Schrift
[thread]443[/thread]

"Hacker"-Angriff erkennen



<< >> 10 Einträge, 1 Seite
Gast Gast
 2005-02-25 13:50
#4480 #4480
Hallo,

bin nicht sicher, ob das hier hin gehört, wüßte aber auch nicht wohin sonst :-)

Ich habe vor kurzem eine Art "Hacker"-Angriff gehabt, der einfach  wie ein wahnsinniger große Mengen an Daten von meinem Server geladen hat. Innerhalb eines Tage hatte ich 290 GB (!) Traffic und der Server hat nicht mehr richtig mit gemacht. Normalerweise habe ich etwa 20GB am Tag.

WIe kann ich erkennen, ob jemand EXTREM viele Daten / Dateien lädt und diese Person dann blocken? Geht das?


Geht sowas per Script oder brauche ich da Hardware für?

Danke und Gruß,
Oliver
Taulmarill
 2005-02-25 14:12
#4481 #4481
User since
2004-02-19
1750 Artikel
BenutzerIn

user image
ich weiss, dass dieser fehler häufiger gemacht wird und will deshalb auch nicht böse werden, aber das was dir da passiert ist, hat mit hackern überhaupt nix zu tun. such am besten mal bei wikipedia nach hacker.

zu deinem problem: da reicht eigendlich nen script aus, was den traffic zählt und dann irgendwann den download zu macht. google z.b. mal nach "traffic control script" da könnte schon was dabei sein.
du könntest evtl. auch ein script schreiben, über das man grössere dateien runterladen kann, das könnte dann bei 1.000 downloads einfach dicht machen.

wurde der traffic denn über einzelne, besonders grosse dateien oder über sehr viele normale seitenabrufe erzeugt?
$_=unpack"B*",~pack"H*",$_ and y&1|0& |#&&print"$_\n"for@.=qw BFA2F7C39139F45F78
0A28104594444504400 0A2F107D54447DE7800 0A2110453444450500 73CF1045138445F4800 0
F3EF2044E3D17DE 8A08A0451412411 F3CF207DF41C79E 820A20451412414 83E93C4513D17D2B
ptk
 2005-02-25 14:30
#4482 #4482
User since
2003-11-28
3645 Artikel
ModeratorIn
[default_avatar]
snort kann das: http://www.snort.org/
Taulmarill
 2005-02-25 14:31
#4483 #4483
User since
2004-02-19
1750 Artikel
BenutzerIn

user image
ich hab hier noch was schönes gefunden. ipac-ng sumiert den netztraffic deiner maschiene auf und kann daraus statistiken bauen. da das programm standartdatenbanken verwendet könntest du problemlos per Perl darauf zugreifen.
$_=unpack"B*",~pack"H*",$_ and y&1|0& |#&&print"$_\n"for@.=qw BFA2F7C39139F45F78
0A28104594444504400 0A2F107D54447DE7800 0A2110453444450500 73CF1045138445F4800 0
F3EF2044E3D17DE 8A08A0451412411 F3CF207DF41C79E 820A20451412414 83E93C4513D17D2B
BungeeBug
 2005-02-26 11:59
#4484 #4484
User since
2004-03-16
54 Artikel
BenutzerIn
[default_avatar]
mod_bandwidth ist dein Gerät :) zumindest für den Apache und für den FTP Server kannste Quotas einrichten ... ganz einfach :)
MfG
BungeeBug
oruebe
 2005-03-01 09:47
#4485 #4485
User since
2004-07-09
46 Artikel
BenutzerIn
[default_avatar]
guten morgen,

auch wenn ich mich sehr spät zurück melde: Ich habe Eure Vorschläge verfolgt, konnte mich die letzten Tage aber nicht einloggen. DAU-Fehler :-)

Danke für Eure Tipps. Es ist aber so, dass mein Server dermaßen am Limit lief, dass jedes weitere Sript wahrscheinlich das Netzteil zum brennen gebracht hätte.

