Toon posts:

ddoss attack/chantage

Pagina: 1
Acties:

Verwijderd

Topicstarter
Hallo,

Ik heb samen met een paar vrienden een eigen irc netwerk, de naam zal ik hier niet vermelden tenzij jullie het nodig hebben ofzo want dat is volgens mij reclame, nu is er het volgende aan de hand, onze irc servers zijn de afgelopen uren het slachtoffer van ddos attacks.
Nu is ons irc netwerk atm gehost door een webhosting bedrijf die ons op deze manier sponsort en die heeft de volgende mails ontvangen:
Mail 1
Someone who owns a server from you with IP Address IP-VAN-IRC-SERVER-2 (6667) is using an illegal botnet. The dns has resolved to you.

(* Dns resolved IP-VAN-IRC-SERVER-2 to WEBHOSTER.nl)

What your customer is doing is illegal, and if it is not stopped IMMEDIATELY, you'll be hearing from the authorities. Your customer is using that server to trojan thousands of people and packet my internet connection
Mail 2
I emailed a little earlier and I'd like to add that your fucking customer is trying to hack into my computer and delete my hard drive. You have 8 fucking hours to act upon him or you'll be reported to the proper authorities, and if you wouldn't mind giving out his home address i'd like to go beat the fuck out of him.

once again the IP address is IP-VAN-IRC-SERVER-2 and you are his host. If you do not have that IRCd shut down within 8 hours your entire company will go under. have a nice fucking day and don't host any more hackers
Dit vinden wij een heel vaag verhaal want er draait helemaal niets wat een botnet is of er zou op kunnen lijken, ook hebben wij nooit iemand geprobeert te hacken, ik vind de e-mail nog al scriptkiddo overkomen en heb zo mijn vermoedens wie deze mails gestuurd kan hebben, maar ik heb totaal geen bewijs. Vlak voordat onze servers plat gingen gebeurde het volgende:
Session Start: Thu Aug 26 20:32:26 2004 Session Ident: #A »»»» Now talking in #A. »»»» Topic is 'your going down ~ gg to this server ~ gg to ur inet host' »»»» Set by acid on Thursday, August 26th, 2004 at 8:26pm »»»» Join synced in 0.172 Seconds. »»»» Total: 2 Operators: 1«50% » Voices: 0«0% »
Iemand had dus een channel aangemaakt en dit als topic gezet, een whowas leverde het volgende op:
««ñötîÇË»» /whois list for: acid ««ñötîÇË»» Address: We_42o_eD@c4-1e019.neo.rr.com «« Internic Commercial »» ««ñötîÇË»» Name: Matt ««ñötîÇË»»acid is connecting from *@c4-1e019.neo.rr.com 24.93.244.19
Het lijkt erop dat die persoon een bouncer heeft gebruikt, de mails zijn overigens van hetzelfde ip afkomstig.
Wat kan ik hier nu tegen doen? Ik kan tog niet wijken voor een scriptkiddo die mijn netwerk perse plat wil?

  • ufear
  • Registratie: December 2002
  • Laatst online: 19-02 12:25
Ik zou zeggen, doe hetzelfde bij zijn host en zie wat er gebeurt ;)

[EDIT]

Ik bedoelde natuurlijk emailen naar zijn host, niet DDoS'en 8)7

[ Voor 38% gewijzigd door ufear op 26-08-2004 22:53 ]


Verwijderd

Topicstarter
Dus als iemand jouw auto steelt en een visitekartje van iemand anders achterlaat steel ej maar de auto van diegene zn visitekaartje? Lijkt me niet egt een fairway om dit op te lossen he

[edit]

ow ok :P

[ Voor 6% gewijzigd door Verwijderd op 26-08-2004 22:54 ]


  • Adm.Spock
  • Registratie: Juli 2001
  • Laatst online: 23-11-2025

Adm.Spock

Duik-Aap

je kan een perm ban instellen voor dat complete ip-bereik. Is wat drastisch wellicht, maar is wel effectief.

