Menü

• About me
  • Motorrad
  • Weltkarte
• Blog Archiv
  • bis 2003-12-02
  • bis 2004-09-24
  • bis 2005-02-03
  • bis 2005-10-07
• Fotos
• Hacktrain
• Kontakt

Archiv

• September 2010
• August 2010
• July 2010
• June 2010
• May 2010
• April 2010
• March 2010
• February 2010
• January 2010
• December 2009
• November 2009
• October 2009
• September 2009
• August 2009
• July 2009
• June 2009
• May 2009
• April 2009
• March 2009
• February 2009
• January 2009
• December 2008
• November 2008
• October 2008
• September 2008
• August 2008
• July 2008
• June 2008
• May 2008
• April 2008
• March 2008
• February 2008
• January 2008
• December 2007
• November 2007
• October 2007
• September 2007
• August 2007
• July 2007
• June 2007
• May 2007
• April 2007
• March 2007
• February 2007
• January 2007
• December 2006
• November 2006
• October 2006
• September 2006
• August 2006
• July 2006
• June 2006
• May 2006
• April 2006
• March 2006
• February 2006
• January 2006
• December 2005
• November 2005
• October 2005
• August 2005
• March 2005
• September 2004
• November 2003
• August 2003
• December 2002
• September 2002
• July 2002
• December 2001
• August 2001
• July 2001
• September 2000
• June 1999

Suche

Tags

Kommentare

• Denis on Das Internet ist vor 15 Jahren Freigeschaltet worden
• Johann Dirry on Unklare Formulare
• Martin on Shell möchte keine Kunden
• CeKaDo on Facebook like button für NucleusCMS Blog
• DarkHawk on Shell möchte keine Kunden

Spam Blocked

Botnets und ddos wenn man es gar nicht brauchen kann

Murphys law sagt ja schon, dass alles schief geht was schiefgehen kann. Im Zug informierte mich mein Handy, dass ein Server offline war. Alles nachforschen half nicht, das ganze Rechenzentrum war tot, mehrere Stunden. Es war wohl ein Stromausfall, zumindest war der Rechner neu gestartet. Anschließend hatte er eine irre Last. Beim Einloggen stimmte der host Key nicht mehr. Also erstmal mit dem Passwort eingeloggt, Apache gekillt, weil der die Last ausmachte und einen neuen sshd gebaut. Den auf einen anderen Port gebunden und weiter gearbeitet. Das ganze inzwischen auf einer Geburtstagsparty (also das volle Nerd Klischee mit Notebook auf der Party sitzend). Auf dem Server hatte sich inzwischen eine Drone in python eingerichtet welche ich mir noch angucken muss. Um den Apache ruhig zu stellen baute ich noch ein mod_evasive (da es kein Paket für gab) und ab da ging es ganz gut.
Die Drone benutzt unter anderem sipvicious und scheint einfach sip accounts zu bruteforcen.

Kaum beim Stück Kuchen angekommen meldete sich das Nagios wieder. Diesmal war die Last auf einem anderen Server unerklärlich hoch. Ein kurzer Blick in die Logs zeigte einen Syn flood zusammen mit einem dilettantischen http ddos. Sowas lässt sich mit syn cookies, mod_evasive und einem kleinen Script welches alle ip adressen blockt, die mehr als X syn_recv verursachen zum Glück schnell beheben.

Die Systeme stehen in keinem Zusammenhang zueinander, um so nerviger dass es beide am gleichen (Feier)tag trifft.

Weiterführende Links
The Pirarte Bay: Die DDos-Attacke der Finanzwelt | kostahansen.de
DDoS Angriff gegen Weltverband der Musikindustrie | Netzhappen

21.05.2009 | Kategorie: a geeks life | Als News Einstellen: Webnews

Kommentiere diesen Eintrag