sonnenblen.de - Das unabhängige Sun User Forum
Off-Topic => OT Diskussionen => Thema gestartet von: Tschokko am 08. März 2007, 13:21:32
-
*agrgasdkjhaskjhakdasd*
*vorwutschäum*
Ich hasse dieses Pack ! Und ich muss grad mal meinen Frust ablassen...
Seit Wochen plagen mich dauernd Angriffe auf meinen Root Server im Internet. Ich war täglich damit beschäftigt Prozesse zu kicken und die Schlupflöcher zu stopfen. Dann lief das System mal echt paar Wochen super schön und ruhig. Aber heute wunderte ich mich warum die Kiste so grotten lahm ist und ich keinen CVS Zugriff mehr erlange. Ein Blick auf die Maschinen und meine Alarmglocken schrillten auf. Hunderte httpd Prozesse und hunderte von offenen Verbindungen. Oh mein Gott... erst ham se den Blog meiner Freundin angegriffen, hab ich abgestellt, dann sind se auf meinen Blog los gegangen, auch abgestellt und dann ham se stumpf hunderte Verbindungen auf die Startseite von meiner Root Server Domain aufgemacht. Maaaaaaaaaaaaaaaannnnnnnnnnn... was soll das ?
Ich hasse dieses verfuchte nichtsnutzige Pack. Lasst meinen Server in Ruhe !!!! Solche Leute gehören echt gejagt und in aller Öffentlichkeit ausgepeitscht.
Nun muss ich warten bis Frank (Chef von FNH Media) zurück ist und dann schauen wir gemeinsam über meinen Server drüber.
*grrrrrrrrrrrrrrrrrrrrrrrrrrrr*
Gruß
Tschokko
-
Strafanzeige und dann ist Ruh :)
-
Strafanzeige und dann ist Ruh :)
Na wenn das so einfach wäre. Ich hab hunderte von simultanen Zugriffen von genauso vielen unterschiedlichen Systemen. Hier mal nen kurzer netstat Auszug... und jetzt sag mir wenn ich hier nachverfolgen soll?
www:/www/pages/tschokko.de/www# netstat -a
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 *:cvspserver *:* LISTEN
tcp 0 0 *:mysql *:* LISTEN
tcp 0 0 *:www *:* LISTEN
tcp 0 0 www.chaostwins.de:www 196-11-241-194.mt:19321 SYN_RECV
tcp 0 0 www.chaostwins.de:www 164.125.24.211:3408 SYN_RECV
tcp 0 0 *:webmin *:* LISTEN
tcp 0 0 *:ftp *:* LISTEN
tcp 0 0 *:ssh *:* LISTEN
tcp 0 0 *:smtp *:* LISTEN
tcp 0 0 www.chaostwins.de:www e179166098.adsl.al:1593 TIME_WAIT
tcp 0 0 www.chaostwins.de:www host156-94-static.:2385
ESTABLISHED
tcp 0 0 www.chaostwins.de:www e179166098.adsl.al:1598 TIME_WAIT
tcp 0 1 www.chaostwins.de:www 222.218.142.48:62484 LAST_ACK
tcp 0 0 www.chaostwins.de:www e179166098.adsl.al:1600 TIME_WAIT
tcp 0 0 www.chaostwins.de:www 97.212.22.202.otv.:4285 TIME_WAIT
tcp 1 513 www.chaostwins.de:www ACCB2D2A.ipt.aol.c:4822 CLOSING
tcp 0 272 www.chaostwins.de:ssh p5498D4C1.dip.t-d:64602
ESTABLISHED
tcp 0 0 www.chaostwins.de:www dslb-084-060-032-:12004 TIME_WAIT
tcp 0 0 www.chaostwins.de:www wrzb-590cf5fc.poo:61509
ESTABLISHED
tcp 0 0 www.chaostwins.de:www wrzb-590cf5fc.poo:61506 TIME_WAIT
udp 0 0 *:webmin *:*
udp 0 0 *:ntp *:*
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags Type State I-Node Path
unix 5 [ ] DGRAM 15365474 /dev/log
unix 2 [ ACC ] STREAM LISTENING 60408197
/var/run/mysqld/mysqld.sock