En vraag anders advies aan Onno, of een van de andere Global Ops in #DPC op irc.sorcery.net

Verwijderd

Topicstarter
Ja maar in dat geval kan hij nog wel lopen dossen etc en fake mails lopen sturen naar elk bedrijf die ons sponsort op dat moment en ons zo alsnog ...... (kom niet op t juiste woord, althans niet netjes gezegd :P )

  • Rmg
  • Registratie: November 2003
  • Laatst online: 15:50

Rmg

Ik denk dat je er weinig tegen kan doen ( de ddosses ) ja de server tijdelijk sluiten en afwachten
ik zou in iedergeval even een email doen naar de abuse van de provider van hem en het even met je hoster overleggen het kan je nogal in de kosten gaan zitten qua bandbreedte zon ddoss

www.rr.com gaat iig naar zijn isp ;) zou daar even een mailtje droppen met O.a. de emails en de logs van je server

  • jep
  • Registratie: November 2000
  • Laatst online: 16-02 17:05

jep

Ik heb door m'n shellhosting diensten erg veel te maken met dergelijke situaties, maar het werkt vrijwel alleen als je je IRCD server inderdaar tijdelijk stopt.

Het opsporen van de dader is tijdrovend en vaak krijg je geen antwoord op telefoontjes of abusemeldingen, vaak naar azie. Social engineering werkt het best, er is altijd wel iemand die weet wie erachterzit.

Tot slot, firewall alle hosts van mensen op je ircd die je niet vertrouwd. Die vliegen er zo af met een ping timeout, en zullen minder snel proberen de server anders te benaderen omdat ze denken dat 'ie down is.

Succes!

Verwijderd

Topicstarter
mja, ik heb gewoon shell xs dus dan kan ik geen ip's of dergelijk filteren, en het gaat nogal moeilijk zon iemand te bannen want die zitten gewoon met een paar honderd proxy's klaar

  • jep
  • Registratie: November 2000
  • Laatst online: 16-02 17:05

jep

Dat klopt, maar firewallen werkt veel beter dan killen op de IRCD. En dan zul je zowieso diegene moeten bereiken met root op die machine. :) Als ze timeouten en 'm niet meer kunnen bereiken haken ze sneller af dan dat je ze gaat killen, want daar gaat elke nerd hard op. :P

  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Als firewallen echt niet gaat is er de ook-best-effectieve gline. Verder, tja uhh. Iedere ircd kan laat met /lusers usage statistics zien. Zo kun je zien of er daadwerkelijk een botnet op je ircd zit (die trouwens niet per se illegaal zijn maar ok).

All my posts are provided as-is. They come with NO WARRANTY at all.


  • tweakduke
  • Registratie: December 2001
  • Laatst online: 17:01

tweakduke

Moderator General Chat / Wonen & Mobiliteit
Die mails lijken me echt fake.

Gewoon echt weer iemand die zich zit te vervelen...

Als het niet snel opgelost is, kun je proberen contact opnemen met de provider, of eens proberen wat te gaan blocken in je firewall, zoals al eerder is genoemd.

Tweakers Discord


Verwijderd

Topicstarter
Ja t is ook idd fake, dr zit meer xdcc meuk op wat wij als netwerk toestaan, dat wil dus nog niet zeggen dat de owners van het irc netwerk verkeerd bezig zijn maar de users ;)

  • WPN
  • Registratie: Augustus 2003
  • Laatst online: 21-02 20:25

WPN

edit: beter lezen.....

[ Voor 92% gewijzigd door WPN op 27-08-2004 22:14 ]

Als ik denk zoals ik dacht, dan doe ik zoals ik deed, als ik doe zoals ik deed, dan denk ik zoals ik dacht! Cogito Ergo Sum


  • Victor
  • Registratie: November 2003
  • Niet online
- ICMP drop aanzetten
- Waar mogelijk IP's veranderen (en uiteraard DNS niet bijwerken indien ie op hostname DDoS'ed)
- Zoveel mogelijk netwerk verkeer proberen te capturen

Probeer aan de hand van de gecapturede data te achterhalen wat voor DDoS het is en op welke IP's de aanval wordt uitgevoerd. Is het gewoon massaal pingen van 100en hosts? UDP rommel die naar je server geslingerd wordt? Misschien een DRDoS? Allemaal zaken waar je zo snel mogelijk achter moet proberen te komen zodat je een effectieve verdediging kan opbouwen.

