DDOS auf index.php

ANILKAN · 05 Juli 2008, 11:56:32

Moin leute, so wie der Topic schon sagt, hab ich gestern abend ein angriff auf meine Seite gehabt, bis dahin hatte ich noch die alte version von pragmamx 0.1.9 was nun 0.1.10 ist, mein Forum konnte ich noch nicht upgraden benutze SMF 1.1 RC2 ( weiss da ehrlich gesagt nicht wie oder wo ich die dateien bekomme gesucht hab ich die ganze nacht, desweiteren komme ich auch mit den bridges ziemlich durcheinander. )

1. wäre nett wenn ihr mir helfen könntet wie ich mich vor DDOS angriffen schützen könnte.

2. wie bekomme ich den smf upgegradet ( im packetmanager hab ich auch lange gesucht ).

Danke im Voraus

JoergK · 05 Juli 2008, 12:03:58

Hoi

Zitat
1. wäre nett wenn ihr mir helfen könntet wie ich mich vor DDOS angriffen schützen könnte.

Wikipedia schreibt dazu: http://de.wikipedia.org/wiki/Ddos#Gegenma.C3.9Fnahmen

Sitki · 05 Juli 2008, 12:13:00

Hi

Zitat2. wie bekomme ich den smf upgegradet ( im packetmanager hab ich auch lange gesucht ).

-> DokuWiki: pragmaMx SMF-Bridge

Wir haben eine strikte Regel, die lautet "nur eine Frage pro Beitrag", und dann auch ins richtige Forumsbereich. Event. weitergehende Fragen zur pragmaMx SMF-Bridge sind hier zu stellen. Und vorher nicht vergessen, die Suche im Forum zu benutzen.

ANILKAN · 05 Juli 2008, 12:50:17

Zitat von: JoergK am 05 Juli 2008, 12:03:58
Hoi

Zitat
1. wäre nett wenn ihr mir helfen könntet wie ich mich vor DDOS angriffen schützen könnte.

Wikipedia schreibt dazu: http://de.wikipedia.org/wiki/Ddos#Gegenma.C3.9Fnahmen

Das würde ja heissten das ich dagegen überhaupt nichts machen kann..

JoergK · 05 Juli 2008, 13:06:00

Hoi

Zitat
Das würde ja heissten das ich dagegen überhaupt nichts machen kann..

Stimmt soweit, nach meinem Kentnisstand. Wenn es sich beim Webspace Deiner Seite um ein Webhosting handelt, bleibt Dir nur der Weg Kontakt mit Deinem Provider aufzunehmen.

ANILKAN · 05 Juli 2008, 13:10:50

Sehr geehrter Herr punktpunktpunkt,

die von Ihnen bei uns gehostete Domain meinedomain.com war für eine Serverüberlastung und Beeinträchtigung anderer Kundenpräsenzen verantwortlich. Dies stellt einen Verstoß gegen § 5.2 unserer von Ihnen anerkannten AGB dar.

ACHTUNG! Um die aktuelle Überlastung zu unterbinden, wurde Ihre Präsenz gem. unseren von Ihnen anerkannten AGB vorrübergehend gesperrt. Die Sperre wird spätestens im Laufe des kommenden Arbeitstages in der Zeit von 9 bis 18 Uhr aufgehoben.

Wir weisen Sie hiermit darauf hin, dass wir bei einer erneuten Serverüberlastung oder Beeinträchtigung anderer Präsenzen zu einer fristlosen Kündigung des Vertragsverhältnisses und dauerhaften Sperrung der Domain berechtigt wären. Einen solchen Schritt würden wir gerne vermeiden. Bitte prüfen Sie daher, ob und wie Sie die von Ihnen eingesetzten Scripte überarbeiten/optimieren können und ergreifen Sie alle notwendigen Maßnahmen, um weitere Probleme zu vermeiden.

Mit freundlichen Grüßen

Team Techniksupport & Operations ( domainfactory )

die haben gestern abend auf dieser weise mit mir kontakt aufgenommen, ich hab die heute angerufen dort hab ich dann auch die geschichte mit dem DDOS und index.php erfahren.

mir wird ja mit der email von denen regelrecht gedroht wenn sowas nochmal passiert ist meine domain weg..

StegRene · 05 Juli 2008, 16:51:27

1.
Die Domain gehört Dir, also wegnehmen können sie Dir diese schon mal nicht.

2.
Alle Provider, welche ich kenne, scheinen das selbe System zu nutzen. Diese Mails sind Standard.
Natürlich sperren Sie Deine Webpräsenz, wenn der Server nicht Dir allein gehört. Immerhin sind die andren Kunden ja auch betroffen, wenn auf Deinem Web (auch wenns ein Angriff von Aussen ist) der Server lahm gelegt wird.

