Frage zu DDOS

    Hallo, in diesem Thread werde ich sicherlich viel geflamed aber ich hoffe das mir auch jemand helfen kann.


    Mein Server wurde deaktiviert weil er offensichtlich bei einem DDOS Angriff mit gewirkt hat.
    An und für sich habe ich den Server immer mit bester sorgfalt verwaltet und von einem Bekannten IT Techniker regelmässig drüber schaun lassen ob alles passt.
    Dies war offensichtlich nicht bzw. nicht mehr der Fall und ein böser Mensch konnte meinen Server missbrauchen.


    Meine Frage nun: Was kann ich effektiv tun damit dies nicht mehr passieren kann? Ich gebe es offen und ehrlich zu das ich mich mit dieser Art von DDOS Schutz nicht wirklich auskenne da ich bisher immer Linux genutzt habe und da nie was war. Diesmal habe ich jedoch Windows Server 2008 am laufen gehabt.



    Ich hoffe darauf das ich nicht arg viel am Deckel bekomme und dafür um so mehr hilfreiche Antworten.



    Danke und liebe Grüße

    Ich sags mal so, ich weiss nicht ob ich vielleicht einen Fehler gemacht habe, jedoch war meines Wissens und nach meinem Wissensstand die Firewall eingeschalten und hätte funktionieren müssen.


    Das Problem ist das ich einen Port ohne Dienst offen gelassen habe kurzfristig, kann sein das dies der Fehler war? Diese Ports waren aber andere als die vom Angriff.


    Kann man im Rettungsmodus eine art Log finden wo man sehen kann wo da was passiert ist? Derweil hab ich zwar leider noch keinen Zugriff da ich keine Verbindung zu meinen Server bekomme aber das würde ich wenn möglich gleich als erstes abchecken.

    So tief stecke ich im Windows nicht drin.
    Ich denke der IIS wird sein Zeugs in die Eineignisanzeige schreiben.
    Und die anderen Dienste haben vermutlich eine eigene Datei.
    Wobei sich jedoch die Frage stellt, ob diese nicht manipuliert worden sind.

    Na wichtig wäre erst mal rauszufinden oder wenigstes es zu versuchen was genau passiert ist.
    Denn auch unter Linux kann man dir die Kiste aufmachen, wenn man "mist" baut.

    Eigentlich nicht :S wenn das stimmt was du sagst wirds vermutlich das gewesen sein :(... aber Owncloud läuft eigentlich schon sehr lange drauf so wies zum schluss war.



    Es ist richtig das ich wissen sollte was passiert ist nur wie finde ich das raus? Hab aktuell nicht mal zugang zum Server und wenn dann nur via minimal linux via rettungssystem :S

    Zu Owncloud gucke dir mal bitte Changelog | ownCloud.org an. Fast jede neue Version gab es wegen security fixes. Der häufige Kommentar Will be disclosed 2 weeks after the release deutet auf eine sehr schwere Lücke hin. Ein Release nur für Stabilität und Verbesserung war bei Owncloud bisher sehr selten.


    Es muss nicht Owncloud gewesen sein, aber die Chance ist nicht gering.

    "Security is like an onion - the more you dig in the more you want to cry"

    Ach du ... gut das war mir nicht bewusst. Dann werde ich wohl owncloud das nächste mal weg lassen. Hast du vielleicht noch ein paar tipps damit ich sowas vorbeugen kann? Abgesehen von den Programmen etc.