Advertising
Is your server exploited (Part 2)

26.09.2011 - 00:04:32

Neue Version von gestatus_ban.sh (v 1.5)

die wichtigsten Änderungen:

- Suchmuster "zoneRef" hinzugefügt
- Prüfung auf schon gebannter IP's
- Ban auf UDP Protokoll beschränkt um sich bei spoofing der eigenen IP nicht selbst
komplett auszusperren
- leere IP ( 0.0.0.0./0) von Unban werden gefiltert um z.B. ACCEPT-Regeln in
iptables Chain getstatus zu ermöglichen
- Unban-Counter hinzugefügt, Unban wird erst nach X-mal Durchlauf des Scriptes durchgeführt
um bei periodisch auftretende Attacken mit kurzen Pausen ein ständiges ban/unban bei
häufigen Wiederholungen per CRON zu verhindern


Eigentlich ist dies der falsche Weg. Man müsste die Ursache ändern und nicht die Symtome bekämpfen.
Naja, evtl findet sich ja jemand der in der Lage ist dies zu realisieren.

Ich lasse das Script aller 2 Minuten laufen, UNBCNT=60 ( unbann nach 120 min)

meine config:
( Je nach dem wie das Script als Cronjob läuft Einstellung von UNBCNT anpassen !)

CAPTURETIME=10
MAXPERSECONDS=4
UNBCNT=60
RunPart=2


New version of gestatus_ban.sh

The main changes:

- Pattern "zoneRef" added
- Check for already banned IP's
- Ban on limited UDP protocol in order to own the IP spoofing is not even completely shut out
- Blank IP (. 0.0.0.0 / 0) by Unban be filtered for example to To enable ACCEPT iptables
rules in chain GetStatus
- Added unban counter, unban is performed only after X times run the script
in order to intermittent attacks with short breaks a permanent ban / unban
to avoid frequent repetition CRON


Actually, this is the wrong way. One would change the cause and not fight the symptoms.
Well, possibly there is indeed someone who is able to realize this.

I run the script every 2 minutes walk, UNBCNT = 60 (unbann after 120 min)

my config: (Depending on how the script as a cron job runs to adjust settings of UNBCNT!)

CAPTURE TIME = 10
MAXPERSECONDS = 4
UNBCNT = 60
RunPart = 2




Regards

OldMan


last changed by OldMan2011 am 26.09.2011 - 23:14:04

  OldMan
Private First Class

User Pic

Posts: 44
Registred: 28.08.2011

   

1 approved this posting.


26.09.2011 - 07:10:50

Sehr geil ! Vielen Dank.

Habs mal auf dem Server (jepp, demhier) laufen und macht schön sauber :)

THX

  schnoog
First Sergeant

User Pic

Posts: 294
Registred: 08.12.2010
Origin: Südbaden

    

0 approved this posting.


26.09.2011 - 16:11:45

Thank you Oldman!!!

  zer0o0
Private First Class

User Pic

Posts: 37
Registred: 26.01.2011

   

0 approved this posting.


26.09.2011 - 23:11:18

:) np :)


last changed by OldMan2011 am 26.09.2011 - 23:11:48

  OldMan
Private First Class

User Pic

Posts: 44
Registred: 28.08.2011

   

0 approved this posting.


29.09.2011 - 14:20:36

ups upgrades :)
bin zwar schon mit der letzten version zu frieden aber gab bestimmt nen grund fürs update.
thnx dafür

  Meister Gandalf
Private First Class

User Pic

Posts: 32
Registred: 13.01.2011

   

0 approved this posting.


29.09.2011 - 16:52:57

Gerne doch...

Ja es gabe einen wichtigen Grund, hauptsächlich weil Attacken mit, ich will mal einfach sagen mit "zoneRef" im tcpdmp, durchgegangen sind und nicht erkannt wurden. Diese sind zwar seltener aber kommen vor. Ansonsten halt die Änderungen wie beschrieben.

Grüße

OldMan

  OldMan
Private First Class

User Pic

Posts: 44
Registred: 28.08.2011

   

0 approved this posting.


