komische netstat -a Ausgabe / Server gehackt?

simcard · Beitrag von **simcard** » 09.09.2007 18:51:54

Hallo,

habe hier einen Keyweb Server mit Debian Etch (Upgrade von Sarge). Server läuft seit Monaten stabil und wird regelmäßig aktualisiert. Seit ca 2 Tagen ist er etwas langsamer als sonst und bei einer netstat-a Ausgabe fällt mir auf:

tcp 0 0 irc.irchighway.net:www p5799879A.dip.t-di:4933 SYN_RECV
tcp 0 0 irc.irchighway.net:www p5799879A.dip.t-di:4665 SYN_RECV
tcp 0 0 irc.irchighway.net:www e179214070.adsl.al:2066 SYN_RECV
tcp 0 0 irc.irchighway.net:www p5488EA38.dip.t-di:3613 SYN_RECV

Ich kenne mich mit Servern nur mittelmäßig aus, hab die wichtigsten Grundregeln drauf und lese viele Tutorials. Habe via updatedb & locate nix gefunden, die genannte Domain kenne ich auch nicht. chkrootkit und clamav finden nichts.. Auf dem Server läuft Plesk 8.2. Portscan von anderem Root-Server aus via nmap sagt nix verdächtiges.

Der Support meinte ich solle die Domain via iptables sperren, aber ich hab keine Ahnung wie und mit welchem Befehl

Kenne mich mit iptables nur sowenig aus, das ich weiß wie ich IPs sperre wenn sie auf den Server zugreifen wollen ..

Könntet ihr mir hier bitte weiterhelfen und sagen, wie ich das sperre und evtl. weiter analysiere? Bin über jede Hilfe dankbar, wenn ihr mehr Infos benötigt fragt mich bitte.

Lieben Dank im Voraus,
David

gms · Beitrag von **gms** » 09.09.2007 21:23:50

simcard hat geschrieben: Der Support meinte ich solle die Domain via iptables sperren, aber ich hab keine Ahnung wie und mit welchem Befehl Kenne mich mit iptables nur sowenig aus, das ich weiß wie ich IPs sperre wenn sie auf den Server zugreifen wollen ..

eine Möglichkeit wie du zu der entsprechenden IP komnst:

Code: Alles auswählen

gms1 gms # getent hosts irchighway.net
85.214.44.218   irchighway.net

simcard hat geschrieben: Könntet ihr mir hier bitte weiterhelfen und sagen, wie ich das sperre und evtl. weiter analysiere? Bin über jede Hilfe dankbar, wenn ihr mehr Infos benötigt fragt mich bitte.

eigentlich sind das noch keine Verbindungen, sondern Verbindungsversuche (werden mit den Status "SYN_RECV" gekennzeichnet)
Von daher droht jetzt auch keine unmittelbare Gefahr, aber wenn sie dein System belasten, solltest du schon darauf reagieren.
Ich verwende für solche Zwecke das "recent" Modul von iptables, mit dem ich eine Blacklist aufgebaut habe. Für eine einzelne Domain genügt aber auch eine einfache DROP Regel.

Gruß
gms

simcard · Beitrag von **simcard** » 10.09.2007 09:55:36

Hey,

die SYN_RECV waren nur Auszüge, die Ausgabe ist ja noch viel länger..

tcp6 0 0 irc.irchighway.net:www kenny-fw.avenet.s:45269 TIME_WAIT
tcp6 0 0 irc.irchighway.net:www ns.s09.mgw-servers:4522 VERBUNDEN
tcp6 0 0 irc.irchighway.net:www dslb-088-064-225-0:2083 VERBUNDEN
tcp6 0 0 irc.irchighway.net:www ns.s09.mgw-servers:4512 VERBUNDEN
tcp6 0 0 irc.irchighway.net:www ns.s09.mgw-servers:4542 VERBUNDEN
tcp6 0 0 irc.irchighway.net:www ns.s09.mgw-servers:4540 VERBUNDEN

etc.

Die IP der Domain habe ich längst gesperrt, aber das bringt ja nix weil das irc.highway.net die Lokale Adresse ist... Und wie ich die via iptables sperre weiß ich nicht, hab schon verschiedene Befehle probiert, dennoch ists immernoch bei netstat -a dabei

gms · Beitrag von **gms** » 10.09.2007 10:46:53

simcard hat geschrieben: Die IP der Domain habe ich längst gesperrt, aber das bringt ja nix weil das irc.highway.net die Lokale Adresse ist...

ich nehme an, obiger Befehl funktioniert mit jedem anderen Hostnamen auch

du könntest aber auch

Code: Alles auswählen

netstat -tan

verwenden

wenn du die IP herausbekommen hast, kannst du diese auch sperren, ein ganzes Netzwerk kannst du mit folgendem Befehl aussperren

Code: Alles auswählen

iptables -I INPUT -p tcp -s NETWORK/NETMASK -j DROP

Code: Alles auswählen

tcp6 0 0 irc.irchighway.net:www ns.s09.mgw-servers:4512 VERBUNDEN

Für den Apache gibt es einige Module welche die Auswirkungen von DoS Attacken reduzieren, z.B mod-evasive

Gruß
gms

simcard · Beitrag von **simcard** » 10.09.2007 10:58:21

Hi,

mod_evasive ist bereits aktiv

Bei netstat -irgendwas werden die IPs und hostnames immer nur verkürzt ausgegeben, kann man das irgendwie vollständig ausgeben lassen?

Es bringt ja wenig wenn ich dauernd diese IPs banne, weil es oftmals andere sind... Eigentlich müsst ich doch nur irgendwie verhindern, dass man auf dieses irc.irchighway.net zugreifen kann

(

Vielen Dank schonmal für deine nette Hilfe

gms · Beitrag von **gms** » 10.09.2007 11:02:03

bin gerade drauf gekommen, daß ich was übersehen habe

Code: Alles auswählen

tcp6 0 0 irc.irchighway.net:www ns.s09.mgw-servers:4512 VERBUNDEN

da steht tcp6 am Anfang, daher werden deine IP Tables Regeln mit den IPv4 Adressen auch nicht funktionieren, da mußt entsprechende Regeln für IPv6 definieren

simcard · Beitrag von **simcard** » 10.09.2007 13:19:12

achja :/ kA welche Regeln du meinst bzw wie die Befehle dafür sind.
Naja Keyweb hat mir nochmals geantwortet und geschrieben, ich solle

iptables -A INPUT -s irc.irchighway.net -j DROP

eingeben, nachdem ich das tat ist die Load von 20 auf 0,5 gesunken & alles wieder ok

Habs mal hier geposted weil vielleicht irgendwann mal jemand via google das hier findet & diesen Befehl benötigt.

lg,
David

gms · Beitrag von **gms** » 10.09.2007 14:06:59

simcard hat geschrieben:achja :/ kA welche Regeln du meinst bzw wie die Befehle dafür sind.

habe gemeint, daß es dir nichts nützt, wenn du deine Regeln mit IPv4 Adressen anlegst. Ansonsten unterscheidet sich der Vorschlag von keyweb durch nichts von meinem Vorschlag

debianforum.de

komische netstat -a Ausgabe / Server gehackt?

komische netstat -a Ausgabe / Server gehackt?

Re: komische netstat -a Ausgabe / Server gehackt?