wurde geddost? - benachrichtigung netcup

  • Hey Leute,


    musste in meinem Postfach heute mittag diese Nachricht feststellen:

    nun stelle ich aber fest, das unter dem genannten port 19311 ich aber nichts am laufen hab oO

    der server wird mit nem centoswebpanel betrieben (nur dns, mail und website + ts3) - mehr läuft da nicht drauf.


    erste mal dass mir sowas passiert ist, gibt es jetzt etwas bestimmtes zu beachten?

    das ganze ist eige sehr unbekannt - die website / ts wird nur von mir und paar kumpels verwendet - wovon aber niemand das wissen hätte, nen ddos zu starten :)


    wie würdet ihr jetzt vorgehen?

    lg


    edit:

    habe mal geguggt woher zb ip : 200.34.142.185 kommt (mexico) ...

    gibts echt leute auf der welt - die random leute ddosen?^^


    meine betroffene ip ist auch nicht die "haupt" ip sondern eine zusätzlich gebuchte von netcup.

    - RS Brezn (Pterodactyl; Nextcloud und geheime Erotiksammlung, damit die Freundin nichts davon mitbekommt)

    - VPS 200 G10 (Mailkuh)

    - Webhosting Bestprice Classic

  • Der Sinn eines (D)DoS ist oftmals (vereinfacht gesagt), die Leitung so auszulasten, dass nichts mehr durchgeht. Insofern ist es völlig egal, ob auf diesem Port etwas lauscht. Bei UDP ist das durch den fehlenden Handshake besonders einfach. Dem Angreifer ist es also egal, ob er eine Antwort bekommt. Hauptsache der Link ist so dicht, dass es bei legitimen Paketen zu Packet Loss kommt.


    Dass die IP-Adresse aus Mexiko oder China ist, spielt keine wirkliche Rolle. Meistens werden dafür gehackte Systeme missbraucht. In diesem Fall sieht es durch den Sourceport 123 aber eher nach einer NTP amplification attack aus.


    Ob Du das primäre Ziel warst, oder nur jemand wahllos andere IP-Nachbarn miteinbezogen hat, wirst Du kaum feststellen können.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Viel interessanter finde ich die Fakten, die wir über den (D)DoS Schutz herausfinden können:

    1.) er funktioniert

    2.) er läuft auf den Routern und kann so effektiv die Faser zum Host schützen

    3.) er läuft in der Anexia Infrastruktur

    4.) er erkennt Attack Pattern und hat unterschiedliche Stufen


    Insofern: gutes Feature, gute Arbeit [netcup] Felix P.  [Anexia] Theo V. :thumbup:

  • vielen Dank für die Antwort - ich bezweifle da ich gezielt das opfer war :D daher eher das mit dem nachbarn vermutlich x)


    danke euch!

    - RS Brezn (Pterodactyl; Nextcloud und geheime Erotiksammlung, damit die Freundin nichts davon mitbekommt)

    - VPS 200 G10 (Mailkuh)

    - Webhosting Bestprice Classic

  • Na, ich weiß nicht... Wenn ich mir dein Profilbild so ansehe... 8);)

    so abschreckend, dass die Welt es zerstören will? haha :D

    - RS Brezn (Pterodactyl; Nextcloud und geheime Erotiksammlung, damit die Freundin nichts davon mitbekommt)

    - VPS 200 G10 (Mailkuh)

    - Webhosting Bestprice Classic