Har en "managed dedi" som varit lite problem med sista tiden. I samband med en uppgradering av Apache som inte blev riktigt lyckad råkade jag även ut för en DOS-attack enligt de som sköter servern. Jag å min sida tror att de helt enkelt försöker skyla över att de inte kan få igång servern, utan helt enklet skyller på något som de "vet" att jag inte kan kontrollera.

Undrar därför hur jag vet om min server utsätts för DOS-attack och hur jag kan kontrollera detta i efterhand. Loggar eller vad som helst där man kan utläsa vad som hänt.

Du kan läsa en vanlig accesslog, om dom nyttjar http när dom kör sin ddos. Annars har jag råkat ut för flertalet ddos där dom kör mot smtp, bara skickar massa gurgel, syns också i lämplig logg.

Tack! Ska genast kolla loggar och se vad jag får ut

Två alternativ:
- Jag fattar inte vad jag letar efter eller var
- De ljuger angående attacken

Kikar i accesslog och errorlog för apache utan att se något som jag tycker tyder på en DoS-attack. Det

error_log
samma rad ett antal gånger före...
[Mon Dec 18 06:10:35 2006] [warn] pid file /var/run/httpd.pid overwritten -- Unclean shutdown of previous Apache run?
[Mon Dec 18 06:10:35 2006] [notice] Apache/1.3.34 (Unix) mod_ssl/2.8.25 OpenSSL/0.9.7d FrontPage/5.0.2.2510 configured -- resuming normal operations
[Mon Dec 18 06:10:35 2006] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
[Mon Dec 18 06:10:35 2006] [notice] Accept mutex: flock (Default: flock)
[Mon Dec 18 06:14:59 2006] [crit] (48)Address already in use: make_sock: could not bind to port 443
[Mon Dec 18 06:15:48 2006] [crit] (48)Address already in use: make_sock: could not bind to port 443
[Mon Dec 18 06:17:50 2006] [notice] caught SIGTERM, shutting down
[Mon Dec 18 06:18:01 2006] [warn] pid file /var/run/httpd.pid overwritten -- Unclean shutdown of previous Apache run?
Samma rad ett antal gånger efter...

access_log
Dec 18 00:00:00 server newsyslog[85563]: logfile turned over


Tar tacksamt emot fler tips!

Det finns flera typer av dos attacker, vanligast mot webservrar är överbelastningsattacker där man laddar om något på sidan väldigt snabbt väldigt ofta. vanligtvis så ökar trafiken till servern när detta händer så lättast att hitta dos attacker tycker jag är att installera mrtg eller någon annan typ av graf över serverns trafik, du får kanske ta trafiken i dessa grafer med en nypa salt beroende på hur bra filtrering din leverantör har.

Jag driver tex en IRC server på ett av de större IRC chat nätverken och jag vet att när min graf visar 100Mbps attacker så är de vanligtvis på 1-2Gbps pga att det mesta filtreras ut innan det når servern och att servern beräknar medeltal, att den ena sekunden träffas av 2Gbps så räknas detta värde över en period av kanske 5 minuter och visas då i din graf som betydligt mindre än vad den verkligen var pga att leverantören filtrerade bort trafiken snabbt.

anyways.. när du i grafen ser tidpunkten för attacken så är det lättare att hitta källan till attacken i dina webloggar.

exempel på mrtg graph:

http://www.marcus.nu/junk/newyork.png

Attackerna förra veckan Måndags natt och under Onsdagen översteg 1Gbps (enligt företaget som sponsrar servern)

Jag tycker iallafall att mrtg är mycket bra att installera, du kan ju där bekräfta när en attack sker och när din leverantör ljuger.

Lycka till!

Kolla om apache inte körs fortfarande och ta bort pid filen och starta apache så bör den starta igen.

Kör netstat -epl | grep http för se om vad som binder porten fortfarande om apache inte vill gå igång.

Sedan kan du köra netstat -n | grep SYN_RECV | wc -l för se om det kommer massa syn paket.

