Vorwurf von DoS Attacken

Probleme mit einem Clientprogramm? Oder einen Tipp dazu? Dann hier posten...
Nachricht
Autor
duftkerze
Vereinsmitglied
Vereinsmitglied
Beiträge: 953
Registriert: 19.05.2002 15:45
Wohnort: Weiße Elster rechtes Ufer

Vorwurf von DoS Attacken

#1 Ungelesener Beitrag von duftkerze » 17.11.2015 21:26

Mein Serveranbieter verlangt im Zusammenhang mit Majestic12 die Sperrung des Zielports 53.

Wie ist die beigefügte Logdatei zu verstehen?
14:39:59.240119 IP 85.93.89.81.41838 > 85.25.128.10.53: 22317+ A? 86a88.comsbd8855.xn--com808-5w1lv46gxv3f.com.startdedicated.de. (80)
> 14:39:59.240174 IP 85.93.89.81.35982 > 85.25.255.10.53: 11751+ A? mad555.xn--com808-5h9kx37ixzk.com.startdedicated.de. (69)
> 14:39:59.240788 IP 85.93.89.81.46215 > 85.25.255.10.53: 14379+ A? tbpdirectorynow.info. (38)
> 14:39:59.241334 IP 85.93.89.81.34310 > 85.25.255.10.53: 10963+ A? pk235.ushg615.xn--com808-ys1lf2bl23v.com.startdedicated.de. (76)
> 14:39:59.241487 IP 85.93.89.81.44401 > 85.25.128.10.53: 31929+ A? www.creditcardcredit.net. (42)
> 14:39:59.241495 IP 85.93.89.81.37888 > 85.25.255.10.53: 41925+ A? www.tbplay168.info.startdedicated.de. (54)
> 14:39:59.251170 IP 85.93.89.81.54983 > 85.25.255.10.53: 35379+ A? www.jwtxr.ayfez.pw. (36)
> 14:39:59.252650 IP 85.93.89.81.60399 > 85.25.128.10.53: 10405+ A? tbpdirectorynow.info.startdedicated.de. (56)
> 14:39:59.286717 IP 85.93.89.81.46429 > 85.25.128.10.53: 4964+ A? t77999.com530630.xn--com8008056-i08se68ej29m.com. (66)
> 14:39:59.287023 IP 85.93.89.81.59742 > 85.25.128.10.53: 42129+ A? 73186.com335533.xn--com8008056-6s3p1683c3jc.com.startdedicated.de. (83)
> 14:39:59.306226 IP 85.93.89.81.52160 > 85.25.128.10.53: 65344+ A? www.tbplay918.info. (36)
> 14:39:59.369246 IP 85.93.89.81.59075 > 85.25.255.10.53: 32206+ A? www.828.bpqin.party. (37)
> 14:39:59.381929 IP 85.93.89.81.38253 > 85.25.255.10.53: 25091+ A? 595939.comwd5555.combotong988.comjiangshan0.com73186.com335533.xn--com8008056-xi2p691jlycvt9j.com.startdedicated.de. (133)
> 14:39:59.392506 IP 85.93.89.81.55023 > 85.25.128.10.53: 60503+ A? crhistianmusic.net. (36)
> 14:39:59.393624 IP 85.93.89.81.35322 > 85.25.255.10.53: 24136+ A? www.tc-todtnau.info. (37)
> 14:39:59.411884 IP 85.93.89.81.43570 > 85.25.128.10.53: 50699+ A? crhisg.net.startdedicated.de. (46)
> 14:39:59.427406 IP 85.93.89.81.60748 > 85.25.255.10.53: 43778+ A? crhistianmusic.net.startdedicated.de. (54)
> 14:39:59.439444 IP 85.93.89.81.54574 > 85.25.128.10.53: 47197+ A? xn--www-vx2h.811891.xn--com80789-rx6nx24osehs00i4dlkhb.com. (76)
> 14:39:59.440164 IP 85.93.89.81.36496 > 85.25.128.10.53: 21429+ A? 38388hk.comswty9966.xn--com808135-sw7n365s8zdvn9e.com. (71)
> 14:39:59.440679 IP 85.93.89.81.32871 > 85.25.128.10.53: 23294+ A? xh3222.com990959.xn--com808135-sb8of12h.com. (61)
> 14:39:59.455743 IP 85.93.89.81.49899 > 85.25.255.10.53: 27251+ A? 38388hk.comswty9966.xn--com808135-sw7n365s8zdvn9e.com.startdedicated.de. (89)
Man kann nicht alles auf einmal tun.Aber man kann alles auf einmal lassen.
Bild

ChristianB
Vereinsvorstand
Vereinsvorstand
Beiträge: 1915
Registriert: 23.02.2010 22:12

Re: Vorwurf von DoS Attacken

#2 Ungelesener Beitrag von ChristianB » 17.11.2015 21:42

Welche IP bist du? Ich nehme mal an du bist 85.93.89.81 und 85.25.255.10 ist der DNS Server deines Serveranbieters. Das ist klar das der sich beschwert wenn du so viele Anfragen losjagst. Besser wäre wenn du deinen Server auf einen anderen DNS Server umstellst. Einen der die Last auch vertragen kann. Z.Bsp. die Google Public DNS Server (8.8.8.8 oder 8.8.4.4). Das heißt aber nicht das du dann automatisch keinen Traffic mehr bei startdedicated.de verursachst. Wenn der Google DNS die Adresse nicht kennt dann muss dein Server bei startdedicated.de nachfragen.

