Wird/wurde meine Domain attackiert?

reimic

Stina Lohmann
Registriert
31.08.06
Beiträge
1.034
Mir gehört die Domain www.apfelphone.net, dem ein oder anderem iPhoner vielleicht bekannt, und wieder einmal habe ich masivie Probleme damit.

Ich habe seit ein paar Stunden das Problem, dass meine Seite auf einmal nicht mehr erreichbar ist. Es liegt sicher nicht am Server, denn jedes mal wenn ich die Domain vom Server nehme, geht dieser einwandfrei. Sobald ich die Domain wieder auf das Verzeichniss setzte, habe ich eine Serverauslastung von 100% und nichts geht mehr!?

Kann mir einer von euch einen Tipp geben wie ich mir da helfen kann? Ich weiß echt nicht mehr weiter.. :-c
 

drlecter

Wöbers Rambur
Registriert
04.11.06
Beiträge
6.442
Schau doch einfach mal in die Logs was da drin steht und ob da was drin steht. Sonst auch mal deinen Provider anrufen/anschreiben.
 

nickch4nge

Süsser Pfaffenapfel
Registriert
16.01.08
Beiträge
665
hmm erte Vermutung ddos Attacke auf deinen server, Schaue mal in den logs nach. Welches OS nutzt du auf dem server?
 

zeno

Lane's Prinz Albert
Registriert
05.11.05
Beiträge
4.894
Webserver logfiles anschauen, schauen was die Netzwerkkarte so reinkriegt..
 

reimic

Stina Lohmann
Registriert
31.08.06
Beiträge
1.034
ist ein debian root mit syscp. mein hoster hatte schon einmal gemeint (nicht dieses mal) das sie nichts gemerkt haben. aber ist doch komisch, egal wo ich meine domain hinlenke, ist die aulastung 100%. habe dort 3 weitere websites und wenn ich apfelphone.net dort rauflege ist das gleiche. die datenbanken sind aber in ordnung.

welche logfiles genau und wo finde ich die?
 

domai

Königsapfel
Registriert
29.01.08
Beiträge
1.198
Scheint aber noch zu Leben, kann eine PNG-Grafik erkennen...nur nicht laden

Sieht eher so aus als hätte dein Provider ein Mega-Stau vorm Server o_O
 

nickch4nge

Süsser Pfaffenapfel
Registriert
16.01.08
Beiträge
665
Scheint aber noch zu Leben, kann eine PNG-Grafik erkennen...nur nicht laden

Sieht eher so aus als hätte dein Provider ein Mega-Stau vorm Server o_O

Ne er sagt ja.
Das wenn er die Domain aufschaltet der Server so in die knie geht. Was ist denn wenn du den Server direkt über die IP aufrufst ist der Seitenaufbau dann auch so lam?

edit.: Also vorher die Domain nicht auf den Server Schalten
 

reimic

Stina Lohmann
Registriert
31.08.06
Beiträge
1.034
gibts ja fast nicht.. ist ein root server mit 100mb anbindung.. habe gerade mit "netstat" gesehen, dass die ip 88.118.91.237 sehr häufig auftaucht. kann das was bedeuten?
 

nickch4nge

Süsser Pfaffenapfel
Registriert
16.01.08
Beiträge
665
gibts ja fast nicht.. ist ein root server mit 100mb anbindung.. habe gerade mit "netstat" gesehen, dass die ip 88.118.91.237 sehr häufig auftaucht. kann das was bedeuten?

jo kann,

88.118.91.237 - Geo Information IP Address 88.118.91.237 Host 88.118.91.237 Location
lt.gif
LT, Lithuania City Klaipeda, 58 - Organization TEO LT, AB ISP TEO LT, AB AS Number AS8764 TEO LT AB Autonomous System Latitude 55°71'72" North Longitude 21°11'75" East Distance 1457.82 km (905.85 miles)
du kannst die IP blocken per iptables z.b.

iptables -A INPUT -s <IP_DER_QUELLE> -p<PROTOKOLL> -j DROP

mehr zum Thema hier http://www.selflinux.org/selflinux/html/iptables.html
oder pn an mich.
 

reimic

Stina Lohmann
Registriert
31.08.06
Beiträge
1.034
hey super. kann es durch ein deny in der apache conf auch gemacht werden? habe das jetzt gemacht, die seite rennt aber die auslastung ist immer noch 100%.
 

nickch4nge

Süsser Pfaffenapfel
Registriert
16.01.08
Beiträge
665
hey super. kann es durch ein deny in der apache conf auch gemacht werden? habe das jetzt gemacht, die seite rennt aber die auslastung ist immer noch 100%.