Om du vill övervaka trafiken så är det bättre att du installerar snmp på servern samt kör något som kollar trafiken i realtid.

Tack, men du talar med en som kör win ;)

De har lyckats skrämma igång Apache nu och jag ska se över skyddet framöver. Dock är jag fortfarande fundersam över om det var DoS eller SbT (skit bakom tgb). Är det alt 2 så är det troligtvis dags att se sig om efter ett alternativ som kan ta hand om saker o ting. Har bett om mer information om attacken. De borde ju kunna visa på något eftersom de kunde se att servern var attackerad. Tror och hoppas jag i alla fall...

Tycker inte riktigt min bild matchar din...
http://www.gratisforum.se/garbage/graf.png
Ingen extrem topp senaste 24h i alla fall och övriga bilder ser liknande ut...

netstat -epl funkade inte som kommando. Kör FreeBSD :)

Om dom sa att det var en attack så måste dom självklart kunna visa upp det, men en syn attack behöver inte synas allt på trafiken dock.

Trodde du körde linux, i FreeBSD kör sockstat | grep httpd

Jag ser ingen attack, din apache ser ut att dött strax efter klockan 1 i natt (om tiden är i CET)
Om din server hade blivit utsatt för en attack så borde det synas i din graf.
Det behövs inte synas men min erfarenhet är att 99% av attackerna som mina servrar blivit utsatta för har synts som en ökning av trafiken till servern.

När jag kollar lite närmare på din graf så ser jag en minskning av trafik när vi svenskar normalt är hemma från jobbet och sedan ökar trafiken igen när vi sover.. så jag gissar att din server inte står i Sverige och har CET som timezone :)

Helt rätt, US-server.

Klipper och klistrar in lite frågort och svar som skickatsMed den info som getts - verkar allt detta rimligt? Just nu känner jag mig onormalt blond och blåögd (vilket jag de facto är... )

De svarar inte på vad du frågar.

Du frågade typ av attack det var, och var den kom ifrån, detta svarar de inte på.
De kanske inte loggar sin trafik så de själva inte vet var den kom ifrån.
Eller så var det kanske inte din server som var utsatt för attacken, det kan ha varit din grannes server och den påverkade flera servrar.

Jag tycker du skall ställa följande frågor (som du redan har ställt en gång)

"What kind of DoS attack was it?"
"From wich IP adresses did it originate"
"Why doesn't the attack show in my graphs?"
"What can be done to prevent this in the future?"

Du kan skriva att du samlar denna information för att göra en eventuell polisanmälan i framtiden. De brukar kunna skicka lite loggar.

I deras svar skriver de att du kan kolla öppna http port 80, fråga om de kan begränsa antalet öppna port 80 per IP.

Det verkar som om de menar att din apache port 80 har öppnas massor av gånger och att din apache inte klarade av så många öppna anslutningar samtidigt.

kolla din httpd.conf efter raden: "MaxClients ???"
Du kan kanske öka det numret, på den server som jag kör mirc.net på har jag 250 och det räcker för mig.

Men om detta händer igen så kanske de kan lägga en regel i brandväggen att begränsa antalet anslutningar till port 80 från samma IP varje sekund. Eftersom bara port 80 öppnas och inget laddas hem så borde detta inte synas din graf.

Uppdaterar med min senaste fråga:
Tack för alla tips i ärendet!!

niklas, en sak är viktig, du vill endast begränsa antaler connection per ip, dvs en rate limit, du vill inte minska det totala antalet connections. Det du vill göra är att hindra att samma ip öppnar massor av connections i en onormal hastighet.

Jag kan inte så mycket om denna typ avattacker då jag vanligvis är utsatt av packet kiddies, men jag gissar att en person som gör detta har ett par ips och et litet script som öppnar connections till din port 80 i ett rasande tempo. det du vill hindra är att de öppnar för många per ip men du vill fortfarande släppa fram vanlig trafik, på så vis så sänker inte dessa personer din server.