unix 2 [ ] DGRAM 60408201
unix 2 [ ] DGRAM 60400580
unix 2 [ ] DGRAM 58638793
unix 2 [ ] DGRAM 777
unix 2 [ ] DGRAM 750
unix 2 [ ] DGRAM 288
www:/www/pages/tschokko.de/www# netstat -a
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 *:cvspserver *:* LISTEN
tcp 0 0 *:mysql *:* LISTEN
tcp 0 0 *:www *:* LISTEN
tcp 0 0 www.chaostwins.de:www p54B33865.dip0.t-:36562 SYN_RECV
tcp 0 0 www.chaostwins.de:www 219-71-187-157.cab:3921 SYN_RECV
tcp 0 0 www.chaostwins.de:www 20118085086.host.t:1690 SYN_RECV
tcp 0 0 www.chaostwins.de:www 058177174217.ctine:2007 SYN_RECV
tcp 0 0 www.chaostwins.de:www 59.93.90.21:4274 SYN_RECV
tcp 0 0 www.chaostwins.de:www 124.254.196.45:4894 SYN_RECV
tcp 0 0 www.chaostwins.de:www 61.106.126.53:3013 SYN_RECV
tcp 0 0 www.chaostwins.de:www 61.102.38.44:2665 SYN_RECV
tcp 0 0 www.chaostwins.de:www 59.94.221.208:4312 SYN_RECV
tcp 0 0 www.chaostwins.de:www 59.93.223.239:1430 SYN_RECV
tcp 0 0 www.chaostwins.de:www 196-11-241-194.mt:19321 SYN_RECV
tcp 0 0 www.chaostwins.de:www 59.95.66.93:1658 SYN_RECV
tcp 0 0 www.chaostwins.de:www 200.172.36.17:4112 SYN_RECV
tcp 0 0 www.chaostwins.de:www FLH1Aas192.aic.mes:1456 SYN_RECV
tcp 0 0 www.chaostwins.de:www 59.93.217.187:2079 SYN_RECV
tcp 0 0 www.chaostwins.de:www p4136-ipbf401sapod:2821 SYN_RECV
tcp 0 0 www.chaostwins.de:www 125.57.50.201:4820 SYN_RECV
tcp 0 0 www.chaostwins.de:www 61.97.197.53:4452 SYN_RECV
tcp 0 0 www.chaostwins.de:www 222.119.113.18:3047 SYN_RECV
tcp 0 0 www.chaostwins.de:www 200.172.36.17:4113 SYN_RECV
tcp 0 0 www.chaostwins.de:www 222.119.113.18:3048 SYN_RECV
tcp 0 0 www.chaostwins.de:www 59.94.9.18:2360 SYN_RECV
tcp 0 0 www.chaostwins.de:www eu85-84-130-45.cli:2317 SYN_RECV
tcp 0 0 www.chaostwins.de:www 164.125.24.211:3408 SYN_RECV
tcp 0 1 www.chaostwins.de:www 58.141.88.36:4736 LAST_ACK
tcp 0 1 www.chaostwins.de:www 222.218.142.48:62484 LAST_ACK
tcp 0 0 www.chaostwins.de:www ppp85-140-175-105.:1607
ESTABLISHED
tcp 0 1 www.chaostwins.de:www 82-39-1-223.cable.:1028 LAST_ACK
tcp 0 0 www.chaostwins.de:www 59.94.251.253:2232
ESTABLISHED
tcp 0 0 www.chaostwins.de:www 59-171-86-230.rev.:1528 TIME_WAIT
tcp 0 0 www.chaostwins.de:www 210.113.241.145:3831
ESTABLISHED
tcp 0 0 www.chaostwins.de:www 237.73.215.220.ap.:4250 TIME_WAIT
tcp 0 0 www.chaostwins.de:www host.213.240.194.2:1855
ESTABLISHED
tcp 0 0 www.chaostwins.de:www 59.93.60.74:4155
ESTABLISHED
tcp 0 0 www.chaostwins.de:www 124.125.83.219:3877
ESTABLISHED
tcp 0 0 www.chaostwins.de:www 59.93.60.74:4101 TIME_WAIT
tcp 0 0 www.chaostwins.de:www 200-170-250-142.s:60424 TIME_WAIT
tcp 0 0 www.chaostwins.de:www c-67-191-38-230.hs:2983 TIME_WAIT
tcp 0 0 www.chaostwins.de:www c-67-191-38-230.hs:2982 TIME_WAIT
tcp 0 0 www.chaostwins.de:www 121.142.93.97:3472
ESTABLISHED
tcp 0 0 www.chaostwins.de:www after08.uni.it:4132
ESTABLISHED
tcp 0 0 www.chaostwins.de:www e179166098.adsl.al:1600 TIME_WAIT
tcp 0 0 www.chaostwins.de:www 8.4.32.118:50275 TIME_WAIT
tcp 0 533 www.chaostwins.de:www 59.191.14.6:1402
