Möjlig attack?
Hej!
Idag råkade jag ut för att en webbserver (Debian med Apache Tomcat) placerad direkt på Internet och utan brandvägg (servern är ej i drift än så brandvägg har ej hunnit konfigureras) sänkte hela Internetlinan.
Runt 1Gbit/s laddades upp från servern konstant i över en timme (disken på servern kan omöjligt lagra så mycket data). Trafiken passerar först genom en BGP-router (OpenBSD och endast router, ej brandvägg) och sen vidare ut till ISPn, och denna router nyttjade cirka 40% CPU under lasten och droppade nästan all annan trafik.
Jag körde TCPDump på webbservern och såg något Chines-IP som frekvent rullade förbi. Blev inte klok på vad det var för typ av trafik och hann inte undersöka det något vidare då jag blev tvungen att stänga ner burken för att förhindra nertid på andra tjänster.
Nu undrar jag om någon här har någon idé vad detta kan ha handlat om? En attack, och i så fall, hur kan den ha gått till? Kan det ha varit någon felaktig konfiguration som kan ha skapat någon loop i nätverket?
Skickades från m.sweclockers.com
Det låter som att den blivit utnyttjad som host för ddos.
Hur det har gått till är svårt att säga utan att veta vad som var uppe på din server.
Men poppis just nu är t.ex "DNS Amplification Attack".
Hade burken måhända en öppen resolver?
Eller kanske NTP?
En annan poppis grej är en öppen mail-relay - finns många som vill skicka spam.
Listan är lång på kul saker man kan göra med en dåligt konfigurerad server.
Att sätta upp en server direkt mot internet utan extern brandvägg är inga problem. Men du måste veta vad du gör och blocka trafik till okonfigurerade nätdaemons. Eller helt enkelt stänga av daemoner som inte ska användas.
Det låter som att den blivit utnyttjad som host för ddos.
Hur det har gått till är svårt att säga utan att veta vad som var uppe på din server.
En ren Debian med Apache Tomcat (ligger inga siter på den dock) och MySQL.
Kan Debian dåligt så vet inte vad som kommer på den från början (inte jag som satt upp servern, var bara med och felsökte).
Är det möjligt att spotta ut 1Gbit/s från burken utan att ha någon ren data att skyffla? Jag tänker att skicka DNS-querys inte borde ta så mycket bandbredd, men jag tänker kanske helt fel.
Att sätta upp en server direkt mot internet utan extern brandvägg är inga problem. Men du måste veta vad du gör och blocka trafik till okonfigurerade nätdaemons. Eller helt enkelt stänga av daemoner som inte ska användas.
Nej, det vet jag. Men tydligen inte den som satt upp servern, så det behöver vi inte diskutera här
DNS-amplification förstärker attacken med upp till 54 gånger enligt wikipedia, så spotta ut 1Gbit/s kan man göra så länge man kan skicka in ~19Mbit/s
- Idag Fler kärnor i Intels nya processorer för arbetsstationer 7
- Idag AMD släpper AI-processorer för bärbara datorer 21
- Idag AMD avtäcker Ryzen 9000 för stationära datorer – släpps i juli 59
- Igår Förbättrad Asus ROG Ally med dubbelt batteri 37
- 1 / 6 Läcka avslöjar nya detaljer om Ryzen 9000-serien 28
- Idag Snabbkoll: Är du fortfarande sugen på smarta hemmet-prylar? 0
- Igår Malware slog ut 600 000 routrar – gick inte att återställa 10
- Igår Undersökning: Stabilt internet viktigare än barnomsorg 21
- 1 / 6 Krönika: När datorn endast blivit ett jobbverktyg 33
- 1 / 6 Helgsnack: Tycker du bredband kostar för mycket? 218
- Snabbkoll: Är du fortfarande sugen på smarta hemmet-prylar?6
- CRT-reparatör i Stockholmsområdet.30
- Det här med uppdateringsfrekvens6
- Youtube snabbspolar automatiskt videor för Adblock-användare100
- AMD avtäcker Ryzen 9000 för stationära datorer – släpps i juli59
- Möten på jobbet, vad tycker ni om dessa?68
- Företagsnätverk utan router? Trådat -> Trådlöst0
- Ge oss bättre integritet, tack9
- Elbilar - Tråden för intresserade23328
- sodastream vs vanlig läsk206
- Säljes Custom tangentbords rensning!
- Säljes PowerColor RX 7800 XT 16GB Red Devil Limited Edition
- Bytes Mitt Red Devil 7800 XT mot ditt 3080 / 3080TI
- Säljes Dell skärmar, 3421WE m.m
- Säljes Gaming Dator - inga kvitto och skickas inte.
- Säljes Säljes Generation 1 Nintendo Switch(rcm bug enabled)
- Köpes TPM 2.0 Module Asrock
- Köpes i7-8700 (el. annan Coffee Lake)
- Köpes Söker en i5 från 8th/9th gen
- Skänkes 10" skåp med tillbehör
- Snabbkoll: Är du fortfarande sugen på smarta hemmet-prylar?6
- Fler kärnor i Intels nya processorer för arbetsstationer7
- AMD släpper AI-processorer för bärbara datorer21
- AMD avtäcker Ryzen 9000 för stationära datorer – släpps i juli59
- Malware slog ut 600 000 routrar – gick inte att återställa10
- Nvidia bygger AI-spelassistent som körs på grafikkortet30
- Förbättrad Asus ROG Ally med dubbelt batteri37
- Undersökning: Stabilt internet viktigare än barnomsorg21
- Microsoft överraskar med ny Windows 11-uppdatering23
- Krönika: När datorn endast blivit ett jobbverktyg33
Externa nyheter
Spelnyheter från FZ
- GTA 6 på pc? Take-Two-vd:n svarar med massa ord (som säger ingenting) idag
- Nvidia släpper G-Assist – en AI-driven spelassistent idag
- Rapport: Take-Two vill bli av med indieutgivaren Private Division idag
- Toys for Bob samarbetar med Xbox för sitt nästa spel idag
- Ny trailer för Netflix animerade Tomb Raider-serie idag