DoS: Was tun?

[Martin Ebert <ma...@wb-online.de>]

Liebe Liste,

shit pattens: Irgend ein Idiot hat seinen Wurm-Serverpark angeworfen und
http://www.klug-suchen.de weggeplaettet. Der Apache ist jetzt erstmal down.

Einige Fakten:
18.Juli - 20.Juli 210326 verschiedene IP Adressen die alle die Datei "o.php" herunterladen wollen: Hab ich nicht; habe nichtmal PHP. Der apache 1.3 ist
handgefeilt; Module nicht nachladbar.

Ein Start des httpd hatte gerade zur Folge, da� innerhalb von 7 Minute 9575 
Anfragen, also 23/s auf den Server eingegangen sind.

Das ist eine etwas unlustige Situation: Mir f�llt nichts ein, was ich machen
k�nnte - au�er: Den Server unten lassen. 

Ein permanenter Redirect auf 127.0.0.1 w�re zwar was. Aber die Idioten
schreiben mir ja binnen Minuten die Logs voll. Und ich zahle den Traffic. :-(

Solche Angriffe gingen ja eigentlich gegen die Gro�en: MS, SCO, ebay. Oder
habe ich da was verpa�t und es ist neuerdings Volkssport, mittlere Server
wegzupl�tten? (Mit 200.000 IP ???)

Hat "Klug Suchen" was b�ses oder politisches getan? 
Eigentlich nicht. Wenn ich davon absehe, dass ich 650 Anmeldungen, die
_angeblich_ Suchmaschinen waren, in die Tonne getreten habe, vor vier Tagen.

Fragen:
* ich w�rde die Bande gern einem konkreten Wurm zuordnen - mgl?
* Hat jemand mit _dieser_ Situation Erfahrung?
* Hat eine (weit verbreitete) PHP-Software ein File "o.php" in der Wurzel?
  Also im Stammverzeichnis?
* Jede Idee, jeder Kommentar, jede Info gern gesehen.

Denn es kann ja wohl schlecht sein, dass man so mirnichts, dirnichts einen
extablierten Dienst wegknallt ... Schei�e auch. - Entschuldigung.

Freundliche Gr��e, Martin Ebert
-- 
http://www.wb-online.de
http://www.klug-suchen.de

Re: DoS: Was tun?

[Michael Boeni <mb...@shift-think.net>]

Hallo Martin

Ist ärgerlich...

Kurze Frage: Arbeitest Du mit einem TCP-wrapper? Es würde helfen Wenn
Du einen entsprechenden Log-auszug senden könntest....

lg,
Michael


====Tuesday, July 20, 2004, 10:51:35 PM, you wrote: =========
Liebe Liste,

shit pattens: Irgend ein Idiot hat seinen Wurm-Serverpark angeworfen und
http://www.klug-suchen.de weggeplaettet. Der Apache ist jetzt erstmal down.

Einige Fakten:
18.Juli - 20.Juli 210326 verschiedene IP Adressen die alle die Datei "o.php" herunterladen wollen: Hab ich nicht; habe nichtmal PHP. Der apache 1.3 ist
handgefeilt; Module nicht nachladbar.

Ein Start des httpd hatte gerade zur Folge, daß innerhalb von 7 Minute 9575 
Anfragen, also 23/s auf den Server eingegangen sind.

Das ist eine etwas unlustige Situation: Mir fällt nichts ein, was ich machen
könnte - außer: Den Server unten lassen. 

Ein permanenter Redirect auf 127.0.0.1 wäre zwar was. Aber die Idioten
schreiben mir ja binnen Minuten die Logs voll. Und ich zahle den Traffic. :-(

Solche Angriffe gingen ja eigentlich gegen die Großen: MS, SCO, ebay. Oder
habe ich da was verpaßt und es ist neuerdings Volkssport, mittlere Server
wegzuplätten? (Mit 200.000 IP ???)

Hat "Klug Suchen" was böses oder politisches getan? 
Eigentlich nicht. Wenn ich davon absehe, dass ich 650 Anmeldungen, die
_angeblich_ Suchmaschinen waren, in die Tonne getreten habe, vor vier Tagen.

Fragen:
* ich würde die Bande gern einem konkreten Wurm zuordnen - mgl?
* Hat jemand mit _dieser_ Situation Erfahrung?
* Hat eine (weit verbreitete) PHP-Software ein File "o.php" in der Wurzel?
  Also im Stammverzeichnis?
* Jede Idee, jeder Kommentar, jede Info gern gesehen.

Denn es kann ja wohl schlecht sein, dass man so mirnichts, dirnichts einen
extablierten Dienst wegknallt ... Scheiße auch. - Entschuldigung.

Freundliche Grüße, Martin Ebert
-- 
http://www.wb-online.de
http://www.klug-suchen.de

================================================


--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------

RE: DoS: Was tun?

[Sebastian Lechte <se...@stian.lechte.net>]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

hallo liste,


> > * Hat eine (weit verbreitete) PHP-Software ein File "o.php"
> in der Wurzel?
> >   Also im Stammverzeichnis?

die suche danach ist ziemlich sinnlos. unter den opfern sind viele
universitaeten, teils webseiten von oeffentlichen einrichtungen.
ausschliesslich deutsche. mutexe lassen auf eine herkunft aus tschechien
schliessen.


mein tipp:
bei zugriff auf o.php die betreffende ip-adresse fuer 24 stunden in einer
firewall blocken, bis mindestens zum 5. may 2006 :)


gruss,

sebastian


- --
GPG: http://sebastian.lechte.net/gpg_pubkey/

- -----BEGIN GEEK CODE BLOCK-----
Version: 3.12
GCS d- s:+ a-- C++ UL++++ P+ L++ E--- W N+ o-- K- w
O- M- V- PS PE- Y+ PGP+ t 5 X R tv+ b+ DI-- D+
G e* h+ r !y+
- ------END GEEK CODE BLOCK------

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (MingW32) - GPGrelay v0.93

iD8DBQFA/bkeZq9Jy2QYaj0RAv5HAJ9DbZtoOXHzBu4W8Trgl1hlB1N8awCgjx+I
cGxmYDdNt0A3a34luR+Bo3U=
=MvYP
-----END PGP SIGNATURE-----

--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------

Re: DoS: Was tun?

[kl...@gmx.de]

Moin Martin, moin Liste,

On 20 Jul 2004 at 22:51, Martin Ebert wrote:

> 18.Juli - 20.Juli 210326 verschiedene IP Adressen die alle die Datei "o.php" 
> herunterladen wollen: 

> * Hat eine (weit verbreitete) PHP-Software ein File "o.php" in der Wurzel?
>   Also im Stammverzeichnis?

inurl:"o.php" bei Google ergibt unter den ersten 100
auffällig viele Ergebnisse aus dem XXX-Bereich mit Fehlermeldungen.

inurl:"p.php" (zum Vergleich) weist diesen Schwerpunkt nicht auf.

Habe bei einigen rausgepickten mit Googles link:blabla übrigens keine
verlinkenden Seiten gefunden (wäre ja auch zu einfach ...).

Aber als Anhaltspunkt zum Weitersuchen mag's reichen.

Gruß
Klaus



--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------