Sicherheit – intern

Seit Tagen beobachte und bekämpfe ich Attacken, die meinen Server lahmlegen und mich zum Zuschauen verdammen. Zu einen wird versucht sich in dem Teamspeak-Server zu hacken, als auch mit einer klassischen DoS/DDoS sehr effektiv alles zum Stillstand gebracht wird.

Auf Rat eines versierten Freundes habe ich nun ein neues Tool auf dem Web-Server installiert, das zumindest die DoS/DDoS einigermaßen ins Leere laufen lassen soll. Der Teamspeak ist nur noch auf Einladung verfügbar. Getestet ist es schon und doch sollte ich vorwarnen, dass keine Konfiguration von Beginn an wirklich perfekt ist. Sollte also einer der willkommenen Besucher und geschätzten Leser plötzlich diese Seite angezeigt bekommen, so ist der Gruß dort nicht wörtlich gemeint, sondern ein Ergebnis des Tools namens mod_evasive .

In diesem Fall wäre ich für eine Mail an ban [AT] thatblog [DOT] de dankbar, wenn möglich mit der ungefähren Uhrzeit wann es passiert ist. Damit wird mir das Auffinden im Log leichter gemacht und ich kann die Config besser einstellen, damit so etwas nicht mehr vorkommt.

So und nun kann ich Tagesgeschäft machen. Da wartet jemand viel zu lange auf etwas, was ich schon früher zugesagt hatte.

2 Gedanken zu „Sicherheit – intern

  1. Und von welchen IP´s kommen den die DDoS ??

    Und vor allem was für eine DDoS kommt den? Im Normallfall, kannste die auch recht leicht gegen die Wand laufen lassen.

  2. @DeserTStorM
    Die IPs kommen von kreuz und quer, aus der ganzen Welt. So wie ich das ermittelt und verstanden habe, klopfen ca. 10-IP am Stück alle möglichen Ports ab (die Unnötigen sind eigentlich sowieso alle dicht), versuchen sich am FTP-Server, am Mail-Server, sowie auch am Confixx und PHPMyAdmin. Die Tools sind alle stets aktuell gehalten. Dann irgendwann wird der Apache mit unzähligen Anfragen auf unterschiedliche Seiten überflutet, bis der aufgibt oder ich die Notbremse ziehe und den Daemon abschalte. Soweit so gut. Das mod_ scheint sich bezahlt zu machen, deutlich weniger Last auf der Kiste und die sehr schlanke 403 wird relativ gut besucht. Dafür musste ich nicht mehr die Notbremse ziehen und die Last bewegt sich bei erträglichen Werten. Also alles wieder groovy derzeit. 😉

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.