Zodra je wat info hebt over de aanval kun je:
- IP ranges droppen bij de router
- Mocht je gewoon alle poorten open hebben staan naar je server: dichtspijkeren!

Het hangt er vanaf hoe slim je aanvaller is of je een DDoS kunt tegenhouden. Proberen de dader de achterhalen is onbegonnen werk, ISP's werken meestal toch niet mee.

  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Ik denk dat je de TS niet begrijpt :) Hij wordt niet geDDoSed, die pino van die mails claimt dat ie 'gepacket' wordt. Door bots die op zijn ircd zouden zitten.

All my posts are provided as-is. They come with NO WARRANTY at all.


Verwijderd

Topicstarter
Ja maar die pino dost dus wel de ircd's Inmiddels zijn die ips gedropped door de isp en hopen we dat die gast stopt, btw hij dosste op de dns entry dus die staat nu op 127.0.0.1 :X

  • Victor
  • Registratie: November 2003
  • Niet online
CyBeR schreef op 27 augustus 2004 @ 00:26:
[...]

Ik denk dat je de TS niet begrijpt :) Hij wordt niet geDDoSed, die pino van die mails claimt dat ie 'gepacket' wordt. Door bots die op zijn ircd zouden zitten.
Het is al laat zullen we maar zeggen. ;)

* Victor gaat z'n bedje maar eens opzoeken :z

  • Rmg
  • Registratie: November 2003
  • Laatst online: 15:50

Rmg

CyBeR schreef op 27 augustus 2004 @ 00:26:
[...]

Ik denk dat je de TS niet begrijpt :) Hij wordt niet geDDoSed, die pino van die mails claimt dat ie 'gepacket' wordt. Door bots die op zijn ircd zouden zitten.
En als reactie heeft die de servers van de TS weer zitten ddossen staat in de startpost ;)

  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Raz- schreef op 27 augustus 2004 @ 02:59:
[...]


En als reactie heeft die de servers van de TS weer zitten ddossen staat in de startpost ;)
Ah toch wel idd. Dan geldt wat King_Louie zei :+

All my posts are provided as-is. They come with NO WARRANTY at all.


Verwijderd

Topicstarter
Ik hoor zojuist van de isp dat die ddosses 134Gb traffic hebben veroorzaakt :'(

  • We Are Borg
  • Registratie: April 2000
  • Laatst online: 17:16

We Are Borg

Moderator Wonen & Mobiliteit / General Chat
Verwijderd schreef op 27 augustus 2004 @ 10:53:
Ik hoor zojuist van de isp dat die ddosses 134Gb traffic hebben veroorzaakt :'(
Dat zijn normaal gesproken erg dure Gb's

  • jep
  • Registratie: November 2000
  • Laatst online: 16-02 17:05

jep

Da's voor een DDoS niet veel, dus daar heb je nog mazzel mee. :) Wel erg vervelend, die figuren zijn en blijven relatief machtig.

Verwijderd

Topicstarter
Ja en heb een beetje spitten in die mensen waarvan wij dachten dat ze het gedaan konden hebben en heb tegen 1 iets gevonden wat nie helemaal legal is, dus een abuse mail naar zn isp is weg, maar helaas is t geen bewijs dat hij ons dossde

  • Victor
  • Registratie: November 2003
  • Niet online
CyBeR schreef op 27 augustus 2004 @ 03:11:
[...]


Ah toch wel idd. Dan geldt wat King_Louie zei :+
En ik maar denken dat ik het mis had ;(
Pagina: 1