Advertising
Is your server exploited (Part 2)

19.10.2011 - 20:27:07

Ja das Script hab ich am Laufen der eingehende Traffic der ET Server ist alles normal.

Habe 13 ET, 3 CSS , 1 DODS und einen TF 2 Server am laufen.

Ja wenn ich die ET Server runder fahre geht der eingehende Traffic runder.


MFG Ronny

  TTW-Schrempf
Private

User Pic

Posts: 5
Registred: 13.02.2011

   

0 approved this posting.


20.10.2011 - 11:22:21

Du hast viele Server am laufen. Es gibt meiner Ansicht nach nur wenige Optionen.

1} damit leben und deinen Hoster milde stimmen :)
2) einige Server abschalten
3) einige Server auf ein anderes System auslagern
4} deinen Hoster bitten deine IP zu filtern (Hardwarefirewall) wobei dies, wenn überhaupt machbar, kostenintensiv wäre.

Lese dir mal den kompletten Thread hier durch, da steht eigentlich alles drin.

Grüße

OldMan

  OldMan
Private First Class

User Pic

Posts: 44
Registred: 28.08.2011

   

0 approved this posting.


25.10.2011 - 22:10:40

Hatte nochmal alle Server runder gefahren aber das Problem war das selbe der Incoming Traffic war genau so hoch obwohl die Server alle aus waren.
Hebe den Root neu aufsetzen lassen und lasse das Script wieder per crontab laufen,nur bekomme ich seidem immer diesen Fehler per Email.

/home/getstatus_ban/getstatus_ban.sh: 162: let: not found
[: 162: 5: unexpected operator
[: 182: 1: unexpected operator
[: 200: 1: unexpected operator
[: 206: 1: unexpected operator
/home/getstatus_ban/getstatus_ban.sh: 216: function: not found
/home/getstatus_ban/getstatus_ban.sh: 225: Syntax error: "}" unexpected


MFG Ronny

  TTW-Schrempf
Private

User Pic

Posts: 5
Registred: 13.02.2011

   

0 approved this posting.


26.10.2011 - 02:15:47

Was für eine Distribution läuft auf deinem Server? Cron läuft als Root? Script benötigt Rootrechte.

Ich würde das Script nicht im Homeverzeichnis ablegen.
Besser z.B. /usr/sbin/Getstatus oder /usr/local/sbin/Getstatus

Lese mal bitte hier ob dir das weiter hilft:

http://ubuntuforums.org/showthread.php?p=8953947

und lösche alles was über

#!/bin/bash

im Script steht, auch Leerzeilen


Grüße

  OldMan
Private First Class

User Pic

Posts: 44
Registred: 28.08.2011

   

0 approved this posting.


26.10.2011 - 18:32:44

Distribution ist Debian 6 Squeeze.

Danke für den Link und das verzeichniss werde ich gleich ändern.


MFG Ronny

  TTW-Schrempf
Private

User Pic

Posts: 5
Registred: 13.02.2011

   

0 approved this posting.


26.10.2011 - 18:47:58

So hab alles geändert jetzt läufts ohne Probleme,vielen dank für deine Hilfe.



MFG Ronny

  TTW-Schrempf
Private

User Pic

Posts: 5
Registred: 13.02.2011

   

0 approved this posting.


26.10.2011 - 19:43:40

Gerne doch :)

übrigens der incoming Traffic hält noch eine Weile an auch wenn die Gameserver schon offline sind.

Grüße

OldMan

  OldMan
Private First Class

User Pic

Posts: 44
Registred: 28.08.2011

   

0 approved this posting.


18.11.2011 - 01:59:32

Damit könnte ich auf Dauer gut leben. Seit einer Woche sieht es wieder gut aus. Mal sehen wie lange....




  OldMan
Private First Class

User Pic

Posts: 44
Registred: 28.08.2011

   

0 approved this posting.


04.12.2011 - 18:31:43

Könnte jemand bitte die version 1.5 hochladen?
In der Filebase ist 1.4 die neuste.

Thanks, et-zone.de war nicht erreichbar..


last changed by ailmanki am 04.12.2011 - 18:45:36

  ailmanki
Private

User Pic

Posts: 24
Registred: 23.03.2011
Origin: Lucern

  

0 approved this posting.


04.12.2011 - 21:10:04

Dank dem fixen Support von Alphahosting ist mein Server und damit et-zone.de leider immer doch down.

Die Jungs sind echt Spitze. :(

Ich frage mich wo die ganzen guten Bewertungen zu deren Support her kommen.......

  OldMan
Private First Class

User Pic

Posts: 44
Registred: 28.08.2011

   

0 approved this posting.


05.12.2011 - 09:45:29

You can download the Version 1.5 here: http://wolffiles.de/filebase/getstatus_ban_1.5.zip

  schnoog
First Sergeant

User Pic

Posts: 293
Registred: 08.12.2010
Origin: Südbaden

    

0 approved this posting.


05.12.2011 - 13:05:12

Thanks Schnogg und OldMan.

Viel Glück mit dem Hoster... lol am besten gleich künden.
Hetzner ist echt gut:
http://www.hetzner.de/hosting/produktmatrix/webhosting-produktmatrix

  ailmanki
Private

User Pic

Posts: 24
Registred: 23.03.2011
Origin: Lucern

  

0 approved this posting.


