1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen
  2. Unsere jährliche Weihnachts-Banner-Aktion hat begonnen! Wir freuen uns auf viele, viele kreative Vorschläge.
    Mehr dazu könnt Ihr hier nachlesen: Weihnachtsbanner 2016

    Information ausblenden

Wird/wurde meine Domain attackiert?

Dieses Thema im Forum "Café" wurde erstellt von reimic, 12.03.09.

  1. reimic

    reimic Stina Lohmann

    Dabei seit:
    31.08.06
    Beiträge:
    1.036
    Mir gehört die Domain www.apfelphone.net, dem ein oder anderem iPhoner vielleicht bekannt, und wieder einmal habe ich masivie Probleme damit.

    Ich habe seit ein paar Stunden das Problem, dass meine Seite auf einmal nicht mehr erreichbar ist. Es liegt sicher nicht am Server, denn jedes mal wenn ich die Domain vom Server nehme, geht dieser einwandfrei. Sobald ich die Domain wieder auf das Verzeichniss setzte, habe ich eine Serverauslastung von 100% und nichts geht mehr!?

    Kann mir einer von euch einen Tipp geben wie ich mir da helfen kann? Ich weiß echt nicht mehr weiter.. :-c
     
  2. drlecter

    drlecter Wöbers Rambur

    Dabei seit:
    04.11.06
    Beiträge:
    6.442
    Schau doch einfach mal in die Logs was da drin steht und ob da was drin steht. Sonst auch mal deinen Provider anrufen/anschreiben.
     
  3. nickch4nge

    nickch4nge Süsser Pfaffenapfel

    Dabei seit:
    16.01.08
    Beiträge:
    665
    hmm erte Vermutung ddos Attacke auf deinen server, Schaue mal in den logs nach. Welches OS nutzt du auf dem server?
     
  4. zeno

    zeno Lane's Prinz Albert

    Dabei seit:
    05.11.05
    Beiträge:
    4.898
    Webserver logfiles anschauen, schauen was die Netzwerkkarte so reinkriegt..
     
  5. reimic

    reimic Stina Lohmann

    Dabei seit:
    31.08.06
    Beiträge:
    1.036
    ist ein debian root mit syscp. mein hoster hatte schon einmal gemeint (nicht dieses mal) das sie nichts gemerkt haben. aber ist doch komisch, egal wo ich meine domain hinlenke, ist die aulastung 100%. habe dort 3 weitere websites und wenn ich apfelphone.net dort rauflege ist das gleiche. die datenbanken sind aber in ordnung.

    welche logfiles genau und wo finde ich die?
     
  6. domai

    domai Königsapfel

    Dabei seit:
    29.01.08
    Beiträge:
    1.196
    Scheint aber noch zu Leben, kann eine PNG-Grafik erkennen...nur nicht laden

    Sieht eher so aus als hätte dein Provider ein Mega-Stau vorm Server o_O
     
  7. nickch4nge

    nickch4nge Süsser Pfaffenapfel

    Dabei seit:
    16.01.08
    Beiträge:
    665
    Ne er sagt ja.
    Das wenn er die Domain aufschaltet der Server so in die knie geht. Was ist denn wenn du den Server direkt über die IP aufrufst ist der Seitenaufbau dann auch so lam?

    edit.: Also vorher die Domain nicht auf den Server Schalten
     
  8. reimic

    reimic Stina Lohmann

    Dabei seit:
    31.08.06
    Beiträge:
    1.036
    gibts ja fast nicht.. ist ein root server mit 100mb anbindung.. habe gerade mit "netstat" gesehen, dass die ip 88.118.91.237 sehr häufig auftaucht. kann das was bedeuten?
     
  9. nickch4nge

    nickch4nge Süsser Pfaffenapfel

    Dabei seit:
    16.01.08
    Beiträge:
    665
    jo kann,

    du kannst die IP blocken per iptables z.b.

    iptables -A INPUT -s <IP_DER_QUELLE> -p<PROTOKOLL> -j DROP

    mehr zum Thema hier http://www.selflinux.org/selflinux/html/iptables.html
    oder pn an mich.
     
  10. reimic

    reimic Stina Lohmann

    Dabei seit:
    31.08.06
    Beiträge:
    1.036
    hey super. kann es durch ein deny in der apache conf auch gemacht werden? habe das jetzt gemacht, die seite rennt aber die auslastung ist immer noch 100%.
     
  11. nickch4nge

    nickch4nge Süsser Pfaffenapfel

    Dabei seit:
    16.01.08
    Beiträge:
    665
    Jo das geht aber dann gibt die Netzwerkkarte ja immer alles an Apache weiter daher die Auslastung. Was sagt den top im shell Fenster?
     
  12. reimic

    reimic Stina Lohmann

    Dabei seit:
    31.08.06
    Beiträge:
    1.036
  13. drlecter

    drlecter Wöbers Rambur

    Dabei seit:
    04.11.06
    Beiträge:
    6.442
    Wenn das nur von der einen IP kommt, dann melde das deinem Provider. Dann sollte die IP schon im Vorfeld gesperrt werden. Alternativ kurzzeitig den DNS Eintrag auf seine IP ändern *G*
     
  14. reimic

    reimic Stina Lohmann

    Dabei seit:
    31.08.06
    Beiträge:
    1.036
    habe jetzt eingegeben: iptables -A INPUT -s 88.118.91.237 -j DROP

    aber bei netstat scheint die ip noch immer auf. auslastung noch 100%. seite rennt aber wieder. neben der ip stehen aber immer andere ports. ist durch meine eingabe oben automatisch alles gesperrt?
     
  15. drlecter

    drlecter Wöbers Rambur

    Dabei seit:
    04.11.06
    Beiträge:
    6.442
    Ach, wenn du deinen Server selber administrierst, solltest du dir die Grundlagen aneignen.
     
  16. reimic

    reimic Stina Lohmann

    Dabei seit:
    31.08.06
    Beiträge:
    1.036
    grundlagen habe ich auch. was meinst du genau? wer denkt schon, dass sein server attackiert wird.
     
  17. YanniH

    YanniH Auralia

    Dabei seit:
    20.04.08
    Beiträge:
    202
    Du weißt aber schon, dass du für einen kompromittierten Server im Zweifelsfall rechtlich herangezogen werden kannst? Du musst IMMER damit rechnen, und nicht umgekehrt :)
     
  18. nickch4nge

    nickch4nge Süsser Pfaffenapfel

    Dabei seit:
    16.01.08
    Beiträge:
    665
    so hast du erstmal ruhe. Melde die IP trotzdem deinem Provider.

    edit.: der Server braucht natürlich ein paar Minuten um die angesammelten abfragen zu bearbeiten.
     
  19. reimic

    reimic Stina Lohmann

    Dabei seit:
    31.08.06
    Beiträge:
    1.036
    ok danke. die ip ist jetzt auch weg.
    auslastung ist aber leider noch 100%. jetzt kommen noch ein paar andere einträge drinnen vor, die aber keine ip enthalten:

    tcp 0 0 static.85-10-204-15:www cp971563-a.dbsch1:47762 SYN_RECV

    und da sind noch ein paar solche die öfters vorkommen. was ist den das?
     
  20. nickch4nge

    nickch4nge Süsser Pfaffenapfel

    Dabei seit:
    16.01.08
    Beiträge:
    665
    hmm komisch das ist ein teil einer ip:

    ich habe mal was angehangen "nb.home.nl"
    z.b.
    was das oben von dir ist kann ich dir gerade auch nicht genau sagen.
     

Diese Seite empfehlen