03.10.2011 - 20:42:27

Danke für die letzte Version. Läuft echt erstklassig :)

  schnoog
First Sergeant

User Pic

Posts: 294
Registred: 08.12.2010
Origin: Südbaden

    

0 approved this posting.


06.10.2011 - 01:57:59

Danke für die Blumen :smiley_hb1:

Da es keine Beschwerden gibt denke ich keine all zu große Fehler gemacht zu haben :)

Falls der Verdacht besteht das IP's durchrutschen dann bitte mal das tcpdmp-File
zur Verfügung stellen.

Grüße

OldMan


last changed by OldMan2011 am 06.10.2011 - 19:11:32

  OldMan
Private First Class

User Pic

Posts: 44
Registred: 28.08.2011

   

0 approved this posting.


12.10.2011 - 23:39:18

ich habe die letzten tage einen stark erhöhten eingehenden traffic.
hat das alte schnoog script im vergleich zum oldman script da etwas anders gemacht?
oder geht da schon wieder was anderes um?
hab 2 adressen aus der region static.reverse.lstn.net die nen dauerupload von 1mbit machen
(hab keine ahnung von dem scheiss kann nur iftop machen)

  Meister Gandalf
Private First Class

User Pic

Posts: 32
Registred: 13.01.2011

   

0 approved this posting.


12.10.2011 - 23:44:41

Oldmans Skript fängt noch etwas mehr ab, ich nutze seit Wochen seins. Hab momentan im Schnitt 1,2MB/s incoming und 18kB/s out.
Wenn ich die Firewallrules lösche, komm ich auf 27MB/s outgoing, bei fast leerem Server

  schnoog
First Sergeant

User Pic

Posts: 294
Registred: 08.12.2010
Origin: Südbaden

    

0 approved this posting.


13.10.2011 - 00:11:50

so schauts bei mir auch aus. bei leerem server.
allerdings eben die 1mbit incomming von scheinbar ständig den gleichen.
sprich die werden nicht verbannt?!?

 Code
1:
2:
3:
4:
5:
6:
7:
 
Debian-50-lenny-32-minimal                                        => 180-112-162-69.static.reverse.lstn.net                               0b      0b      0b
                                                                  <=                                                                    777Kb   785Kb   740Kb
Debian-50-lenny-32-minimal                                        => 181-112-162-69.static.reverse.lstn.net                               0b      0b      0b
                                                                  <=                                                                    464Kb   465Kb   438Kb
D

sollte ich mir da keine sorgen machen?
hab halt meine trafficwarnung recht tief angesetzt und die bimmelt dauern weil der upload 20gb am tag macht

  Meister Gandalf
Private First Class

User Pic

Posts: 32
Registred: 13.01.2011

   

0 approved this posting.


13.10.2011 - 01:38:22

Hi,

ja, in der letzten Zeit hat die Intensität der Attacken stark zugenommen. Am WE hat es mir den Netzwerkadapter meines VPS abgeschossen. Too many incoming packets :(
Ich hab dann einen Marathon mit dem Support meines Serverhosters erlebt. Da kämpft man gegen Windmühlen wenn keiner von den Typen ließt was ich im Ticket schreibe und die nach drei Tagen verkünden als hätten sie gerade das Rad neu erfunden es würde sich um UDP-Flood Attacken handeln, typisch IT'ler , ohne Worte. Ich glaub ich brauch mal ein Anti-Aggressionstraining sonst raste ich irgendwann aus :P
Nun hab ich erst einmal serverfacade auf meinen Gamservern deaktiviert, was bei 5 Servern ja 10 UDP Ports bedeutet die attackiert werden (die Masterserverlist wird vom Attacker ausgelesen) um den incomig Traffic zu halbieren (5 Ports). Aber wenn die Bandbreite weiter steigt (privat und Server) sind wir dem Problem bald nicht mehr gewachsen. Und die Provider tun einen Teufel diesen ganzen Problemen zu begegnen. Nur an den großen Knoten kann gefiltert werden!
Ist denen aber scheißegal, aber jammern dann rum wegen zu hohen Traffics und Kosten,.