05.12.2011 - 13:22:18

Hab meinen Hauptserver (ETW-FZ) sowie Wolffiles bei Hetzner... sehr zufrienden damit

  schnoog
First Sergeant

User Pic

Posts: 293
Registred: 08.12.2010
Origin: Südbaden

    

0 approved this posting.


05.12.2011 - 23:25:52

magst icht mal ne anleitung / empfehlungen zu betriebsystem /kernel /sonstigen tweaks schreiben.
mein eq4 fängt schon (bei manchen? ) das laggen an bei >20 spielern.
leider fast nie soviel los als das ich das näher verfolgt hätte ob das bei allen lagged (load ~0.1 :)

  Meister Gandalf
Private First Class

User Pic

Posts: 30
Registred: 13.01.2011

   

0 approved this posting.


06.12.2011 - 06:33:47

Ich hatte beim Vorgänger-Server von ETW (dort läuft momentan auch ein EQ4) auch Lags bei 0.1 Load.

Prüfe mal bitte Deinen Raid-Status ( cat /proc/mdstat ) ob beide Platten noch synchron sind
Was sagt IOStats ? Irgendwas auffällig?


Was OS / Kernel angeht, da ist es seit einigen Jahren eigentlich Wurst was man nimmt.
Zumindest was die QUake3 Engine angeht.
Ich persönlich nutze fast ausschliesslich OpenSuse ( Wolffiles, SL, ETW, und ein paar andre Projekte ... einzig das Mumble Admin Panel für SL liegt auf einem Debian VServer.

  schnoog
First Sergeant

User Pic

Posts: 293
Registred: 08.12.2010
Origin: Südbaden

    

0 approved this posting.


06.12.2011 - 11:58:28

thnx 4 die antwort.
schaut für mich alles in ordnung aus.
hast du irgendwas "ge-niced"?
mumble admin panel? meinst du mumble admin plugin? sollt ich mir mal anschauen. dann jammert vllt der kollege seinem ts nicht mehr so hinterher

  Meister Gandalf
Private First Class

User Pic

Posts: 30
Registred: 13.01.2011

   

0 approved this posting.


06.12.2011 - 13:00:37

Ich hab den ETW auf nice -n -1 rennen.

Jepp, meine das Mumble Admin Plugin (hab ja bei der SL ein MumbleHOsting gestartet, da können die Clans ein Mumble mit MAP Zugriff kriegen).

Welche Distri hast Du denn auf Deinem Server?

  schnoog
First Sergeant

User Pic

Posts: 293
Registred: 08.12.2010
Origin: Südbaden

    

0 approved this posting.


17.12.2011 - 12:23:06

Das skript bricht mit der Meldung ./getstatus_ban.sh: line 452: [: -ge: unary operator expected ab. Hab leider fast kein plan von der art von skripten. Was muss ich tun um das zu flicken?

 Code
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
 [root@ds*.*.*.* bin]# ./getstatus_ban.sh

Chain getstatus created

Rules getstatus created

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
getstatus  udp  --  0.0.0.0/0            0.0.0.0/0           udp

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain getstatus (1 references)
target     prot opt source               destination


allips1 (search pattern: getstatus and UDP):

*.*.*.*
*.*.*.*
*.*.*.*
*.*.*.*
*.*.*.*

allips2 (search pattern: getstatus and zoneRef):


./getstatus_ban.sh: line 452: [: -ge: unary operator expected

  ailmanki
Private

User Pic

Posts: 24
Registred: 23.03.2011
Origin: Lucern

  

0 approved this posting.


17.12.2011 - 12:50:43

Zeile 452 ist bei mir

 Code
1:
 echo unbancounter "0" >  $mygoto/unbancnt


 Code
1:
 if [ $COUNT -ge $UNBCNT ] ; then

steht bei mir in 450. Hast Du das Skript aus der Seite rauskopiert oder runtergeladen?

In der Bash ist if [ $x -ge $y ] die Abfrage ob $x grösser oder gleich $y ist.
Ich gehe davon aus, dass entweder $COUNT oder $UNBCNT mit keinem Wert belegt ist.

Du könntest direkt vor die Abfrage aber folgenden Code einbauen:
 Code
1:
2:
3:
4:
5:
6:
7:
 
if [ "$COUNT" == "" ] then
COUNT=0
fi
if [ "$UNBCNT" == "" ]then
UNBCNT=0
fi

der nichts anderes macht als die Variable, wenn sich nicht besetz ist, mit 0 zu bestücken.

Es wäre aber auch interessant zu wissen, welche Bash Version du einsetzt
 Code
1:
 /bin/bash --version

vielleicht liegt ja was im Argen

Gruss
Volker

  schnoog
First Sergeant

User Pic

Posts: 293
Registred: 08.12.2010
Origin: Südbaden

    

0 approved this posting.


18.12.2011 - 20:44:18

Hi,

hast du das berücksichtigt?

# This script use a few open source tools to offence against this attacks #
# tcpdump - capture incoming packets: http://www.tcpdump.org/ #
# iptables - the most used linux firewall (packet filter) #
# GNU-tools - grep, cat , awk

Ich vermute awk ist nicht installiert.

Bitte prüfe ob tcpdump, grep, cat , awk und iptables installiert sind.

Grüße

OldMan

  OldMan
Private First Class

User Pic

Posts: 44
Registred: 28.08.2011

   

0 approved this posting.




Images by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Powered by IlchBB Forum 3.1 © 2010 Weblösungen Florian Körner