Toon posts:

Hellup. Ik wordt aangevallen

Pagina: 1
Acties:

zondag 14 oktober 2001 00:50

Acties:

Verwijderd

Topicstarter
Sinds een aantal dagen wordt ik totaal random aangevallen.

Wat ik kan zien is het volgende:
In de logs staat een opsomming van letterlijk honderden ipadressen die dezelfde SECONDE iets doen. |:(
Daarna stopt de log. Het gebeurde nu net weer en als ik de server reboot is alles weer normaal :? Het lijkt er dus op dat het een zeer korte aanval is voor zover ik het kan beoordelen. Probleem is dat de server wel online blijft maar niets doet. Alles is lam. Als ik bijvoorbeeld probeer te FTP'en krijg ik wel de melding dat ik connected ben maar dan kapt ie ermee. Hij is dus online dan! SSH doet ook niets... webpagina's worden zowiezo niet geladen.

Weet iemand hier wat voor soort aanval je server lam kan leggen? Valt ie een service aan? Ik kan de aanval niet tegenhouden maar kan ik een service laten restarten ofzo zodat ik niet steeds mijn provider hoef te bellen? :(

Ik draai Slackware 8 + apache. (kernel: 2.4.7)

zondag 14 oktober 2001 00:54

Acties:
  • 0siris
  • Registratie: Augustus 2000
  • Laatst online: 03-05 15:44

0siris

doe es een stuk uit je log, dat is wat duidelijker. Anders moet ik zo raden.

ach...in een volgend leven lach je er om!

zondag 14 oktober 2001 00:56

Acties:
  • Engineer
  • Registratie: Juni 2001
  • Laatst online: 04-05 00:03

Engineer

Software

Ik heb een keer bij een vriend een poos staan te f5'en op z'n server (1st gevraagt of ie het goed vond ;)), en daardoor liep z'n cache helemaal vol en server liep in het niets :)

Marja, als het via verschillende ip's binnenkomt, wat kun je dan ingodsnaam ertegen doen :? :)

Kzou je site op een andere poort zetten als ik jou was :)

edit: typo

zondag 14 oktober 2001 01:03

Acties:

Verwijderd

Topicstarter
Hier komt een stukje. Mijn firewall zit er tussen. Hoop dat het duidelijk is. Heb mijn ip-adres even van wat ** voorzien :)

