vorne.
So bekommen die übrig gebliebenen nur 20 bytes

Achso: zur Info:
Wir hatten 6000 Zugriffe in der Sekunde. Das ist schon ordentlich. Trotzdem bekommen die kein einzigen bitcoin

Einen 100GBit Angriff könnt Ihr nicht auf Serverebene abwehren... Bei sowas immer schön dem RZ Bescheid geben, damit die Ihre Vorkehrungen machen bzw. aktivieren können, damit es gar nicht bis zum Server durchkommt. Eure Rooties haben einen oder zwei max. 1GBit NICs, auch wenn alles gefiltert werden würde, ist die Bandbreite allein durch die Kontrolle schon dicht. Ihr kriegt also höchstens bereits gefilterten Traffic ab. Z.B. hat das RZ von Hetzner 230GBit aktuell, das wären also 43% der Gesamtbandbreite des RZs, die bei 100GBit zusammen kämen.

_________________
H.H.G. A.Åž.
Hasan H. Gürsoy (CEO, ehem. Mitentwickler xt:Commerce)

• Was nach xt:Commerce 3.0.4 SP2.1 kam...
• H.H.G. multistore EE ab 99,-

Richtig.
Hatte letztes Jahr mit sellerforum.de auch 1,5 Tage "Auszeit": es ging einfach nichts mehr, trotz eigenem Server!
Selbst die Techniker bei Domainfactory hatten zu kämpfen.
Ab einer gewissen Größe machen die Leitungen halt dicht, ohne das man selber noch viel tun kann.
Kleinere Angriffe hingegen kann man durch IP-Sperren etc abblocken.

_________________
Ich bin stolz darauf ein Ureinwohner von #Neuland zu sein.

Genau das haben wir versucht. Die wollten uns aber gleich was verkaufen.
Das Klang halt so, als ob die aus einer Not-Situation Profit machen wollten.