*Kopfschüttel*

@Gandalf

ich würde dich bitten mir mal das tcpdmp vom Script zukommen zu lassen.

Cron von Script stoppen

Such im Script nach:

rm $captured_data 2>/dev/null

und kommentiere den Eintrag mit einem # aus.

Starte das Script.

Sende mir die Datei tmp_captured aus dem Ordner wo das Script läuft bitte per Mail, dann kann ich schauen ob es weitere nicht erkannte Muster gibt.
Dann die Änderungen wieder rückgängig mache :)

Im übrigen, ist aber reine Vermutung, hab ich den Eindruck, das seit dem ich mich mit dem Problem beschäftige und hier poste die Attacken bei mir extrem zugenommen haben. Reine Spekulation......

MfG

OldMan

  OldMan
Private First Class

User Pic

Posts: 44
Registred: 28.08.2011

   

0 approved this posting.


13.10.2011 - 09:40:21

habs mal hier abgelegt http://www.et-spessartraeuber.de/temp//tmp_captured.rar
aber ob dsa das richtige ist? das ist ja schon gefiltert. ist voll mit

 Code
1:
2:
3:
4:
5:
6:
7:
 
09:19:33.201597 IP 69.162.112.180.27015 > Debian-50-lenny-32-minimal.27970: UDP, length 15
E..+5...z...E.p.X.+.i.mB........getstatus
....
09:19:33.201783 IP 69.162.112.181.27015 > Debian-50-lenny-32-minimal.27960: UDP, length 15
E..+<}..z..SE.p.X.+.i.m8........getstatus

freund von oben + nat andere addys.

aber wenn ich das richtig verstehe können wir ja gegen den incoming traffic nichts machen.
und die pakete dropt er ja. outgoing hab ich ja nix.

kann es sein das sich einfach meine hosts.deny bzw bannlist verschluckt hat?
warum taucht der im iftop noch so hartnäckig auf als incoming und die 1000 anderen gebannten ips nicht mehr?

aus der bannlist
1318167731 69.162.112.180 = banned Reason: (search pattern: getstatus and UDP) 2011-10-09 13:42:11 for 27435 Requests in 10 seconds / 2743 Requests per second


last changed by Meister Gandalf am 13.10.2011 - 09:45:23

  Meister Gandalf
Private First Class

User Pic

Posts: 32
Registred: 13.01.2011

   

0 approved this posting.


13.10.2011 - 09:53:17

Moin,

richtig gegen den eingehenden Traffic bist du machtlos. Es hilft wie gesagt nur die Ports zu begrenzen ( Server oder serverfacade. wenn du es benutzen solltest, abschalten.

Ich schau mir das File mal an. Taucht die ensprechende IP bei iptables den in der Regel getstatus - Chain auf ? Ansonsten iptables mal reseten.

  OldMan
Private First Class

User Pic

Posts: 44
Registred: 28.08.2011

   

0 approved this posting.


13.10.2011 - 10:58:45

OldMan, ich kann Dich "beruhigen". Du stehst nicht wirklich im Fokus, das hat allgemein wahnsinnig zugenommen:

ETW-FZ Root:
rx: 6,1 Mbit/s 13862 p/s tx: 12 kbit/s 2 p/s

Wolffiles-Root
rx: 844 kbit/s 1778 p/s tx: 20 kbit/s 23 p/s
(aber gestern Abend waren es über 10000p/s)

Wobei ich mir auch nicht sicher bin, ob von Seiten der Netzbetreiber überhaupt eine Lösung bestehen kann. Das würde dann ja 100% packet stateful inspection bedeuten, was bei einem 100GB Backbone vllt. etwas rechenintensiv wäre.
Ansonsten wäre es natürlich schön, wenn sie UDP Pakete mit gespooftem Absender blocken könnten.

  schnoog
First Sergeant

User Pic

Posts: 294
Registred: 08.12.2010
Origin: Südbaden

    

0 approved this posting.


13.10.2011 - 17:55:20

rx: 6,1 Mbit/s 13862 heftig heftig....