Oct 13 23:54:52 kernel: INVALID STATE:IN=eth0 OUT= MAC=00:e0:81:02:2a:3d:00:d0:b7:15:0a:6e:08:00 SRC=210.215.0.126 DST=212.43.***.*** LEN=56 TO$
Oct 13 23:54:52 kernel: SRC_EGRESS:IN=eth0 OUT= MAC=00:e0:81:02:2a:3d:00:d0:b7:15:0a:6e:08:00 SRC=80.63.148.98 DST=212.43.***.*** LEN=48 TOS=0x$
Oct 13 23:54:52 kernel: SRC_EGRESS:IN=eth0 OUT= MAC=00:e0:81:02:2a:3d:00:d0:b7:15:0a:6e:08:00 SRC=80.63.148.98 DST=212.43.***.*** LEN=48 TOS=0x$
Oct 13 23:54:52 kernel: SRC_EGRESS:IN=eth0 OUT= MAC=00:e0:81:02:2a:3d:00:d0:b7:15:0a:6e:08:00 SRC=80.63.148.98 DST=212.43.***.*** LEN=48 TOS=0x$
Oct 13 23:54:52 kernel: SRC_EGRESS:IN=eth0 OUT= MAC=00:e0:81:02:2a:3d:00:d0:b7:15:0a:6e:08:00 SRC=80.63.148.98 DST=212.43.***.*** LEN=65 TOS=0x$
Oct 13 23:54:52 kernel: SRC_EGRESS:IN=eth0 OUT= MAC=00:e0:81:02:2a:3d:00:d0:b7:15:0a:6e:08:00 SRC=80.63.148.98 DST=212.43.***.*** LEN=48 TOS=0x$
Oct 13 23:54:52 kernel: SRC_EGRESS:IN=eth0 OUT= MAC=00:e0:81:02:2a:3d:00:d0:b7:15:0a:6e:08:00 SRC=80.63.148.98 DST=212.43.***.*** LEN=65 TOS=0x$
Oct 13 23:54:52 kernel: UNDEFINED INPUT:IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:d0:b7:0b:24:1f:08:00 SRC=212.43.196.69 DST=212.43.196.255 LEN=88 $
Oct 13 23:54:52 kernel: SRC_EGRESS:IN=eth0 OUT= MAC=00:e0:81:02:2a:3d:00:d0:b7:15:0a:6e:08:00 SRC=80.9.107.122 DST=212.43.***.*** LEN=48 TOS=0x$
Oct 13 23:54:52 kernel: UNDEFINED INPUT:IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:50:fc:0b:86:be:08:00 SRC=212.43.196.123 DST=212.43.196.255 LEN=22$
Oct 13 23:54:52 kernel: SRC_EGRESS:IN=eth0 OUT= MAC=00:e0:81:02:2a:3d:00:d0:b7:15:0a:6e:08:00 SRC=80.9.107.122 DST=212.43.***.*** LEN=48 TOS=0x$
Oct 13 23:54:52 kernel: SRC_EGRESS:IN=eth0 OUT= MAC=00:e0:81:02:2a:3d:00:d0:b7:15:0a:6e:08:00 SRC=67.167.161.65 DST=212.43.***.*** LEN=48 TOS=0$
Oct 13 23:54:52 kernel: SRC_EGRESS:IN=eth0 OUT= MAC=00:e0:81:02:2a:3d:00:d0:b7:15:0a:6e:08:00 SRC=80.9.107.122 DST=212.43.***.*** LEN=48 TOS=0x$
Oct 13 23:54:52 kernel: INVALID STATE:IN=eth0 OUT= MAC=00:e0:81:02:2a:3d:00:d0:b7:15:0a:6e:08:00 SRC=203.12.165.24 DST=212.43.***.*** LEN=88 TO$
Oct 13 23:54:52 kernel: INVALID STATE:IN=eth0 OUT= MAC=00:e0:81:02:2a:3d:00:d0:b7:15:0a:6e:08:00 SRC=203.12.165.24 DST=212.43.***.*** LEN=584 T$
Oct 13 23:54:52 kernel: INVALID STATE:IN=eth0 OUT= MAC=00:e0:81:02:2a:3d:00:d0:b7:15:0a:6e:08:00 SRC=203.12.165.24 DST=212.43.***.*** LEN=88 TO$
Oct 13 23:54:52 kernel: INVALID STATE:IN=eth0 OUT= MAC=00:e0:81:02:2a:3d:00:d0:b7:15:0a:6e:08:00 SRC=203.12.165.24 DST=212.43.***.*** LEN=584 T$
Oct 13 23:54:52 kernel: INVALID STATE:IN=eth0 OUT= MAC=00:e0:81:02:2a:3d:00:d0:b7:15:0a:6e:08:00 SRC=203.12.165.24 DST=212.43.***.*** LEN=584 T$
Oct 13 23:54:52 kernel: SRC_EGRESS:IN=eth0 OUT= MAC=00:e0:81:02:2a:3d:00:d0:b7:15:0a:6e:08:00 SRC=218.2.160.167 DST=212.43.***.*** LEN=48 TOS=0$
Oct 13 23:54:52 kernel: INVALID STATE:IN=eth0 OUT= MAC=00:e0:81:02:2a:3d:00:d0:b7:15:0a:6e:08:00 SRC=203.12.165.24 DST=212.43.***.*** LEN=88 TO$
Oct 13 23:54:52 kernel: SRC_EGRESS:IN=eth0 OUT= MAC=00:e0:81:02:2a:3d:00:d0:b7:15:0a:6e:08:00 SRC=218.2.160.167 DST=212.43.***.*** LEN=48 TOS=0$
Oct 13 23:54:52 kernel: DST_EGRESS:IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:20:ed:14:4e:80:08:00 SRC=212.43.196.210 DST=255.255.255.255 LEN=276 TO$
Oct 13 23:54:52 kernel: DST_EGRESS:IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:d0:a8:00:72:ad:08:00 SRC=212.43.196.161 DST=255.255.255.255 LEN=328 TO$
Oct 13 23:54:52 kernel: UNDEFINED INPUT:IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:a0:c9:cf:fb:27:08:00 SRC=212.43.196.103 DST=212.43.196.255 LEN=22$
