Hey Leute,
musste in meinem Postfach heute mittag diese Nachricht feststellen:
Guten Tag Pascal RXXX,
vor wenigen Minuten fand ein massiver Angriff auf Ihr Produkt (Zenziert) statt. Wir routen daher die betroffene IP-Adresse Zenziert über unseren kostenlosen DDoS-Filter. Dieser filtert alle Pakete, die den DDoS verursachen. So bleiben die Dienste Ihres Servers die nicht Angegriffen werden, weiterhin erreichbar. Bedingt durch die Filterung kann es zu etwas längeren Paket-Laufzeiten kommen.
Wir prüfen in regelmässigen Abständen, ob die Angriffe nachgelassen haben. Sobald dieses passiert ist, werden wir die IP-Adresse Zenziert wieder direkt auf Ihren Server routen.
Hier finden Sie Logauszüge, die den Angriff beschreiben:
Start: 2020-09-18T11:36:45+00:00
Destination: Zenziert
Direction: Incoming
Bandwidth: 1766.55627441 Mbit/s
Packets per second: 506440 pps
The following attack types were recognized:
The "UDP" host alert signature severity rate configured for "netcup" has been exceeded for 3 minutes, changing Severity Level from medium to high (expected rate: 250.00 Kpps, observed rate: 506.44 Kpps) (boundary: managed object)
The "UDP" host alert signature severity rate configured for "netcup" has been exceeded, changing Severity Level from low to medium (expected rate: 250.00 Kpps, observed rate: 479.13 Kpps) (boundary: managed object)
The "ICMP" host alert signature has been triggered at router "bbr01.anx03.vie.at". (expected rate: 2.50 Kpps, observed rate: 5.91 Kpps)
The "NTP Amplification" host alert signature has been triggered at router "bbr01.anx25.fra.de". (expected rate: 200.00 Mbps/100.00 Kpps, observed rate: 513.91 Mbps/140.51 Kpps)
The "UDP" host alert signature has been triggered at router "bbr01.anx25.fra.de". (expected rate: 100.00 Kpps, observed rate: 142.92 Kpps)
The following pattern were detected:
Protocol: UDP
Destination Port: 19311
Source Networks: 0.0.0.0/0
Source Port: 123
Traffic Data: 539307562 pps
Protocol: UDP
Destination Port: 19311
Source Networks: 200.34.142.185/32
Source Port: 123
Traffic Data: 118530574 pps
Protocol: UDP
Destination Port: 19311
Source Networks: 58.49.160.166/32
Source Port: 123
Traffic Data: 108945880 pps
Protocol: UDP
Destination Port: 19311
Source Networks: 219.142.118.110/32
Source Port: 123
Traffic Data: 76038293 pps
Protocol: UDP
Destination Port: 19311
Source Networks: 0.0.0.0/0
Source Port: 123
Traffic Data: 848322524 pps
Following Combinations are now ratelimited:
SRC: 0.0.0.0/0 SRCPORT: 123 DSTPORT: 19311 PROTO: UDP
SRC: 200.34.142.185/32 SRCPORT: 123 DSTPORT: 19311 PROTO: UDP
SRC: 58.49.160.166/32 SRCPORT: 123 DSTPORT: 19311 PROTO: UDP
SRC: 219.142.118.110/32 SRCPORT: 123 DSTPORT: 19311 PROTO: UDP
SRC: 0.0.0.0/0 SRCPORT: 123 DSTPORT: 19311 PROTO: UDP
Mit freundlichen Grüßen
Ihr netcup Team
---------------------------------------------------------
netcup GmbH
Geschäftsführer:
- Dipl.-Ing. (BA) Felix Preuß
- Dipl.-Ing. (BA) Oliver Werner
Daimlerstr. 25
D-76185 Karlsruhe
Telefon: +49 721 / 7540755 - 0
Telefax: +49 721 / 7540755 - 9
Internet: www.netcup.de
EMail: mail@netcup.de
USt.-IdNr.: DE262851304
---------------------------------------------------------
nun stelle ich aber fest, das unter dem genannten port 19311 ich aber nichts am laufen hab oO
der server wird mit nem centoswebpanel betrieben (nur dns, mail und website + ts3) - mehr läuft da nicht drauf.
erste mal dass mir sowas passiert ist, gibt es jetzt etwas bestimmtes zu beachten?
das ganze ist eige sehr unbekannt - die website / ts wird nur von mir und paar kumpels verwendet - wovon aber niemand das wissen hätte, nen ddos zu starten
wie würdet ihr jetzt vorgehen?
lg
edit:
habe mal geguggt woher zb ip : 200.34.142.185 kommt (mexico) ...
gibts echt leute auf der welt - die random leute ddosen?^^
meine betroffene ip ist auch nicht die "haupt" ip sondern eine zusätzlich gebuchte von netcup.