Ich habe auch mit meinem Support gesprochen. Die sagten, wenn eine Flut von Anfragen über Trojaner kämen, könnte man das nicht von regulären Anfragen unterscheiden. Stimmt Ihr dem zu?

Danke und Gruß,
Oliver
Taulmarill
 2005-03-01 11:46
#4486 #4486
User since
2004-02-19
1750 Artikel
BenutzerIn

user image
naja, wenn es eine art von "evil bit" gäbe, an dem man trojaner erkennen könnte, währe vieles einfacher. aber leider versuchen die programmierer von trojanern, viren und würmern alles, damit ihre erzeugnisse nicht weiter auffallen.

oder um's kurz zu machen, man kann dem traffic nicht ansehen, ob das vom webbrowser oder von einem trojaner oder sonst was kommt.

man kann aber mit entsprechender software, snort wurde weiter oben schon mal genannt, versuchen zu erkennen, ob die anfragen, die bei einem server ankommen, mehr oder weniger sinnvolle useranfragen sind, oder nur den zweck haben, deinen server zu belasten (Denail of Service) oder gar bekannte angriffe sind. da solch eine erkennung aber relativ rechenaufwendig und die pflege mit arbeit verbunden ist, wird dein webhoster so was nicht anbieten, da muss man sich i.d.r. selbst drum kümmern.
$_=unpack"B*",~pack"H*",$_ and y&1|0& |#&&print"$_\n"for@.=qw BFA2F7C39139F45F78
0A28104594444504400 0A2F107D54447DE7800 0A2110453444450500 73CF1045138445F4800 0
F3EF2044E3D17DE 8A08A0451412411 F3CF207DF41C79E 820A20451412414 83E93C4513D17D2B
GwenDragon
 2005-03-01 11:55
#4487 #4487
User since
2005-01-17
14757 Artikel
Admin1
[Homepage]
user image
Wie wäre es das Logfile zu analysieren und zu schauen, welche unberechtigten Anfragen an welche URI kommen?
Dann mit einer .htaccess per ModRewrite diese Anfragen auf localhost umleiten. :cool:\n\n

<!--EDIT|GwenDragon|1109670990-->
renee
 2005-03-01 12:11
#4488 #4488
User since
2003-08-04
14371 Artikel
ModeratorIn
[Homepage] [default_avatar]
@GwenDragon: Und wie willst Du diese Anfragen eindeutig identifizieren?? Über IP-Adressen geht es nicht (unbedingt), da Proxies verwendet werde können oder DoS-Attacken werden von mehreren Rechnern aus betrieben...
Und das Logfile zu analysieren kann auch seeeeehr langwierig werden.

Bei vielen Attacken werden nicht einfach wild irgendwelche Dateien aufgerufen, sondern gehen meistens ganz gezielt (siehe Santy-Wurm gegen phpBB). Da kann man es nicht unbedingt ausmachen, was jetzt eine reelle Anfrage ist und was Angriff ist!
OTRS-Erweiterungen (http://feature-addons.de/)
Frankfurt Perlmongers (http://frankfurt.pm/)
--

Unterlagen OTRS-Workshop 2012: http://otrs.perl-services.de/workshop.html
Perl-Entwicklung: http://perl-services.de/
GwenDragon
 2005-03-01 12:34
#4489 #4489
User since
2005-01-17
14757 Artikel
Admin1
[Homepage]
user image
Bei mir haben es sich dusselige Kiddies angwöhnt anstatt mit der Domain mit der IP in der URI anzufordern. Welcher normale User macht das wohl? Selbst Robots benutzen Domains in URIs.

Ansonsten kann eineR doch wohl sehen, wernn Requests sehr oft an bestimmte URI kommen oder sind das verschiedene URI?

<begin mode="megaschlausei">Wenn natürlich ein DoS läuft und 30.000 Rechner immer nur die Startseite eines Forums aufrufen, dann gibt es keine Chance - außer Forum abschalten. Der DoS läuft doch meist nur, solange das Forum antwortet.</end>\n\n

<!--EDIT|GwenDragon|1109673427-->
<< >> 10 Einträge, 1 Seite



View all threads created 2005-02-25 13:50.