Blubb )

Seit gestern morgen gibt es DDOS aus antispam.de und megarausch.de. Mein vorteil war das ich dieses mal einen sauberen ssh zugriff hatte, Ich konnte also sauber arbeiten und versuchen es zu stopen. Nunja alles half nigs. Actro und ich haben den mehrer tools versucht um es relativ in den in den griff zu bekommen. Dank schak aus unserem Netzwerk (irc.unixfreunde.de #unixfreunde) konnte ich den Server ca 45 minuten online halten mit einem Tool names pound. Doch flitzte kacke. 40000 anfragen in der Sec verarbeitet kein Apache und wir mussten ihn wieder ausschalten. Gegen Abend kam mir die idee einfach die ips aus dem netstat zu dropen. Actro hatte da was feines gefunden,

netstat -apn|grep :$port |awk ‘{print $5}’|sort

Die zeile war gut aber nicht gut genug, der DDOS kam mit ca 12 mbit input rein geplastert. Also half das nigs wir mussten uns dringend was einfallen lassen. Ich habe den ein kleines script geschrieben was uns die Arbeit abnehmen sollte die ips aus den netstat zu dropt. Das hatte aber wieder einen hacken, der obrige code prasst nur ip+port. Also mussten ich das script erweiteren.

| cut -f1 -d:

damit wird alles ab : weg geschnitten also optimal fuer das was ich vorhatte. (danke an tengri fuer die glorreiche idee).

also macht ich mich ran und schrieb ein kleines script (nigs besonders ehr lachhaft fuer profies)

#!/bin/bash
port=”80″
pfad=”/root”

#netstat -apn|grep :80 |awk -F: ‘{print $5}’ |sort >$pfad/iptxt.txt
netstat -apn|grep :$port |awk ‘{print $5}’| cut -f1 -d: |sort >$pfad/iptxt.txt

for i in $(cat $pfad/iptxt.txt)
do
iptables -I INPUT -s $i -j DROP
done

Leider hat das ganze 2 hacken. 1 iptables dropt sich selber, Das heist er sperrt seine eigne ip, nur das ist recht uncool weil das zu nen reboot fuehrt. Und 2 dropt er auch unschuldige User. Aber wir hatten immer noch das problem das ddos auf port 80 mit ca 12 mbit rein pflastert. Also kein ruecksicht auf unschuldige User und ich testet das Script actro lies iptraf mit laufen so konnten wir sehn ob sich was tut. Ja es hat zum Teil sehr gut geklappt die ersten 30 mal gg lief alles sauber und wir konnte den stream bis runter auf 300 kb druecken. Und genau da passiert es den auch, der Server hatte sich selber gedropt und wir mussten rebooten. Es war mitraweile 3 uhr nachts. Ich suchte weiter das Netz durch nach moeglichkeiten, da ist mir eine Firewall names lutelwall aufgefallen und sie tat genau das was ich suchte. Sie dropt alles via mac adresse (allerdings ist mir der part mit den mac adressen heute morgen erst aufgefallen). Ich habe sie installiert angepasst und los geging es. Der apache kam langsam wieder hoch. Mittels mod_bwshare konnte ich den apache halbwegs stabiel halten, ok es waren ladezeiten von graussame 2 min aber es lief immerhin stabiel. Seit heute mittag ca 14 uhr ist der DDOS abgeflacht und mr ist wieder normal erreichbar. Antispam wird leider immer noch massiv DDOS.
Ich habe hier noch ein paar Screens fuer euch von iptraf.