Oct 13 23:54:52 kernel: DST_EGRESS:IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:20:ed:14:4e:80:08:00 SRC=212.43.196.210 DST=255.255.255.255 LEN=276 TO$
Oct 13 23:54:52 kernel: INVALID STATE:IN=eth0 OUT= MAC=00:e0:81:02:2a:3d:00:d0:b7:15:0a:6e:08:00 SRC=203.12.165.24 DST=212.43.***.*** LEN=584 T$
Oct 13 23:54:52 kernel: INVALID STATE:IN=eth0 OUT= MAC=00:e0:81:02:2a:3d:00:d0:b7:15:0a:6e:08:00 SRC=203.12.165.24 DST=212.43.***.*** LEN=88 TO$
Oct 13 23:54:52 kernel: INVALID STATE:IN=eth0 OUT= MAC=00:e0:81:02:2a:3d:00:d0:b7:15:0a:6e:08:00 SRC=203.12.165.24 DST=212.43.***.*** LEN=584 T$
Oct 13 23:54:52 kernel: DST_EGRESS:IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:20:ed:14:4e:80:08:00 SRC=212.43.196.210 DST=255.255.255.255 LEN=276 TO$
Oct 13 23:54:52 kernel: INVALID STATE:IN=eth0 OUT= MAC=00:e0:81:02:2a:3d:00:d0:b7:15:0a:6e:08:00 SRC=203.12.165.24 DST=212.43.***.*** LEN=584 T$
Oct 13 23:54:52 kernel: INVALID STATE:IN=eth0 OUT= MAC=00:e0:81:02:2a:3d:00:d0:b7:15:0a:6e:08:00 SRC=203.12.165.24 DST=212.43.***.*** LEN=584 T$
Oct 13 23:54:52 kernel: INVALID STATE:IN=eth0 OUT= MAC=00:e0:81:02:2a:3d:00:d0:b7:15:0a:6e:08:00 SRC=203.12.165.24 DST=212.43.***.*** LEN=584 T$
Oct 13 23:54:52 kernel: INVALID STATE:IN=eth0 OUT= MAC=00:e0:81:02:2a:3d:00:d0:b7:15:0a:6e:08:00 SRC=145.253.16.102 DST=212.43.***.*** LEN=56 T$
Oct 13 23:54:52 kernel: INVALID STATE:IN=eth0 OUT= MAC=00:e0:81:02:2a:3d:00:d0:b7:15:0a:6e:08:00 SRC=145.253.16.102 DST=212.43.***.*** LEN=56 T$
Oct 13 23:54:52 kernel: UNDEFINED INPUT:IN=eth0 OUT= MAC=00:e0:81:02:2a:3d:00:d0:b7:15:0a:6e:08:00 SRC=205.162.220.80 DST=212.43.***.*** LEN=15$
Oct 13 23:54:52 kernel: INVALID STATE:IN=eth0 OUT= MAC=00:e0:81:02:2a:3d:00:d0:b7:15:0a:6e:08:00 SRC=203.12.165.24 DST=212.43.***.*** LEN=584 T$
Oct 13 23:54:52 kernel: UNDEFINED INPUT:IN=eth0 OUT= MAC=00:e0:81:02:2a:3d:00:d0:b7:15:0a:6e:08:00 SRC=134.100.32.73 DST=212.43.***.*** LEN=150$
Oct 13 23:54:52 kernel: UNDEFINED INPUT:IN=eth0 OUT= MAC=00:e0:81:02:2a:3d:00:d0:b7:15:0a:6e:08:00 SRC=142.150.192.4 DST=212.43.***.*** LEN=150$
Oct 13 23:54:52 kernel: UNDEFINED INPUT:IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:d0:b7:0b:24:1f:08:00 SRC=212.43.196.69 DST=212.43.196.255 LEN=88 $
Oct 13 23:54:52 kernel: INVALID STATE:IN=eth0 OUT= MAC=00:e0:81:02:2a:3d:00:d0:b7:15:0a:6e:08:00 SRC=203.12.165.24 DST=212.43.***.*** LEN=584 T$
Oct 13 23:54:52 kernel: SRC_EGRESS:IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:d0:a8:00:72:ad:08:00 SRC=192.168.30.1 DST=255.255.255.255 LEN=276 TOS=$
Oct 13 23:54:52 kernel: SRC_EGRESS:IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:d0:a8:00:72:ad:08:00 SRC=192.168.30.1 DST=255.255.255.255 LEN=276 TOS=$
Oct 13 23:54:52 kernel: DST_EGRESS:IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:d0:a8:00:72:ad:08:00 SRC=212.43.196.161 DST=255.255.255.255 LEN=328 TO$
Oct 13 23:54:52 kernel: DST_EGRESS:IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:d0:a8:00:72:ad:08:00 SRC=212.43.196.161 DST=255.255.255.255 LEN=328 TO$
Oct 13 23:54:52 kernel: SRC_EGRESS:IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:d0:a8:00:72:ad:08:00 SRC=192.168.30.1 DST=255.255.255.255 LEN=276 TOS=$
Oct 13 23:54:52 kernel: UNDEFINED INPUT:IN=eth0 OUT= MAC=00:e0:81:02:2a:3d:00:d0:b7:15:0a:6e:08:00 SRC=212.83.89.105 DST=212.43.***.*** LEN=128$
Oct 13 23:54:52 kernel: INVALID STATE:IN=eth0 OUT= MAC=00:e0:81:02:2a:3d:00:d0:b7:15:0a:6e:08:00 SRC=203.12.165.24 DST=212.43.***.*** LEN=584 T$

