Opferlamm-Clan Board
www.opferlamm-clan.de
Verantwortlich für diese bösen Machenschaften: siehe Impressum
Registrierung Kalender Mitgliederliste Suche Häufig gestellte Fragen Zur Startseite

Opferlamm-Clan Board » Call of Duty 4 » Call of Duty 4 - Hilfe » [Hilfe] Verständnissfrage : COD4 Server, Ports & DDOS » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen [Hilfe] Verständnissfrage : COD4 Server, Ports & DDOS
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
fenguri
Weichei


Dabei seit: 01.03.2012
Beiträge: 2
[Hilfe] Verständnissfrage : COD4 Server, Ports & DDOS Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen
Hallo zusammen,

vorab vielen dank für die Mühe die ihr euch hier gemacht habt.
Meinen COD4 Server habe ich dank euch ans laufen bekommen.

Heute wende ich mich an euch, in der Hoffnung das ihr mir, besser gesagt uns, bei einem Problem behilflich sein könnt.

Gestern kam uns eine Abuse email von unserem Serverbetreiber ins Haus mit dem Vermerk das unser Server für DDOS Attacken missbraucht würde.
Wir hatten Anfangs sofort den COD Server im Verdacht, allerdings wurde der Angriff auf das Fremdsystem nicht ausgehend von unserem Server Port per UDP gestartet sondern über TCP.

Meiner info nach nutzt der COD Server lediglich die Ports UDP 20800, UDP 20810 und UDP 28960.
Die Angriffe dagegen gingen von folgenden Ports aus :

54558, 54559, 54560, 54561, 54562, 54563, 54564, 54565

und gingen auf den Port 80 des Fremdsystems.

Ich möchte noch ein mal betonen das es sich hier bei um das Protokoll TCP Handelt.
Dennoch haben wir nun unsere Zweifel, ob diese Attacken in irgendeinem zusammenhang mit dem COD4 Server stehen könnten und hoffen nun, hier einen Tipp zu bekommen.

Vielen Dank im vorraus.

es grüsst euch euer fengu

Dieser Beitrag wurde 5 mal editiert, zum letzten Mal von fenguri: 01.03.2012 13:16.
01.03.2012 13:08
 fenguri ist offline Beiträge von fenguri suchen Nehmen Sie fenguri in Ihre Freundesliste auf
Kelli
... sehr viel alleine


Dabei seit: 09.11.2006
Beiträge: 2.504
Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen
Unwahrscheinlich das CoD hier die Ursache ist.
Der im Moment massiv ausgenutzte Bug funktioniert nur deswegen weil udp benutzt wird und bei udp die Absender Adresse "frei erfunden" sein kann.
Bei tcp funktioniert das nicht.

Ich denke CoD ist nicht dran schuld. Aber wenn das ein dedicated / root Server ist wird wohl irgendwas anderes darauf laufen.

Die abgehenden Ports sind erstmal nichtssagend. Üblicherweise werden diese eher zufällig von einer Anwendung ausgewählt, auf der Absender-Seite ist es nicht wichtig und nicht sinnvoll sich auf einen bestimmten Port festzulegen.

__________________
„ Allah ist Groß, und wir sind armselige Tröpfe mit unseren ganzen Wissenschaften Herrlichkeit.“

Dieser Beitrag wurde 420 mal editiert, zum letzten Mal von der Bundesregierung Niemand: Heute, 11:42.

https://kkde.de/scum/
01.03.2012 13:53
 Kelli ist offline Homepage von Kelli Beiträge von Kelli suchen Nehmen Sie Kelli in Ihre Freundesliste auf
fenguri
Weichei


Dabei seit: 01.03.2012
Beiträge: 2
Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen
Hi Kelli,

vielen Dank für deine Antwort.

TCP setzt ja einen Handshake vorraus, von daher kann es nicht der get_status Bug sein. Hatte nur zweifel ob es evntl irgendein anderer Bug sein könnte, eine google suche brachte mich diesbezüglich leider nicht weiter.

Es handelt sich bei unserem Server um einen Linux root.
Der Server läuft nun seid ca 8 Jahren Problemlos, einzig der COD4 Server ist erst kürzlich dazu gekommen.
Deswegen der Verdacht.

Naja, da werden wir wohl noch mal nach haken müssen wann genau dieser Angriff stattgefunden haben soll.
In unseren Logs tauch zumindest im bezug zu der IP nichts verdächdiges auf, lediglich die abgeblockten get_status Anfragen wurden Protokolliert.

Sollte noch jemand einen Tipp oder "sachdienliche Hinweise" haben .....

Vielen Dank

MfG fengu

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von fenguri: 01.03.2012 14:31.
01.03.2012 14:30
 fenguri ist offline Beiträge von fenguri suchen Nehmen Sie fenguri in Ihre Freundesliste auf
Kelli
... sehr viel alleine


Dabei seit: 09.11.2006
Beiträge: 2.504
Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Zitat:

Original von fenguri
Sollte noch jemand einen Tipp oder "sachdienliche Hinweise" haben .....


Im Zweifelsfall kannst du nur in den System Logfiles Glück haben.
/var/log/messages.log
/var/log/auth.log

ftp, Webserver logs

netstat -ano
lsof -Pi
history
ps -ef

Allerdings wenn man nicht gefunden werden will wirst du nichts finden, dann ist es das beste neu aufzusetzen, auch wenn dir das sicher nicht gefällt.

__________________
„ Allah ist Groß, und wir sind armselige Tröpfe mit unseren ganzen Wissenschaften Herrlichkeit.“

Dieser Beitrag wurde 420 mal editiert, zum letzten Mal von der Bundesregierung Niemand: Heute, 11:42.

https://kkde.de/scum/
01.03.2012 18:53
 Kelli ist offline Homepage von Kelli Beiträge von Kelli suchen Nehmen Sie Kelli in Ihre Freundesliste auf
Deichgraf
Prof. Dr. D. Drüsendieb


images/avatars/avatar-1472.jpg


Dabei seit: 08.04.2006
Beiträge: 1.581
Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen
Setzt eine abgehende DDoS Attacke nicht vorraus, das jemand den Rootserver (ein Passwort) geknackt hat und sich damit Zugang verschafft hat?

__________________
01.03.2012 19:46
 Deichgraf ist offline E-Mail an Deichgraf senden Beiträge von Deichgraf suchen Nehmen Sie Deichgraf in Ihre Freundesliste auf
KillerPikachu
Steuerzahler


images/avatars/avatar-1549.jpg


Dabei seit: 01.11.2006
Beiträge: 220
Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen
Nicht, wenn der wirkliche root die Anwendung startet oder eine Anwendung mit entsprechenden Priviliegien besitzt Augenzwinkern
06.03.2012 17:33
 KillerPikachu ist offline E-Mail an KillerPikachu senden Beiträge von KillerPikachu suchen Nehmen Sie KillerPikachu in Ihre Freundesliste auf
Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
Opferlamm-Clan Board » Call of Duty 4 » Call of Duty 4 - Hilfe » [Hilfe] Verständnissfrage : COD4 Server, Ports & DDOS

Impressum ||Datenschutzerklärung

Forensoftware: Wbb - WoltLab GmbH || zum Archiv