Beiträge von shibumi

Ich habe mich nochmal eingehend mit Herr Preuß unterhalten und kann seine von ihm gemachten Aussagen im Forum bestätigen.
Mein Fall war ein Ausnahmefall. Im Regelfall greift einfach das Nullrouting wenn der DDoS Filter von 5Gbit/s überschritten wird.
Wenn der DDoS nachgelassen hat wird der Server wie gewohnt einfach wieder aus dem Blackholing zurückgeholt und ist wie gewohnt erreichbar.
Das Thema hat sich für mich erledigt. Es sei denn jemand hat noch eine Frage. Ansonsten kann das Thema geschlossen werden.

Vielen Dank für den letztenendlich doch noch guten Service.

Zitat von [netcup] Brian

Guten Abend,

die DDos-Protection filtert bis zu 5 Gbit/s. Trotz aktiviertem Filter sind trotzdem noch knapp 2 Gbit/s an Traffic im Netzwerk eingegangen, was zu einer erheblichen Beeinträchtigung der Infrastruktur und somit anderer Kunden geführt hat. Daher wurde Ihr Server, um weiteren Schaden zu vermeiden, vom Netz genommen.

Die AGB sind hierzu eindeutig:

Alle relevanten Informationen sind in der Benachrichtigung der Abuse-Abteilung enthalten. Bei weiteren Fragen stehen wir im Support selbstverständlich zur Verfügung.

Alles anzeigen

Guten Abend,
in den log files war nur von 2-3Gbit/s die Rede. Ist damit der Überschüssige traffic gemeint oder der komplette traffic? Wenn ja liegt der traffic ja in eurem ddos filter Bereich.

Zu den AGBs:

ja ich kenne die AGBs. Ich war nicht verursacher des ddos also kann ich auch keine weiteren ddos angriff von so einer Bandbreite verhindern. In euren AGBs steht ja ganz klar drin:

Zitat

5.5 Der Kunde verpflichtet sich, bei der Nutzung der von netcup zur Verfügung gestellten Dienste die maßgeblichen gesetzlichen Vorschriften
einzuhalten und Maßnahmen zu unterlassen,die zu einer Störung des
Betriebs der Server von netcup führen könnten.

Es wurden alle gesetzlichen Vormaßnahmen. meinerseits eingehalten. Alle Software up to date und es wurde keine vulnerability ausgenutzt. Außerdem lag der Ursprung der Attacke nicht in meiner Verantwortlichkeit. Ich kann schlecht verhindern das jemand den Server unter ddos setzt. Das ist ein physikalisches Problem.

Außerdem steht in den AGBs:" ...Maßnahmen zu unterlassen..". Genau da liegt ja der Punkt. Ich habe keine maßnahme ergriffen euren Netzwerk betrieb zu schädigen. Oder ist das mieten eines Servers bei euch Maßnahme zur Schädigung eurer Infrastruktur?

Ich kann also schlecht eine Unterlassungserklärung unterzeichnen für etwas wofür ich nicht verantwortlich bin und was außerhalb meiner Verantwortlichkeit liegt.
Ich kann keine maßnahmen ergreifen gegen weitere ddos Angriffe von solch einer Größenordnung. Ich bin leider nicht Gott. Das Problem ist rein physikalisch euer ddos Schutz ist zu klein. Das ist mit Software meinerseits nicht verhinderbar das mehrere Gbit/s an ddos in euer Netzwerk eintrudeln.

Was soll ich Ihrer Meinung denn tun um zukünftig einen DDoS so einer Größenordnung zu verhindern? Ich kann da nichts machen das müssten sie genauso gut wissen wie ich.
Ich frag morgen mal beim support an.

Hallo Zusammen,
Heute Nacht wurde anscheinend mein vServer massiv mit einer NTP Reflection Attacke bombardiert. Mein Server war in diesem Angriff (laut Log) definitiv das Ziel und keine Quelle.

Netcup hat top reagiert und einen DDoS-Filter drübergelegt. Als der Angriff aber abnahm hat Netcup nun eine Abuse-Mitteilung gegen mich rausgehauen und fordert mich auf eine Unterlassungserklärung zu unterzeichnen.