Ein vernünftiger Hoster wird Dir Lösungen anbieten, ein Schlechter wird Dir den Webspace kündigen.
Bleibt nur, vernünftig mit denen Kontakt aufzunehmen und zu schauen, was man tun kann.

FrankP · 06 Juli 2008, 10:49:58

Wie kommst du denn darauf, dass es sich um eine ddos handelte? Eine richtige ddos legt das Netz lahm und sowas blockt ein Router automatisch oder der Netzbetreiber manuell. Bestenfalls war es wohl eine Art "Miniddos", wobei durch eine hohe Anzahl reguests auf eine Domain versucht wird, den Webserver zu überlasten - z.B. unser Freund "slurp" macht sowas auch schon mal ganz gerne, der ist schon recht grenzwertig. Meist ist nur eine oder wenige IPs am Angriff beteiligt. Diese blockt man dann leicht direkt in der Firewall des Servers oder des Netzes.

Es gibt also schon eine Reihe Maßnahmen, die man ggf. in Zusammenarbeit mit dem Provider treffen kann. Wenn das nicht zu oft vorkommt, sollte ein Provider da schon helfen. Ist man grundsätzlich Ziel solcher Attacken, werden die Maßnahmen dann schon umfangreicher und sind damit mit Kosten verbunden. Dann ist es auch nachvollziehbar, dass ein Provider dann für ~ 5,- Euro im Monat nicht mehr mitziehen will. Ist man also aufgrund z.b. des Inhalts der Website ständiges Ziel solcher Angriffe, empfiehlt es sich, einen eigenen Server zu betreiben und entweder selbst das Umgehen damit zu erlernen oder sich mit Hilfe Dritter z.B. per Wartungsvertrag der Thematik zu stellen.

Es gibt eine Fülle von Maßnahmen, zuerst aber muss eruiert werden, wie genau die Störung zustande kam. In der Mail des Kollegen steht nichts von ddos.

ANILKAN · 18 Juli 2008, 16:20:08

Zitat von: FrankP am 06 Juli 2008, 10:49:58
Es gibt eine Fülle von Maßnahmen, zuerst aber muss eruiert werden, wie genau die Störung zustande kam. In der Mail des Kollegen steht nichts von ddos.

Das es sich dabei um ein Ddos handelte wurde mir telefonisch mitgeteilt als ich im support anrief, mehrere tausend angriffe innerhalb wenige sekunden hätten auf die index.php zugegriffen..

Dabei muss ich mir sowieso eine Wichtige frage stellen? was mach ich wenn die Webseite mal richtig gross ist und sehr viele Leute drauf zugreifen

( ist ja dann auch schon fast wie Ddos )

MFG

FrankP · 18 Juli 2008, 16:59:55

Den Server richtig konfigurieren und vor Allem ständig den sich ändernden Anforderungen anpassen.
Bei bösartigen Zugriffen entweder händisch blocken oder, sollte es überhand nehmen, script- oder serverseitige Routinen implementieren, die automatisch blocken. Wir sind z.b. gerade dabei für XT-Commerce so etwas zu bauen, das Daten aus dem whois_online auswertet und nach anpassbaren Kriterien ( Anzahl Zugriff einer IP in Zeitintervall X) direkt in der iptables blockt. Kann man auch z.B. mit dem fail2ban-Server machen, macht aber Last ..... Meines Wissens gibt es da nicht (viel taugliches) fertig out of the box. Meist reicht allerdings die Methode manuell zu blocken.

Wie gesagt, da gehts um bösartige Zugriffe. Steigende erwünschte Zugriffe zu handlen ist die Aufgabe guter Serveradmins - die müssen ja auch ihre Daseinsberechtigung haben. Was meinst du, warum gutgehende Shopserver eher nicht bei den Massenhostern zu finden sind - zumindest nicht lange

ANILKAN · 19 Juli 2008, 08:57:28

Da hast du schon recht, ich hab mir das so überlegt die index.php irgendwie zu verstecken und alles über index.html laufen zu lassen, das müsste doch irgendwie klappen ? ich denke dann können die so viel angreifen wie sie wollen aber da die mysql nicht mitarbeitet wäre es eher ein angriff ins leere.. ?

lemming · 29 Juli 2008, 10:28:03

hi,
bin mir nicht ganz sicher ob bottrap bei ddos was bringt aber ein zugriff auf die index.php sollte eigtl. nicht mehr möglich sein dann.

http://www.bot-trap.de/home

denk mal damit werden schon ne ganze menge fragwürdiger (hallo osteuropa) ipranges gesperrt. es ist kein 100% schutz aber VIELLEICHT bringts ja was.