Beiträge von Nerdmind

Hallo,

Zitat von Galak

Man kann auch folgendes in crontab eintragen. Das funktioniert dann ohne Probleme, oder zusätzliche Scripte/Modifikationen.

mit einem systemd-Service ist es aber sauberer und man kann über systemctl den Service dann auch wieder stoppen, ihn deaktivieren oder den Status abfragen. Bei der Crontab-Lösung ist in deinem Beispiel nur der Befehl zum Starten. Was ist, wenn ich ihn beenden möchte? Dann muss ich den Prozess killen bzw. das Skript manuell mit dem stop-Parameter aufrufen. Ich habe keine Möglichkeit den Service über eine einheitliche Schnittstelle anzusprechen.

Hallo,

bei mir mache ich das ebenfalls mit einem systemd-Startskript. Der Teamspeak-Server läuft als teamspeak:teamspeak und ist installiert unter /opt/teamspeak/:

/etc/systemd/system/teamspeak.service:

[Unit]
Description=TeamSpeak 3 Server




[Service]
ExecStart=/opt/teamspeak/ts3server_startscript.sh start
ExecStop=/opt/teamspeak/ts3server_startscript.sh stop
PIDFile=/opt/teamspeak/ts3server.pid
Restart=always
StandardOutput=syslog
StandardError=syslog
SyslogIdentifier=teamspeak
User=teamspeak
Group=teamspeak
Type=Forking




[Install]
WantedBy=multi-user.target

Nachdem folgende Schritte erledigt wurden startet der Teamspeak bei jedem Systemstart automatisch:

• Daemon aktivieren: # systemctl enable teamspeak.service
• Daemon starten: # systemctl start teamspeak.service
• Daemon stoppen: # systemctl stop teamspeak.service

Nabend,

wollte nur mitteilen, dass der DDoS-Angriff vor über einer Woche aufgehört hat. In der Zwischenzeit hat er aber auf einen Server von einem Bekannten geschossen. Es gibt ein paar Leute, die mich unterstützt haben und alle parallel Sauerbraten-Server aufgesetzt haben. Selber Servername nur mit einer anderen Nummer. Aber bei ihm hat es jetzt auch aufgehört. Vermutlich hat der Typ jetzt gemerkt, dass er sowieso nicht viel ausrichten kann und hat aufgegeben.

Hallo,

Zitat von killerbees19

Wenn er gezielt den Port des Gameservers angreift, muss er den ja von irgendwo immer aktuell her haben. Ich kenne das Spiel nicht im Detail, aber da gibt es doch sicher einen Masterserver, an dem sich alle Gameserver anmelden? Deaktiviere diese Funktion einmal. Dann kennen nur noch zugelassene User den echten Port. Und mittels iptables sperrst Du einmal alle, außer bestimmte IP-Ranges von Freunden vom echten Port aus, damit ein Portscan auch nichts mehr bringt. Dabei musst Du aber darauf achten, dass sich das Verhalten vom gefilterten Port nicht von denen unterscheidet, die es gar nicht gibt. Stichwort DROP vs REJECT.

Das hilft zwar nichts gegen die eigentlichen Angriffe, die kann er weiterhin auf x-beliebige Ports durchführen, aber vielleicht vergeht es ihm nach einiger Zeit, wenn er glaubt, dass es den Gameserver gar nicht mehr gibt.

MfG Christian

Alles anzeigen

der Sauerbraten-Server meldet sich natürlich beim Masterserver damit er in der Serverliste auftaucht. So soll es ja auch sein. Wenn ich ihn nicht am Masterserver anmelden lasse dann kann ja keiner mehr den Server finden. Der war auch eher dazu gedacht öffentlich zu sein und nicht um nur mit Freunden zu spielen. Da gibt es sowieso nicht viele, die das spielen. Ich werde einfach mal abwarten ob der sich noch irgendwann gibt.

Morgen,

Zitat von Mainboarder

je nachdem wer dahinter steckt könntest du doch auch mal fragen, ob dir netcup eine andere ip geben könnte? Dann vielleicht noch die website vom server trennen. aber wenn es da jemand direkt auf dich angelegt hat, wird das leider auch nicht lang helfen.

dass man es direkt auf mich abgesehen hat zeigt sich ja schon daran, dass der Kerl immer wieder den Port ändert. Zwar schießt er jetzt immer noch auf den alten Port aber der wird wohl bald den Port wieder auf den aktuellen ändern. Und dann ändere ich den Port wieder. Eine andere IP wird da auch nichts bringen. Und die angegriffenen Ports werden in der Firewall auch gedroppt bzw. rejected – der Traffic kommt natürlich trotzdem an (bis auf das, was der DDoS-Filter wegfiltert; der jetzt in der Zwischenzeit wieder deaktiviert wurde).

Nabend,

letzten Sonntag hatte ich auf meinem Root-Server M einen Sauerbraten-Gameserver installiert weil mir das Spiel gefällt und ich auch einen eigenen Server bereitstellen wollte (und ich sowieso noch genügend Ressourcen dafür frei hatte). Am Montagabend um 22:20 Uhr kam dann die erste automatisierte E-Mail von Netcup rein, die mich über einen massiven DDoS-Angriff über UDP auf den Standardport des Sauerbraten-Servers informiert hat. In der darauffolgenden Nacht um 04:15 Uhr kam dann eine weitere automatisierte Mail mit der Information, dass der Angriff nachgelassen hat und man meine IP wieder direkt auf meinen Server geroutet hat.