Alltså det kan du begränsa i kernel lätt, inget dom behöver göra. Begränsa antal syn etc.

Senaste svaret:
Får fortfarande inget svar på mina frågor varför jag börjar bli än mer fundersam...

Mitt svar:

Du bör kolla på http://www.freebsd.org/cgi/man.cgi?query=accf_http

Samt aktivera: sysctl net.inet.tcp.syncookies=1

Tack för alla info Patrik(web)! Har tipsat dem om detta och väntar nu med spänning på svar...

Senaste svaret:
Helt enkelt så finns inga spår efter attacken mer än ett par timmars nertid och en jäkla massa jobb...

Å så ligger det nere igen... :(

Jag föreslår att du satsar några hundringar från julkassan på någon som kan felsöka din server, närväl den kommer igång.

Man tror och hoppas ju att de som hyr ut "managed dedi" även har kompetensen att sköta det hela. Antingen har de inte det eller så har jag en massa otur just nu... :(

Problemet med att låta någon få tillgång till servern blir säkerheten, men om alternativet är att åka hiss i upptid så... Någon som känner någon som är duktig och åtar sig uppdrag av denna typ? OS är FreeBSD4

Skulle gärna se en svensk managed dedi, men de brukar bli hiskeligt dyra. Om någon har förslag så får ni gärna höra av er.

Se det mer som en second opinion på det hela.

Vad betalar du idag? av ditt inlägg att döma så har du burken utomlands nu

Man får vad man betalar för kommer säkert många tänka nu...
$90 för AMD Barton3000 / 1Gb RAM / 2x80Gb HDD / 1500Gb transfer / 24h service (Indien, tror jag)

Kan inte säga annat än att det har funkat mycket bra i 17 mån, men nu så funkar det plötsligt mindre bra...

Kikade på svenska alternativ när det var dags att välja, men de priser jag hittade låg på 2500kr och uppåt. Det var för sämre maskiner och betydligt "sämre service", så valet just då var enkelt.

Jag skulle klara mig med "svensk trafik" då jag aldrig varit över 100Gb transfer och även mindre utrymme, det är 24h service som är mest värt för min del (som ni säkert kan uttyda av vad jag skrivit här :D ) Och nej, vanligt webbkonto är inte att tänka på...

Hoppas inte servern står i indien? :P

FBSD4 var rätt old, men fungerar säkert bra.

Svårare hitta managed server i Sverige till bra pris, om man då inte hyr in en indie till det.

Men Jour/Drift är inte billiga saker, blir billigare för kunden att köpa 2 servrar och något kluster och lastbalanserare än jour normalt.

Men dedikerade servrar i Sverige brukar ligga från 500:- /mån. Då utan managed.

Man kan ju börja fundera var servern hamnat... :(
Sist en traceroute gjordes hamnade jag i US, men kanske är dax för en ny...


Om någon skulle ha tid över finns hela tråden här (vissa ointressanta delar borttagna): http://www.johansson.tk/Servstra/
Det började en bit innan det som skrivits här.

Som förut: Alla tips o tankar mottages tacksamt! Stort tack till er som engagerat er och lämnat tips!

Låter mycket ovettigt, hur svårt ska det vara för dom.

Bör inte vara någon större problem för dom debuga trafiken genom en portmirror eller att sätta upp ett filter för debug av syn paket.

Så det är troligt att det faktiskt rör sig om någon form av attack... Själv har jag mest varit inne på att de skyler över att de själva gjort fel med tanke på deras ovilja och oförmåga att besvara de frågor som ställts. Allt började ju trots allt med att de uppgraderade och kompilerade om Apache...

Händer inget redigt snart blir det till att börja skälla uppåt i företaget. Hur gärna man än vill skrika rakt ut så hjälper det knappast och leder mest troligt inte till snabbare lösning på problematiken.

Skickar över ditt förslag så får vi se hur de svarar på det. De har fortfarande inte kunnat ange om det är en attack eller ett mjuk-/hårdvarufel...