3. DOS-Attacke auf c++.de

DOS-Attacke auf c++.de

  • M

    Hallo,

    das Thema der Serverausfälle wurde zuletzt ja heiß diskutiert, nachdem wir uns zunächst durch einige Scriptingprobleme hindurchdebuggen mußten, konnte gestern dann in den Logfiles ein fremder Server ausgemacht werden, der für diese DOS-Angriffe verantwortlich ist.

    Diese führte in der Folge zu vielen httpd-Prozessen, die den Speicher überlastet haben.

    Zur Abwehr wurden jetzt einige temporäre Maßnahmen getroffen, um diese Lücke zu verriegeln.

    Leider ist dies nicht so einfach, wie sich manche die Fehlersuche immer vorstellen, gewisse Fehler lassen sich auch nur durch Zeit und Geduld aufspüren. Dazu kommt noch, daß man erst aus dem Auftreten eines Fehlers heraus das Fehlerbild betrachten kann.

    Offensichtlich war unsere Prominenz mit verantwortlich dafür, Ziel der Attacke zu sein - entweder hat es jemand gezielt auf uns abgesehen, oder es war ein zufälliger Fund über die Suchmaschinen.

    0
  • C

    Marc++us schrieb:

    Zur Abwehr wurden jetzt einige temporäre Maßnahmen getroffen, um diese Lücke zu verriegeln.

    Die sehen so aus, dass ich als unreg jetzt immer als spam erkannt werde? Wäre ja ncith so schlimm, wenn ich nachdem ich die richtige Antwort eingegeben habe nicht nur "Sie müssen ein Thema für Ihre Antwort angeben." sehen würde, sondern, dass mein Beitrag da ist.

    0
  • M

    Das hat damit nichts zu tun. Das kann ein Bug im Spamcop sein, normalerweise kommt der Spamcop bei Unregs nur bei einem IP-Wechsel (oder einem Anonymizer), und das mit dem Titel ist ein noch nicht ganz geklärter Bug in der Software.

    Der DOS-Angriff war wesentlich tiefgehender und von anderer Dimension.

    0
  • C

    Lustig. Ich hab jetzt noch nen Titel eingegeben, aber jetzt seh ich meinen Beitrag garnicht mehr. Keine Fehlermeldung, nix einfach weg

    0
  • M

    Interessanter ist eher die Frage, wie Du es schaffst, daß der Spamcop immer wieder kommt...

    0
  • V

    Nabend,

    war es nur ein Server? Warum hat die Firewall das nicht erkannt?

    gruss
    v R

    0
  • N

    Marc++us schrieb:

    ...konnte gestern dann in den Logfiles ein fremder Server ausgemacht werden, der für diese DOS-Angriffe verantwortlich ist.

    herzlichen glückwunsch zu dem fund.
    ist das einer aus deutschland oder wo kommt der her?

    0
  • N

    virtuell Realisticer schrieb:

    war es nur ein Server? Warum hat die Firewall das nicht erkannt?

    Es waren mehrere Server. Eine Firewall hätte da rein prinzipbedingt nicht viel machen können, es ist ja nicht so, dass wir einfach nur von Anfragen bombardiert wurden oä.

    net: Mehrere Server, unterschiedliche Nationalitäten. (Wobei ich nicht verstehe, inwieweit das relevant ist.

    So, genug der Auskünfte, Euer Interesse in allen Ehren, aber es muss nicht alles öffentlich diskutiert werden und dazu fehlt momentan auch allen Beteiligten die Zeit... 😉

    0
  • N

    nman schrieb:

    net: Mehrere Server, unterschiedliche Nationalitäten. (Wobei ich nicht verstehe, inwieweit das relevant ist.

    naja, wenn's nur einer aus 'D' gewesen wäre, hätte man das schwein rechtlich belangen können wegen computersabotage o.ä.
    btw: solchen 'distributed DoS angriffe', wie du sie bechreibst, sind oft ein nebeneffekt, wenn irgendwelche spammer versuchen ihren müll einzuschleusen, oder .htaccess-geschützten bereiche gecrackt werden sollen. die setzen dafür ganze cluster ein und dann kommt euer server ins schwitzen...

    nman schrieb:

    So, genug der Auskünfte, Euer Interesse in allen Ehren, aber es muss nicht alles öffentlich diskutiert werden und dazu fehlt momentan auch allen Beteiligten die Zeit... 😉

    naja, sieh's mal so: je ausführlicher ihr darüber berichtet, desto weniger gut gemeinte, aber dumme lösungsvorschläge (die mit dem eigentlichen problem nix zu tun haben), habt ihr zu erwarten...
    und ich find's auch positiv, dass marc++us diesen thread eröffnet hat...

    0
  • M

    net schrieb:

    naja, sieh's mal so: je ausführlicher ihr darüber berichtet, desto weniger gut gemeinte, aber dumme lösungsvorschläge (die mit dem eigentlichen problem nix zu tun haben), habt ihr zu erwarten...

    Das glaube ich kaum.

    Schließlich haben wir die Probleme seit rund 2 Monaten, aber seit letztem Freitag wissen wir das mit der Attacke. Zuvor haben wir nur seltsame Einträge in den Logs gehabt. Hätten wir da auf eine Attacke spekulieren sollen? Und was darüber sagen, vor 8 Wochen? Dann wäre es vielleicht nur ein Konfigurationsproblem gewesen, da wären wir als Techniker gegenüber Techniker ja richtig blamiert.

    Den Verdacht hatten wir natürlich schon besprochen, aber keine Grundlagen, so etwas zu posaunen, auch weil wir natürlich auf dem Weg eigene Schwächen und Probleme zuerst beseitigen mußten.

    Insofern konnte uns nicht viel vor den dummen Ratschlägen retten, egal wie wir informieren.

    0
Anmelden zum Antworten