DDOS vServer

  • Hey Leute,


    kämpfe mich seit Tagen mit einem DDOS mit Spitzen zu ca. 750MB/s rum. Habe schon alle Domains umgeleitet und alle Dienste runtergefahren, das System wird trotzdem weiterhin auf Port 110 geflutet und mein Mail Postfach läuft über vor Sperr und Entsperr Mails :D


    Wäre mal nett zu wissen, ob erstens jemand anderes schon Erfahrungen hier gemacht hat (vllt ist es nur ein random angriff?), und bzw. ob oder warum Netcup diese IPs nicht sofort ins leere laufen lässt. Hetzner tut dies ja auch erfolgreich, und soweit ich weiss sind es die selben Systeme.


    Gruss

  • Ich glaub das meine Server für den GB Bereich nicht so interessant sind hahahaha :D Es ist ja auch soweit alles zu :D Es wird einfach draufgeballert, auch wenns keine Antwort gibt :D

  • Ich hatte gerade am wochenende ein SASL DDoS oder langzeit massenbruteforce. War aber verhältnismäßig klein und konnte durch meine automatiken spurlos abgefangen werden. Fail2Ban Sperrmails landen bei mir in einem toten Mailaccount (löscht 30 tage alte nachrichten automatisch), der aber auch noch an google weiterleitet. Von dort werfe ich dann immer einen blick drauf. Bei zu vielen Sperren erhalte ich eine alarmierung aufs telefon, sodass ich da auch instant benachrichtigt werde und bei bedarf reagieren kann.


    Eine möglichkeit ist vielleicht noch einen bekannten reverseproxy dienst zu nutzen.
    Da müsstest du aber die DNS Server für deine Domains ändern und danach möglichst eine neue ip nutzen. Ich weiß aber nicht wie kulant netcup da ist.


    port 110 kannst du, wenn du nur verschlüsseltes pop nutzt eigentlich auch komplett dicht machen.

  • Ich machs hier, interessiert vielleicht nicht nur dich...


    also ich monitore mit munin.
    da gibt es in der /etc/munin.conf:


    Code
    # Drop somejuser@fnord.comm and anotheruser@blibb.comm an email everytime
    # something changes (OK -> WARNING, CRITICAL -> OK, etc)
    contact.me.command mail -s "Munin notification ${var:host}" mail@deinedomain.tld


    und kurz darunter findest du den host tree:


    Code
    [host.deinedomain.tld]


    Darunter stellst du die schwellwerte ein.


    Code
    fail2ban.bruteforcelogin.warning 90


    Sendet eine Warnung (es gibt auch noch critical) an mail@deinedomain.tld, wenn fail2ban mit der regel bruteforcelogin 90 mal angeschlagen und aktive actions hat.


    Vorher natürlich noch fail2ban als plugin für munin aktivieren (sollte reichen einen link aus /usr/share/munin/plugins/fail2ban in /etc/munin/plugins zu setzen, aber google mal lieber)


    es bietet sich an eine externe mailadresse mit imap unterstützung zu nutzen. oder die mail an ein mail to sms gateway senden

  • bitte und danke.


    geht eigentlich hauptsächlich darum leichter an diese informationen von leuten zu kommen, die nicht wissen wie sie die abrufen. einfach letzte vier zeichen des profils ansagen lassen und schon kann man deren daten copy&pasten und z.b. nach der ip in logs suchen :)