ESTABLISHED
tcp 0 0 www.chaostwins.de:www 221-135-210-144.si:2808 TIME_WAIT
tcp 0 0 www.chaostwins.de:www softbank2192152081:2203 TIME_WAIT
tcp 0 0 www.chaostwins.de:www 222.122.47.245:58240
ESTABLISHED
tcp 0 0 www.chaostwins.de:www 059148177205.ctine:3020 TIME_WAIT
tcp 0 0 www.chaostwins.de:www 210006115101.ctine:2247
ESTABLISHED
tcp 0 0 www.chaostwins.de:www 210006115101.ctine:2246
ESTABLISHED
tcp 0 0 www.chaostwins.de:www 58.24.231.203:1310
ESTABLISHED
tcp 0 0 www.chaostwins.de:www 61.109.161.137:1830 TIME_WAIT
tcp 0 0 www.chaostwins.de:www c911fa84.bhz.virtu:2566 TIME_WAIT
tcp 0 0 www.chaostwins.de:www 55-215-114-200.fi:33537 TIME_WAIT
tcp 0 0 www.chaostwins.de:www softbank2190160280:2239 TIME_WAIT
tcp 0 0 www.chaostwins.de:www adsl-66-142-150-19:2446 TIME_WAIT
tcp 0 0 www.chaostwins.de:www host221.201-252-33:2644 TIME_WAIT
tcp 0 0 www.chaostwins.de:www FLH1Aas192.aic.mes:1456 TIME_WAIT
tcp 0 0 www.chaostwins.de:www FLH1Aas192.aic.mes:1706 TIME_WAIT
tcp 0 0 www.chaostwins.de:www 125x103x206x102.ap:2936 TIME_WAIT
tcp 0 0 www.chaostwins.de:www 210.113.241.145:3675 TIME_WAIT
tcp 0 0 www.chaostwins.de:www 210.113.241.145:3674 TIME_WAIT
tcp 0 0 www.chaostwins.de:www 210.113.241.145:3677 TIME_WAIT
tcp 0 0 www.chaostwins.de:www 210.113.241.145:3676 TIME_WAIT
tcp 0 0 www.chaostwins.de:www 125.129.69.49:3652 TIME_WAIT
tcp 0 0 www.chaostwins.de:www ASte-Genev-Bois-11:1571 TIME_WAIT
tcp 0 0 www.chaostwins.de:www 59.93.209.118:1210 TIME_WAIT
tcp 0 0 www.chaostwins.de:www 220.226.63.242:7821 TIME_WAIT
tcp 0 0 www.chaostwins.de:www 220.226.63.242:7820 TIME_WAIT
tcp 0 0 www.chaostwins.de:www oyma103196.catv.pp:3785 TIME_WAIT
tcp 0 0 www.chaostwins.de:www p54B33865.dip0.t-:36997 TIME_WAIT
tcp 0 0 www.chaostwins.de:www p54B33865.dip0.t-:36996 TIME_WAIT
tcp 0 0 www.chaostwins.de:www 211.104.78.107:3367 TIME_WAIT
tcp 0 0 www.chaostwins.de:www host-190-15.adsl.e:4054 TIME_WAIT
tcp 0 0 www.chaostwins.de:www pool-70-21-41-228.:3419 TIME_WAIT
tcp 0 0 www.chaostwins.de:www 83.147.85.92:1950 TIME_WAIT
tcp 0 0 www.chaostwins.de:www p4136-ipbf401sapod:3156 TIME_WAIT
tcp 1 513 www.chaostwins.de:www ACCB2D2A.ipt.aol.c:4822 CLOSING
tcp 0 0 www.chaostwins.de:www 59.93.244.207:3687 TIME_WAIT
tcp 0 0 www.chaostwins.de:www 059149178201.ctine:2712 TIME_WAIT
tcp 0 0 www.chaostwins.de:www 200.172.36.17:4112 TIME_WAIT
tcp 0 0 www.chaostwins.de:www 217-133-103-192.b:29531 TIME_WAIT
tcp 0 0 www.chaostwins.de:www c9500221.bhz.virtu:1521 TIME_WAIT
tcp 0 0 www.chaostwins.de:www Broadband-Dynamic:56513 TIME_WAIT
tcp 0 0 www.chaostwins.de:www 59.94.10.21:4606 TIME_WAIT
tcp 0 0 www.chaostwins.de:www c-71-204-34-199.hs:1640 TIME_WAIT
tcp 0 0 www.chaostwins.de:www 59.95.66.93:1789 TIME_WAIT
udp 0 0 *:webmin *:*
udp 0 0 *:ntp *:*
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags Type State I-Node Path
unix 5 [ ] DGRAM 15365474 /dev/log
unix 2 [ ACC ] STREAM LISTENING 60408197
/var/run/mysqld/mysqld.sock
unix 2 [ ] DGRAM 60408201
unix 2 [ ] DGRAM 60400580
unix 2 [ ] DGRAM 58638793
unix 2 [ ] DGRAM 777
unix 2 [ ] DGRAM 750
unix 2 [ ] DGRAM 288
Gruß Tschokko
-
verstehe ich nicht? mußt Du die Beweißführung aufbauen? Die Kripo ist bei so was verdammt gut(sollte man nicht meinen). Ich selber dachte ich wäre anonym im Netz, bis ich Post bekam und es hieß nix mit dem P2P. Trotz Proxy über ne UNI
-
Und das beste es kostet Dich GAR NICHTS und kann Dir nur helfen :-)
-
Lassen sich die IP-Adressen denn nicht protokollieren und später über Router und diverse Provider zurückverfolgen, nachdem man eine Anzeige gegen "noch unbekannt" erstattet hat? Kann ich mir gar nicht vorstellen, das sowas nicht schon mal durchgeführt wurde.
-
Hmmm... und wie geh ich das nun an? Ruf ich da jetzt beim Freund und Helfer an und sag: Hallo ich hab Hacker auf meinem Server. Ich möchte gerne Anzeige gegen Unbekannt erstattet!
???
Gruß Tschokko
-
Genau richtig. klar ist es am anfang gegen unbekannt und nicht gegen ip xxx, der betroffene kann ja nicht die ermittlungen lenken. die grünen brauche was zeit, sind aber sehr gründlich ;-) schlecht siehts aus, wenns ins ausland ohne rechtshilfe abkommen geht.
nach der strafanzeige hast Du(Tschokko) dann nämlich auch noch zivilrechtliche möglichkeiten... und wenn Du davon dann Deine Freundin zum essen einlädst :D
-
was nur nicht, wie das mit der beweissicherung ist. aber daten müßten eigentlich genügen... die beschlagnahmen ja auch fast keine rechner mehr, schon gar nicht von Opfern :)
-
Ich wart jetzt erstmal das Eintreffen meines Hosters ab. Dann werde ich den Webserver nochmal hochfahren und beobachten. Tritt der Scheiß dann nochmal ein, werde ich das mit der Strafanzeige zusammen mit meinem Hoster überdenken. Mich kotzt das nämlich echt an! Die sollen sich gefälligst von meinem Server verpissen!!!
Danke euch schon mal.
Gruß Tschokko
-
Blöde Idee - aber war vielleicht diese Domain www.chaostwins.de einfach nur irgendwo auf einer großen Seite verlinkt?
100te Connections innerhalb kurzer Zeit ist ja eigentlich das von heise.de bekannte DDOS-Problem - weil irgendwie alle gleichzeitig wo drauf klicken müssen, weil da ein Link auf irgendeiner Portalseite ist.
(OK - im Moment sieht man ja nur eine Debian-Startseite - aber wenn da vorher ein Blog war...
-
Oh ja das Thema ist echt scheisse.
Letztens hatte jemand es tatsächlich geschafft eine Lücke in meinem Formular zu finden und dann gingen knapp 100000 Emails in zwei Stunden über meinen Server raus und verstopften alle Queues, bis mein Hoster mich dann abgeklinkt hatte.
Und dann kamen dutzende wütender Response Emails.
-
Morgen,
ich an deiner stelle wuerde den schittlauch rauslassen und den port des switches, an dem der server haengt, auf einen anderen port spiegeln ...
Switch(config)# interface FastEthernet0/7
Switch(config)# port monitor FastEthernet0/3
Switch(config)# end
... und an diesem mittels snoop/tcpdump/ethereal/etc mitlauschen. wuerde bestimmt sehr lehrreich sein.
ct,