zondag 14 oktober 2001 01:04

Acties:
  • flat
  • Registratie: Mei 2000
  • Niet online

flat

klinkt als een soort DDOS attack

maar ik heb linux nog nooit echt vast zien lopen, 't kan wel zijn dat 'ie niet sneller z'n logfiles naar de HD kan schrijven, en dat je niet kan verbinden omdat de volledige bandbreedte wordt gebruikt

maar een slukje logfile is wel handig ja

"Happiness is a way of travel, not a destination."
--Roy Goodman

zondag 14 oktober 2001 01:11

Acties:

Verwijderd

Topicstarter
[quote][b]Op zondag 14 oktober 2001 01:04 schreef Flat©
en dat je niet kan verbinden omdat de volledige bandbreedte wordt gebruikt

Okay. dus je denkt dat de aanval doorgaat ondanks dat ie niet meer logged. Kan je verklaren dan de aanval stopt door een reboot te doen? Dat vat ik dus niet helemaal...

zondag 14 oktober 2001 01:12

Acties:
  • flat
  • Registratie: Mei 2000
  • Niet online

flat

hmmm misschien dat de remote host denkt dat je server is vastgelopen en dus maar stopt met aanvallen :?
ik weet 't anders ook niet hoor

"Happiness is a way of travel, not a destination."
--Roy Goodman

zondag 14 oktober 2001 02:28

Acties:

Verwijderd

Lijkt mij op een scanning. Zou ik me niet al te druk over maken. Als je een goede firewall hebt kan je weinig gebeuren.

zondag 14 oktober 2001 14:33

Acties:

Verwijderd

Topicstarter
Op zondag 14 oktober 2001 02:28 schreef joska het volgende:
Lijkt mij op een scanning. Zou ik me niet al te druk over maken. Als je een goede firewall hebt kan je weinig gebeuren.
huh? Denk je dat ik hier een post plaats als ik normaal gescanned wordt? Nogmaals. mij server gaat DOWN/PLAT/STUK etc... het is dus NIET een scan. was dat maar waar...

zondag 14 oktober 2001 14:38

Acties:
  • serkoon
  • Registratie: April 2000
  • Niet online

serkoon

mekker.

Draai tcpdump en je weet het?

zondag 14 oktober 2001 16:35

Acties:
  • spifff
  • Registratie: Oktober 2001
  • Laatst online: 18-05-2025

spifff

Minus one f

Vraag het ff in de mailinglist Incidents bij securityfocus.org. Dat is een list dedicated to attacks etc. Zij kunnen je hoogstwaarschijnlijk gelijk vertellen waar je mee te maken hebt.

-yup-

zondag 14 oktober 2001 17:42

Acties:
  • Flyduck
  • Registratie: Juni 2001
  • Laatst online: 28-03-2025

Flyduck

Kan je geen uitgebreidere logs instellen? Bv source/destination port erbij? je zou op je firewall eventueel icmp blocking in kunnen schakelen..

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)

maandag 15 oktober 2001 09:15

Acties:
  • serkoon
  • Registratie: April 2000
  • Niet online

serkoon

mekker.

Alle ICMP-types blocken is niet bepaald slim. Het beste kun je een paar blocken die je niet nodig bent maar wel schade aan kunnen richten en bijv. echo request limiteren op een bepaald aantal KB/sec, zodat je iig niet zoveel last van ping-floods hebt. (niet dat een gemiddelde scriptkiddie dat gebruikt, mgoed)
Pagina: 1
Reageer