Jo das geht aber dann gibt die Netzwerkkarte ja immer alles an Apache weiter daher die Auslastung. Was sagt den top im shell Fenster?
 

drlecter

Wöbers Rambur
Registriert
04.11.06
Beiträge
6.442
Wenn das nur von der einen IP kommt, dann melde das deinem Provider. Dann sollte die IP schon im Vorfeld gesperrt werden. Alternativ kurzzeitig den DNS Eintrag auf seine IP ändern *G*
 

reimic

Stina Lohmann
Registriert
31.08.06
Beiträge
1.034
habe jetzt eingegeben: iptables -A INPUT -s 88.118.91.237 -j DROP

aber bei netstat scheint die ip noch immer auf. auslastung noch 100%. seite rennt aber wieder. neben der ip stehen aber immer andere ports. ist durch meine eingabe oben automatisch alles gesperrt?
 

drlecter

Wöbers Rambur
Registriert
04.11.06
Beiträge
6.442
Ach, wenn du deinen Server selber administrierst, solltest du dir die Grundlagen aneignen.
 

YanniH

Auralia
Registriert
20.04.08
Beiträge
202
grundlagen habe ich auch. was meinst du genau? wer denkt schon, dass sein server attackiert wird.

Du weißt aber schon, dass du für einen kompromittierten Server im Zweifelsfall rechtlich herangezogen werden kannst? Du musst IMMER damit rechnen, und nicht umgekehrt :)
 

nickch4nge

Süsser Pfaffenapfel
Registriert
16.01.08
Beiträge
665
iptables -A INPUT -p ALL -s 88.118.91.237 -j REJECT
so hast du erstmal ruhe. Melde die IP trotzdem deinem Provider.

edit.: der Server braucht natürlich ein paar Minuten um die angesammelten abfragen zu bearbeiten.
 

reimic

Stina Lohmann
Registriert
31.08.06
Beiträge
1.034
so hast du erstmal ruhe. Melde die IP trotzdem deinem Provider.

edit.: der Server braucht natürlich ein paar Minuten um die angesammelten abfragen zu bearbeiten.

ok danke. die ip ist jetzt auch weg.
auslastung ist aber leider noch 100%. jetzt kommen noch ein paar andere einträge drinnen vor, die aber keine ip enthalten:

tcp 0 0 static.85-10-204-15:www cp971563-a.dbsch1:47762 SYN_RECV

und da sind noch ein paar solche die öfters vorkommen. was ist den das?
 

nickch4nge

Süsser Pfaffenapfel
Registriert
16.01.08
Beiträge
665
ok danke. die ip ist jetzt auch weg.
auslastung ist aber leider noch 100%. jetzt kommen noch ein paar andere einträge drinnen vor, die aber keine ip enthalten:

tcp 0 0 static.85-10-204-15:www cp971563-a.dbsch1:47762 SYN_RECV

und da sind noch ein paar solche die öfters vorkommen. was ist den das?

hmm komisch das ist ein teil einer ip:

ich habe mal was angehangen "nb.home.nl"
z.b.
macbook:~ rabs$ ping cp971563-a.dbsch1.nb.home.nl
PING cp971563-a.dbsch1.nb.home.nl (84.31.12.165): 56 data bytes
64 bytes from 84.31.12.165: icmp_seq=0 ttl=52 time=69.167 ms
64 bytes from 84.31.12.165: icmp_seq=1 ttl=52 time=73.005 ms
was das oben von dir ist kann ich dir gerade auch nicht genau sagen.