Nun meine Frage: Wieso sollte ich eine Unterlassungserklärung unterzeichnen? Ich meine ich kann doch schwer verhindern, dass jemand anderes meinen Server mit einem DDoS von so einer Bandbreite attackiert. Mein Server war in diesem Vorfall definitiv das Ziel und nicht die Quelle. Die Software war up to date und es wurde keine Sicherheitslücke ausgenutzt. Es handelte sich wirklich um stupiden UDP DDoS gegen Random Ports in Bereichen über >20.000 wo ich gar keine Application laufen habe.

Wie würdet ihr darauf reagieren? Ich meine ich kann ja schlecht eine Unterlassungserklärung unterzeichnen und sagen das ich nie wieder unter einer DDoS Attacke stehe. Darauf habe ich keinen Einfluss.

Das einzige was ich machen kann ist die Firewall etwas agressiver zu machen aber das hilft nicht gegen einen DDoS von so einer Bandbreite.

Wie würdet ihr reagieren? Such ich mir nun einen neuen Hoster mit anständigen DDoS Schutz ala Cloudflare?

Netcup bietet ja zwar einen kostenlosen DDoS Schutz an mit dem sie toll werben aber der bringt mir nix wenn mich Netcup beim 2. Mal verklagen kann weil wieder irgendein DDoS eintrudelt worauf ich nun wirklich keinen Einfluss nehmen kann.

Zitat von [netcup] Felix

Guten Abend,

bitte aber zusätzlich bedenken, dass der Angreifer ggf. Zugriff auf den lokalen MySQL-Server hat, z.B. über PhpMyAdmin.

Mit freundlichen Grüßen

Felix Preuß

Alles anzeigen

Das muss natürlich mit einbezogen werden. Pardon. Ich denke euer Fix + Password Change sollte ausreichen bis das in den Repos ist.

Was man auf jedenfall tun sollte (falls man das in den MySQL Standard-Einstellungen geändert hat) ist, dass man den Zugang auf den MySQL-Server nur von Localhost sprich 127.0.0.1 erlaubt. Dies sollte den größten Schaden vermeiden. Außerdem sollte man nach dem Update unbedingt das MySQL Passwort ändern.

Wenn man sich die Patches bei Froxlor ansieht wird in der kommenden Version mit syslog geloggt anstatt in froxlor spezifische Files und das Passwort soll auch ersetzt werden.

Grüße

Christian Rebischke
(ebenfalls netcup kunde )

PS: Kleines Lob. Ihr reagiert echt irre schnell und vorbildlich auf sowas.

Hallo, ich habe mit DNS zeugs nicht soviel Ahnung. Deshalb verzeiht wenn die Frage blödsinn ist. Aber kann man den reverse dns record irgendwie ändern?

Im Moment sieht der rDNS record wenn man den zb mit nmap abfragt so aus:

v22037823472478.yourvserver.net (hab den geändert also nicht wundern wenns den nicht gibt )

ich hätte aber gerne als reverse dns record sowas hier:

http://www.meine-domain.meine-tld

Kann man das irgendwie ändern? Oder kann das nur der ISP?

Ich finde es halt irgendwie unschön, wenn man bei einem nmap Scan so eine kryptische domain bekommt oder wenn ich mit meinem IRC Bouncer auf irgendein Netzwerk verbinde von meinem server aus und ich dann immer diese kryptische domain als host habe..

vielleicht weiß da ja jemand was

EDIT: Das ganze kann man im Controlpanel ändern allerdings nicht unter domains sondern unter "Produkte" und unter "Server". Danke hat sich erledigt

Hallo,
Seit dem Update von systemd auf meinem vServer mit Archlinux lassen sich services nicht mehr starten/deaktivieren. Nicht mal eine die Ausgabe aller services via: "systemctl list-units" funktioniert. Stattdessen bekomme ich nur folgende Fehlermeldung:

Zitat

Failed to list units: Method "ListUnitsFiltered" with signature "as" on interface "org.freedesktop.systemd1.Manager" doesn't exist

Hat die irgendjemand von euch schonmal gesehen?. Ich sehe sie zumindest zum ersten Mal. Im Archlinux forum habe ich bisher darauf auch noch keine Antwort. Aber systemd scheint ja im Moment allgemein auf vServern Probleme zu machen wenn man zb diesen Artikel hier liest:

archlinux und dhcp auf kvm-server

Vielleicht hat ja einer von euch eine Idee dazu.