Richtig Schnoog, aber über kurz oder lang wird man meiner Meinung nach an SPI nicht vorbei kommen auch wenn man sich jetzt noch vor den Kosten scheut. Der Netzausbau geht rasant voran, die Bandbreiten werden immer größer. Es erwischt ja auch immer mehr Hoster selbst wie vor kurzem Netcup. Nur wenn man an den großen Knoten filtert wird das was und solche Attacken werden sinnlos.

Ich bin kein Netzwerkexperte, aber wie willst du gespoofte Adressen erkennen und blockieren? Ich wüsste nicht wie.

Das schlimme an der Sache ist ja das unsere Server zugleich Opfer als auch Angreifer sind. Sinn und Zweck ist es unter anderem auch (denke ich) den vermeintlichen Absender zu schädigen da dieser ja von unseren Server ebenfalls gefloodet wird.

@Gandalf
Du siehst in iftop auch die gebannten IP's, bei
=>
muss aber 0b stehen ( gedropt)
Andere IP's die noch in der Bannliste stehen sind evtl. nicht mehr aktiv werde aber erst nach erreichen des Wertes von UNBCNT entbannt. Wenn du sehr viele Bans im Chain getstatus hast dann verringere den Wert UNBCNT um eher die Funktion unban aufzurufen. Autounban muss natürlich aktiv sein, also RunPart=2

Grüße

OldMan


last changed by OldMan2011 am 13.10.2011 - 19:12:00

  OldMan
Private First Class

User Pic

Posts: 44
Registred: 28.08.2011

   

0 approved this posting.


13.10.2011 - 18:47:52

 Quote
Sinn und Zweck ist es unter anderem auch (denke ich) den vermeintlichen Absender zu schädigen da dieser ja von unseren Server ebenfalls gefloodet wird.

Wir sind in meinen Augen nur Mittel zum Zweck. Wenn ich seh wie mit sockhen Attacken HBI und andere Unternehmen gefloodet werden.

  schnoog
First Sergeant

User Pic

Posts: 294
Registred: 08.12.2010
Origin: Südbaden

    

0 approved this posting.


14.10.2011 - 01:08:39

Ja du hast Recht, ist irgendwie logischer...

  OldMan
Private First Class

User Pic

Posts: 44
Registred: 28.08.2011

   

0 approved this posting.


19.10.2011 - 19:12:48

Schönen guten bend,


habe heute von meinem Support ne Nette Email bekommen.

seit geraumer Zeit schlägt unser Netzwerk-Monitoring für Ihren Server Alarm, da sich hier permanent (über bereits mehr als einen Monat) eine abnormal große Anzahl an eingehenden Paketen abzeichnet. Können Sie sich dies erklären (haben Sie beispielsweise ein Webradio oder eine andere Anwendung laufen, die dafür verantwortlich sein kann)? Wir haben den Server jetzt erst einmal nicht netzwerkseitig gesperrt, da es ein recht grenzwertiger Fall ist, sollte sich dieses Verhalten aber verschlimmern oder Sie keine Erklärung für das Verhalten haben, so wäre hier definitiv ein Eingriff von Nöten. Bitte melden Sie sich bezüglich dieser Sache bei unserem Support.

Was kann ich gegen diesen eingehenden TRAFFIC machen der liegt bei mir zur Zeit
zwischen 15.000 und 30.000 Paketen.


MFG Ronny

  TTW-Schrempf
Private

User Pic

Posts: 5
Registred: 13.02.2011

   

0 approved this posting.


19.10.2011 - 20:04:53

Hallo,

machen kannst du eigentlich gegen den eingehenden Traffic gar nichts außer die Anzahl der UDP-Ports zu verringern = Server/Serverfacade (falls in Gebrauch) abschalten.
Vorausgesetzt das der incoming Traffic auch durch die ET-Server entsteht.

Wie viele Server laufen bei dir? Hast du das Script von hier laufen?

Grüße

OldMan

  OldMan
Private First Class

User Pic

Posts: 44
Registred: 28.08.2011

   

0 approved this posting.




Images by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Powered by IlchBB Forum 3.1 © 2010 Weblösungen Florian Körner