Konsequentes Verfahren bei Angriffen

Gestern wurde der Root-Server eine Weile angegriffen,
da wir Personen hosten die uns durchaus mal eine Aufwandsentschädigung zahlen,
bin ich bei dem Angriff konsequent vorgegangen.

Vorab, der Angriff war in keinsterweise mit großartigen Folgen für das Webhosting verbunden, vielmehr wurde die CPU überdurchschnittlich ausgelastet, was dann in Gameserverlags einmündete.

Mein Verteidigungsplan:

1. Ich bemerke den Angriff
2. Login beim Server über KVM. KVM ist im Falle eines Angriffs IMMER super zu erreichen
3. tail -f /var/log/nginx/access.log , die IP rausfiltern die gerade noch floodet.
4. cat /var/log/nginx/access.log | grep ip > angriff1 , um alle Zugriffe der vermutlich angreifenden IP rauszufiltern
5. Eine E-Mail an den RIPE Inhaber der IP schicken die in diesem Falle wie folgt aussah:

Titel: SIEGE HTTP-FLOOD von IP x.x.x.x

Content:

Sehr geehrtes x Abuse Team,

die IP x.x.x.xhat zwischen

x.x.x.x – – [04/Jun/2011:00:50:21 +0200] „GET / HTTP/1.1“ 200 6185 „-“ „JoeDog/1.00 [en] (X11; I; Siege 2.70)“
und
x.x.x.x – – [04/Jun/2011:00:51:08 +0200] „GET / HTTP/1.1“ 200 6185 „-“ „JoeDog/1.00 [en] (X11; I; Siege 2.70)“

1510 HTTP Anfragen gesendet.

Daraufhin haben sich einige Kunden über das plötzliche Gameserverlaggen, hervorgerufen durch die massiven Anfragen am nginx Webserver, stark geärgert.

Die IP habe ich mittels iptables -I INPUT -s x.x.x.x -j DROP effektiv ausgesperrt, sonst wäre das ganze fröhlich weiter gegangen.

Ich hoffe das kommt nicht noch einmal vor!

MfG,
Alexander Stiehl
United Games Factory CTO

6. Antwort abwarten, in diesem Falle:

Da folgender Satz, „Diese Korrespondenz unterliegt der Vertraulichkeit.“, verwendet wurde, verkneife ich mir die Details und kann nur sagen das der entsprechende Angreifer gerade eine Downtime erlebt.

7. Es auf sich beruhen lassen, ich sehe das ganze als grenzwertiges Kavaliersdelikt an, solange das ganze nur von einer IP kommt, die dann entsprechend vom Hoster vermahnt wurde.

Im Falle eines Angriffes ist also alles Top ;)! Nginx geht sowieso nie down, also wird der Bereich Web durch Angriffe nicht verlangsamt.

Speichere in deinen Favoriten diesen permalink.

2 Antworten zu Konsequentes Verfahren bei Angriffen

  1. Pingback:Konsequentes Verfahren bei Angriffen | q23p.de Konsequentes …

  2. Pingback:App-Flash » Konsequentes Verfahren bei Angriffen | q23p.de Konsequentes …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert