We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

IP's werden gesperrt


ferdl9999
14.05.15, 21:53
Um hier nochmal ein kleines Update rauszuhauen:

Von einer IP kam tatsächlich ein Angriff raus, allerdings durch eine Art Virus oder so ähnlich, den sich der Kunde auf der VM eingefangen hat. Es wurden willkürliche IP's angegriffen.
Die anderen beiden IP's wurden durch einen Fehler von OVH gesperrt, von denen ging kein Angriff raus....

dabla
05.05.15, 21:17
wahnsinn... ich hoffe du hast die vms denen die ips zugeordnet sind wenigstens nicht aktiv.

ferdl9999
05.05.15, 19:33
//UPDATE:

Nach erneuten 3 Anrufen ging ein englischer Mitarbeiter ran. Dieser hat mir die IP's entsperrt, ich muss allerdings morgen nochmal den deutschen Support kontaktieren, um genauere Informationen zu erfahren, warum alle 3 IP's gleichzeitig gesperrt werden.

ferdl9999
05.05.15, 19:16
Gestern konnte ich die IP's entsperren, diese wurden dann bis heute ca. 18 Uhr auch nicht mehr gesperrt. Vorhin das gleiche wieder: Alle 3 IP's werden zum selben zeitpunkt gesperrt.

Ich habe gerade beim Support angerufen, 5 Minuten musste ich warten und durfte mir anhören, dass ich der 1. in der Warteschlange bin. Dann ging eine (vermutlich automatisierte) französische Damenstimme ans Telefon, die 2x das selbe wiederholte und dann auflegte....

TF_SChw@rZl!cht
04.05.15, 10:05
Ich kann zu 100% versichern, dass durch mich keine Angriffe von diesen IP's gestartet werden.
hmmm also laut den von dir geposteten Logs

Src. IP (also deine)
78.32.xxx.xxx:63728

Destination IP ... also das Ziel
36.249.111.93:17000

Sprich da geht definitiv etwas von deinen IPs aus ... Das denkt sich OVH nicht aus.
Wie meine Vorredner bereits sagen versuche mal mit iptables usw. das ganze einzugrenzen aber nur ein vnstat -l beobachten ist keine wirklich genaue Aussage ...

ps. iss aber lustig was angegriffen wird xD

China Quanzhou Quanzhou City Fujian Provincial Network Of Unicom

ferdl9999
03.05.15, 22:59
Nein, das habe ich noch nicht versucht. Ich will auch nicht zwingend alle anderen vServer, die gerade darauf laufen, herunterfahren müssen. Außerdem muss ich noch knapp 17 Stunden warten, bis ich die IP's wieder entsperren kann.
Ich werde morgen mittag mal den Support anrufen, es ist doch schon etwas komisch, wenn alle IP's zum selben Zeitpunkt gesperrt werden.

maxs97
03.05.15, 22:42
Hast du mal versucht das Hostsystem in den Rescue zu booten und die IPs zu entsperren? Wenn die IPs dann nicht mehr gesperrt werden liegts wohl an dir.

ferdl9999
03.05.15, 21:40
Welche Info meinst du? Man sieht Details zu der "Attacke".

Omaha
03.05.15, 21:22
Wo genau kann man die Info in diesem link sehen? http://pastebin.com/Hxc32qPF

_DS_
03.05.15, 18:51
Zitat Zitat von ferdl9999
Die IP's sind mir nicht bekannt
Ach so. Hätte ja sein können dass es immer die gleiche IP wie im Log ist, welchen du zur Verfügung gestellt hast.
Könntest aber trotzdem mal versuchen nen iptables Regel zu machen, welches die ausgehenden SYN Packete pro IP limitiert (recent / hashlimit). Ich weiss, ist keine Lösung, aber möglicherweise mal ein Anfang. Wäre schon komisch wenn dir einfach IPs gesperrt würden obwohl nichts rausgeht...

ferdl9999
03.05.15, 18:45
Zitat Zitat von ferdl9999
die Ziel-IP's sind mir auch vollkommen unbekannt
Die IP's sind mir nicht bekannt

_DS_
03.05.15, 18:40
Du kennst ja das Ziel das angegriffen wird. Wie wäre es mit einer iptables Regel? Dann könntest du dir absolut sicher sein dass keine Angriffe von deinem Server ausgehen würden. Einfach mal ne Log und ne Drop Regel reinhauen.

Edit: Btw. 1047 Bytes für ein SYN Packet?

ferdl9999
03.05.15, 17:49
Ein Angriff wird nicht gestartet. Als ich den Server entsperrt habe, habe ich den Traffic von einem der Server mit 'vnstat -l' überwacht. Er blieb konstant auf 0 bis maximal 10 Kbit/s Upload. Trotzdem wurde der Server gesperrt. Auch ist es komisch, dass alle 3 IP's zum selben Zeitpunkt gesperrt werden

dabla
03.05.15, 17:39
es sagt ja auch keiner das du persönlich die angriffe durchführst, aber irgendwas führt die angriffe durch und dein job ist es den übeltäter zu finden und zu verhindern das sowas wieder vorkommt.

ferdl9999
03.05.15, 16:48
Hallo,

ich habe seit gestern nacht das Problem, dass von einem meiner IP Blöcke 3 IP's immer gleichzeitig gesperrt werden.

Der IP-Block beinhaltet 4 IP-Adressen, von denen 3 immer zum selben Zeitpunkt gesperrt werden.

Das sind die genaueren Angaben des "Angriffes": http://pastebin.com/Hxc32qPF

Die Ziel-Adresse ist komischerweise bei allen der 3 IP's die selbe. Nachdem ich sie entsperrt habe, ist es eine andere.

Ich kann zu 100% versichern, dass durch mich keine Angriffe von diesen IP's gestartet werden.
Auch greifen andere Anwendungen nichts an, die Ziel-IP's sind mir auch vollkommen unbekannt.


Eine Mail an den Support habe ich bereits geschickt, da warte ich aber garantiert wieder mehrere Wochen auf eine Antwort.
Anrufen kann ich den Support erst morgen.

//EDIT: Hier nochmal ein Bild des IP-Blockes im Webinterface: http://fs2.directupload.net/images/150503/rfeo68yd.png