Das UDP-Flooding von diversen IP-Adressen ging allerdings den ganzen Tag noch weiter, nur lief auf dem angegriffenen Port gar kein Service mehr da ich den Port geändert hatte. Am Dienstagabend um 22:50 Uhr kam dann wieder ein massiver Angriff auf den neuen Port rein, und ich habe den Port natürlich wieder geändert und der Sauerbraten-Server lief wieder latenzfrei weiter. Und in der Nacht auf Mittwoch um 04:15 Uhr dann wieder die automatisierte Mail mit der Information, dass der Angriff nachgelassen hat – das UDP-Flooding ging natürlich trotzdem noch weiter. Bis am Mittwochnachmittag um 14:00 Uhr natürlich wieder eine automatisierte Mail kam mit der Information, dass der DDoS-Filter aktiviert wurde. Dieser wurde dann wiederum in der Nacht auf Donnerstag um 03:35 Uhr deaktiviert.

Dann war mit den Mails über einen massiven DDoS-Angriff erst einmal Ruhe; das UDP-Flooding lief aber immer noch weiter und ich habe mich entschlossen ein paar Abuse-Mails an die ISP's der Angreifer-IP's zu schicken. Mir ist natürlich bewusst, dass die IP-Adressen möglicherweise gespooft sind, aber kann ja nicht schaden. Naja, das UDP-Flooding läuft durchgehend seit dem ersten Angriff am Montag und heute Morgen hatte ich schon gedacht, dass es jetzt langsam aufhört weil es nur noch eine einzige IP-Adresse war die UDP-Flooding auf einen längst geschlossenen Port gefahren hat.

Bis ich heute Nachmittag um 17:00 Uhr mit einem Bekannten auf dem Server war und wir beide runtergeflogen waren. Ein Blick auf den Netzwerktraffic zeigte, dass gerade mit 60 MByte/s Daten reingekommen sind und wieder einmal massiv der aktuelle Port des Sauerbraten-Servers mit UDP-Paketen zugemüllt wurde. Ein paar Minuten später kam dann natürlich wieder eine automatisierte E-Mail mit der Information, dass der DDoS-Filter aktiviert wurde. Der ist bis jetzt auch immer noch aktiv aber der Sauerbraten-Server läuft natürlich latenzfrei wieder unter einem anderen Port.

Hier ein paar Auszüge über die Bandbreite des Angreifers aus den automatisierten E-Mails von Netcup:

Montagabend:

Zitat

Direction: IN
Destination IP: xxx.xxx.xxx.xxx
Treshold Packets: 30000 packets/s
Sum Packets: 107753000 packets/300s (359176 packets/s)
Sum Bytes: 105.21 GByte/300s (2.81 GBit/s)

Dienstagabend:

Zitat

Direction: IN
Destination IP: xxx.xxx.xxx.xxx
Treshold Packets: 30000 packets/s
Sum Packets: 125016000 packets/300s (416720 packets/s)
Sum Bytes: 122.06 GByte/300s (3.25 GBit/s)

Mittwochnachmittag:

Zitat

Direction: IN
Destination IP: xxx.xxx.xxx.xxx
Treshold Packets: 30000 packets/s
Sum Packets: 112463000 packets/300s (374876 packets/s)
Sum Bytes: 109.76 GByte/300s (2.93 GBit/s)

Samstagnachmittag [heute]:

Zitat

Direction: IN
Destination IP: xxx.xxx.xxx.xxx
Treshold Packets: 30000 packets/s
Sum Packets: 97731000 packets/300s (325770 packets/s)
Sum Bytes: 95.34 GByte/300s (2.54 GBit/s)

Da fragt man sich doch wirklich wie bescheuert ein Mensch überhaupt sein kann. Ich habe niemandem etwas getan und trotzdem muss man einfach mal seinen E-Penis auspacken und damit meinen Sauerbraten-Server penetrieren. Ich habe auch keine "Feinde" oder so etwas. Ich habe auch keine E-Mail von einem Angreifer bekommen in der steht, was sein Problem ist. Keine Forderungen oder Ähnliches. Ich hatte kurz überlegt ob ich Strafverfolgungsbehörden über die Angriffe informieren soll, aber die werden das auch nur zu Protokoll nehmen und das war es dann. Deswegen hatte ich mich dann entschieden mal ein paar Logfiles zu erstellen und Abusemails an die ISP's der (eventuell gespooften) IP-Adressen zu senden. Von denen habe ich aber auch noch keine Rückmeldungen erhalten.

Naja, wollte nur mal darüber schreiben weil mir die Dämlichkeit von manchen Menschen langsam auf die Nerven geht. Was haltet ihr von so was? Denkt ihr, dass das irgendein unterbelichtetes Skriptkiddie ist? Jemand aus der Fraudszene? Jemand der sich DDoS-Service gemietet hat? Ich weiß es nicht. Ich weiß nur, dass dieser Mensch oben im Hirn nicht ganz normal sein kann …

Hi, bei mir läuft ein Raspberry Pi 2 mit dem neuen Raspian Jessie, und der wird derzeit hauptsächlich für Weechat in einer Screen-Session und als BitTorrent-Client verwendet.
Ansonsten hatte er auch mal das Open Source Media Center drauf, mit dem ich dann auch Streams und Videos geguckt habe.

Mit Touchscreen wäre aber auch cool: The Eagerly Awaited Raspberry Pi Display - Raspberry Pi

Hallo,

ich habe genau das gleiche Problem mit IPv6 nachdem ich vor ca. zwei Tagen erstmalig den IPv6-Support aktiviert habe und diese Schritte aus dem Wiki durchgeführt habe.
Nach einem poweroff und anschließendem start ist die Maschine für ebenfalls einen Zeitraum von ungefähr 30 Minuten wieder via IPv6 erreichbar.

Meine Kiste ist auch wieder vollständig erreichbar. Finde es natürlich auch gut, dass sich so schnell um Sicherheitslücken gekümmert wird. Bin generell mit euch extrem zufrieden.