Am Dienstag, 14. September 2004 08:56 schrieb Anatol Schirmer:
Hilfe Liste!
Von unserem Rechner gehen angeblich Deniail of Service Attacken aus! Haben gestern Nacht dazu ein nettes Abuse-Schreiben vom betroffenen Admin bekommen.
In dem Schreiben wird uns vom Admin vorgeworfen, daß er nun zum zweiten Mal DoS Attacken gegen seine WebSite festgestellt hat. Es soll sich um gespoofte Pakete handeln, aber man könne einwandfrei unsere IP feststellen. Der Admin hält sich für "einen sehr freundlichen Menschen" (Zitat) und bittet "nur um Begründung dieses Angriffes" (noch n Zitat).
Is interessant, wie will er denn da deine IP wissen, gespooft heisst gefälscht. Das solltest du dir vielleicht mal erklären lassen.
Würde er nocheinmal einen solchen Angriff sehen, - und ich kann mir sicher sein, daß man alles loggen würde - "werden nachweisbare Schadensersatzansprüche in 6stelliger Höhe" (Zitat) auf mich zu kommen. Lass dir die Logfiles zusenden. Die müssen in solchen Fällen immer mitgeschickt werden.
Wir haben natürlich besseres zu tun, als anderer Sites lahm zu legen - wüßte auch so ganz aus dem hohlen Bauch gar nicht mal wie!
Frage: Wie seriös ist sowas? Erste Vermutung ist, daß es echt ist, denn was bringt einem anderen so eine Mail, wenn sie gefakte ist? Es war ja nicht mal ein Attachment dran, daß nen Trojaner enthalten könnte.
Andererseits wäre es ne sehr coole Methode einer DoS Attacke auf ganz andere Art: Schicke ne Abuse Mail und der betroffene Betreiber schaltet - verschreckt von 6 Stellen - sofort seine Kiste aus ;-) Gute Wirkung und viel weniger Aufwand ;-)
Es gibt ein paar Punkte, die mich an der Echtheit allerdings doch etwas zweifeln lassen:
a) Meines Wissens machen DoS Attacken nur von mehreren Rechnern aus Sinn - die Masse machts. Und Admin klingt so, als ob wir die einzigen wären. Nicht unbedingt. Das was du meinst, sind DDoS Attaken(Distributed Denial of Service). Wenn man einen Fehler in der Webserversoftware ausnutzt, wodurch der Server/Serversoftware abstürzt, kann man das auch als DoS Attacke bezeichnen. Lass dir mal erklären, was da angeblich genau passiert ist.
b) man weiß doch, daß die Server-Betreiber so etwas in aller Regel nicht von sich aus machen, sondern daß es da in den meisten Fällen Blinde Passagiere gibt. Und der Admin tut so, als ob die Eigentümer selbst handeln würden. Wenn mir soetwas auffallen würde, dann würde ich natürlich auch schreiben, aber mit dem Tenor, daß es dort vermutl. einen ungebetenen Gast gibt.
Erklär ihm, dass dir von solchen Aktivitäten nichts bekannt ist und dass du vermutest, dass dein Server missbraucht worden sein könnte und du dem jetzt auf den Grund gehen wirst. Ein Anfang wäre, mit rpm --verify -a | grep -v "/etc" zu überprüfen, ob die Dateien noch in unverändertem Installationszustand sind. Aber über Systemkompromittierung musst du dich mal im Internet belesen, das ist ein sehr komplexes Thema.
c) Ich habe vom Spoofen zwar rudimentäre, prinzipielle Ahnung, aber noch nie gemacht ;-) Sind IPs versteckt und nur schwer erhältlich? So klingt es ja ... Spoofing ist, wenn jemand seine Absender-IP-Addresse fälscht, wodurch der Server seine Antwortpakete ins Leere schickt. Ausserdem ist es so eigentlich nicht mehr möglich, den wirklichen Absender zu ermitteln.
d) wenn spoofing gemacht wird, dann brauche ich doch einen Server, der die gespooften Pakete auspakt und entsprechend ihrer eigentlichen Aufgabe behandelt, oder? Also, wenn ich nen Peer2Peer über Port 80 betreibe, dann muß doch jemand die Pakete wieder auspaken und sie richtig zustellen ...
Wenn eine Abesender-IP-Addresse gefälscht wird, wird diese von den Routern im Internet weitergeleitet, da diese Meist nach Ziel-IP-Addressen arbeiten. Wenn das Paket beim Zielserver ankommt, packt dieser das aus, und schickt ein Antwort Paket an die falsche Addresse und hält die Verbindung für eine bestimmte Zeit offen, da er auf eine Antwort wartet, die er natürlich nie bekommt. Wenn man davon genügend Pakete verschickt, kann der Server irgendwann keine neuen Verbindungen mehr annehmen. Siehe dazu TCP-Handshake und SYN-Flooding.
e) ich würde nicht nur um eine Begründung bitte, warum man diese DoS Attacken ausführen würde, sondern fordern, daß dies aufhört. Warum so sanft, wenn er im nächsten Atemzug so hart ist?
Gute Frage....
f) kann man einfach so 6stellige Schadensersatzansprüche stellen und durchgesetzt bekommen? Das kommt auf den Schaden an, der dadurch entstanden ist. Allerdings mag ich bezweifeln, dass er nachweisen kann, dass das wirklich von eurer IP kommt, wenn es sich wirklich um gespoofte Pakete handelt. g) er schreibt ja von "nachweisbare Schadensersatzansprüche". Was sind _nachweisbare_ Schadensersatzansprüche?? Entweder ich habe sie oder ich habe sie nicht. Aber man kann doch Ansprüche nicht nachweisen, sondern nur einen Schaden, oder??
Ich bin leider kein Jurist...
Nun ein paar praktische Fragen:
1) Wie kann ich dem ganzen Nachgehen? Wie bekomme ich raus, ob die Anschuldigungen stimmen und was kann ich dagegen tun? Ich vermute mal, ich muß mir irgendwie den Traffik ansehen und analysieren. Aber wie? Mit tcpdump/ethereal. Musst mal versuchen zu beobachten, von welchem PC viele Pakete zum Netz des "Opfers" gehen. Lass dir dazu mal die IP-Addresse des Servers geben.
2) In wiefern können mir die LogFiles vom Admin helfen?
Sehr viel, da steht vom Prinzip her alles drin, was der Admin auch darüber weiß.
3) Kann ich die Firewall (SuSEFirewall2) so dicht bekommen, daß ich die gespooftenn Pakete blocke - ich schätze mal nicht, da das Gespoofte vermutlich über Port 80/22 oder so geht, was eh offen ist/sein muß.
Ne eigene Firewall zu schreiben wäre in solchen fällen wahrscheinlich sinnvoller. da solltest du dann versuchen, die Anzahl der Pakete, die auf die IP des Servers des Admins gehen, zu zählen und evtl. zu limitieren. Ich weiss aber nicht, ob iptables das mit TCP-Paketen auch kann.
Was haltet Ihr von dem Ganzen?
Is ne blöde Situation, aber damit muss man immer rechnen, wenn man einen Server im Internet betreibt. Mfg, Thomas