Hallo,

bin nicht sicher, ob das hier hin gehört, wüßte aber auch nicht wohin sonst :-)

Ich habe vor kurzem eine Art "Hacker"-Angriff gehabt, der einfach  wie ein wahnsinniger große Mengen an Daten von meinem Server geladen hat. Innerhalb eines Tage hatte ich 290 GB (!) Traffic und der Server hat nicht mehr richtig mit gemacht. Normalerweise habe ich etwa 20GB am Tag.

WIe kann ich erkennen, ob jemand EXTREM viele Daten / Dateien lädt und diese Person dann blocken? Geht das?


Geht sowas per Script oder brauche ich da Hardware für?

Danke und Gruß,
Oliver

ich weiss, dass dieser fehler häufiger gemacht wird und will deshalb auch nicht böse werden, aber das was dir da passiert ist, hat mit hackern überhaupt nix zu tun. such am besten mal bei wikipedia nach hacker.

zu deinem problem: da reicht eigendlich nen script aus, was den traffic zählt und dann irgendwann den download zu macht. google z.b. mal nach "traffic control script" da könnte schon was dabei sein.
du könntest evtl. auch ein script schreiben, über das man grössere dateien runterladen kann, das könnte dann bei 1.000 downloads einfach dicht machen.

wurde der traffic denn über einzelne, besonders grosse dateien oder über sehr viele normale seitenabrufe erzeugt?

snort kann das: http://www.snort.org/

ich hab hier noch was schönes gefunden. ipac-ng sumiert den netztraffic deiner maschiene auf und kann daraus statistiken bauen. da das programm standartdatenbanken verwendet könntest du problemlos per Perl darauf zugreifen.

mod_bandwidth ist dein Gerät :) zumindest für den Apache und für den FTP Server kannste Quotas einrichten ... ganz einfach :)

guten morgen,

auch wenn ich mich sehr spät zurück melde: Ich habe Eure Vorschläge verfolgt, konnte mich die letzten Tage aber nicht einloggen. DAU-Fehler :-)

Danke für Eure Tipps. Es ist aber so, dass mein Server dermaßen am Limit lief, dass jedes weitere Sript wahrscheinlich das Netzteil zum brennen gebracht hätte.

Ich habe auch mit meinem Support gesprochen. Die sagten, wenn eine Flut von Anfragen über Trojaner kämen, könnte man das nicht von regulären Anfragen unterscheiden. Stimmt Ihr dem zu?

Danke und Gruß,
Oliver

naja, wenn es eine art von "evil bit" gäbe, an dem man trojaner erkennen könnte, währe vieles einfacher. aber leider versuchen die programmierer von trojanern, viren und würmern alles, damit ihre erzeugnisse nicht weiter auffallen.

oder um's kurz zu machen, man kann dem traffic nicht ansehen, ob das vom webbrowser oder von einem trojaner oder sonst was kommt.

man kann aber mit entsprechender software, snort wurde weiter oben schon mal genannt, versuchen zu erkennen, ob die anfragen, die bei einem server ankommen, mehr oder weniger sinnvolle useranfragen sind, oder nur den zweck haben, deinen server zu belasten (Denail of Service) oder gar bekannte angriffe sind. da solch eine erkennung aber relativ rechenaufwendig und die pflege mit arbeit verbunden ist, wird dein webhoster so was nicht anbieten, da muss man sich i.d.r. selbst drum kümmern.

Wie wäre es das Logfile zu analysieren und zu schauen, welche unberechtigten Anfragen an welche URI kommen?
Dann mit einer .htaccess per ModRewrite diese Anfragen auf localhost umleiten. :cool:\n\n

<!--EDIT|GwenDragon|1109670990-->

@GwenDragon: Und wie willst Du diese Anfragen eindeutig identifizieren?? Über IP-Adressen geht es nicht (unbedingt), da Proxies verwendet werde können oder DoS-Attacken werden von mehreren Rechnern aus betrieben...
Und das Logfile zu analysieren kann auch seeeeehr langwierig werden.

Bei vielen Attacken werden nicht einfach wild irgendwelche Dateien aufgerufen, sondern gehen meistens ganz gezielt (siehe Santy-Wurm gegen phpBB). Da kann man es nicht unbedingt ausmachen, was jetzt eine reelle Anfrage ist und was Angriff ist!

Bei mir haben es sich dusselige Kiddies angwöhnt anstatt mit der Domain mit der IP in der URI anzufordern. Welcher normale User macht das wohl? Selbst Robots benutzen Domains in URIs.

Ansonsten kann eineR doch wohl sehen, wernn Requests sehr oft an bestimmte URI kommen oder sind das verschiedene URI?

<begin mode="megaschlausei">Wenn natürlich ein DoS läuft und 30.000 Rechner immer nur die Startseite eines Forums aufrufen, dann gibt es keine Chance - außer Forum abschalten. Der DoS läuft doch meist nur, solange das Forum antwortet.</end>\n\n

<!--EDIT|GwenDragon|1109673427-->