Ich kenne den majestic Client zu wenig um über die Konfigurationsmöglichkeiten bescheid zu wissen. Aber eine gewisse Drosselung sollte da ja einstellbar sein. Also das nicht immer derselbe DNS belastet wird.

duftkerze
Vereinsmitglied
Vereinsmitglied
Beiträge: 953
Registriert: 19.05.2002 15:45
Wohnort: Weiße Elster rechtes Ufer

Re: Vorwurf von DoS Attacken

#3 Ungelesener Beitrag von duftkerze » 17.11.2015 21:58

Die erste Mail lautete:

Ihr DNS-Dienst wurde für DoS Attacken missbraucht.

eine weitere Mail...
wie Sie den Log Files entnehmen können, richten sich die Attacken gegen den
Port 53 auf anderen Servern. Sie müssen also entsprechend den Ziel-Port 53
sperren.
Es geht also nicht um denen hauseigenen DNS-Server.

Ist es nun der Webcrawler oder tatsächlich ne DoS-Attacke.

Server scheint mittlerweile gesperrt zu sein.
Man kann nicht alles auf einmal tun.Aber man kann alles auf einmal lassen.
Bild

Benutzeravatar
yoyo
Vereinsvorstand
Vereinsvorstand
Beiträge: 7860
Registriert: 17.12.2002 14:09
Wohnort: Berlin
Kontaktdaten:

Re: Vorwurf von DoS Attacken

#4 Ungelesener Beitrag von yoyo » 17.11.2015 22:46

Auch win Webcrawler muß für jede domain, die er Crawled, erstmal die IP ermitteln, also den DNS befragen.
HILF mit im Rechenkraft-WiKi, dies gibts zu tun.
Wiki - FAQ - Verein - Chat

Bild Bild

ChristianB
Vereinsvorstand
Vereinsvorstand
Beiträge: 1915
Registriert: 23.02.2010 22:12

Re: Vorwurf von DoS Attacken

#5 Ungelesener Beitrag von ChristianB » 17.11.2015 22:56

Ob das der Crawler oder ein Virus auf dem Server ist kann ich dir nicht sagen. Ich vermute aber mal es ist der Maestic-Bot. Du müsstest das korrellieren können wenn der Crwaler abspeichert welche Seiten er wann bearbeitet hat und schauen ob im gleichen Zeitraum was in dem logfile steht was zu den Seiten passt. Wenn das nicht geht den majestic auf dem Server abschalten und schauen welches Programm weiterhin DNS Abfragen generiert. Wenn dann kein Traffic mehr ist dann ist der Crawler die DoS Quelle und muss gedrosselt (oder umgeleitet) werden.

Das ist schon der hauseigene Server. Beide IP Adressen sind von der PlusServer AG und dein Server wo Majestic drauf läuft nutzt standardmässig den vom Anbieter. Natürlich werden auch andere DNs Server kontaktiert aber halt nicht so oft. Du solltest erstmal reagieren damit du wieder Zugriff bekommst und erstmal Majestic ausschalten kannst und dann eine Überprüfung des Servers machen.

duftkerze
Vereinsmitglied
Vereinsmitglied
Beiträge: 953
Registriert: 19.05.2002 15:45
Wohnort: Weiße Elster rechtes Ufer

Re: Vorwurf von DoS Attacken

#6 Ungelesener Beitrag von duftkerze » 18.11.2015 05:14

Du solltest erstmal reagieren damit du wieder Zugriff bekommst und erstmal Majestic ausschalten kannst und dann eine Überprüfung des Servers machen.
Die chance habe ich leider nicht bekommen...das merkwürdige ist ja bei denen liefen mal 5 Server gleichzeitig ohne das die sich beschwert haben.

Egal ich habe ihn gekündigt....wenn die nich wollen,will ich dann auch nicht. :uhoh:
Man kann nicht alles auf einmal tun.Aber man kann alles auf einmal lassen.
Bild

Dj Ninja
Task-Killer
Task-Killer
Beiträge: 721
Registriert: 21.04.2008 10:37

Re: Vorwurf von DoS Attacken

#7 Ungelesener Beitrag von Dj Ninja » 18.11.2015 10:05

Wer weiß wem das aufgefallen ist. Aber grundsätzlich sind den Server-Admins solche Aktionen wie Webcrawler und hohe Netzwerklast suspekt. Da wird auch oft nicht jeder Einzelfall geprüft, sondern Du liegst mit Deinem Server außerhalb normaler Parameter, also kann irgendwas nicht stimmen. Du hast ja heute oft schon Schwierigkeiten, einen legalen Newsletter zu verschicken. Da wird man auch schnell mal blacklisted und bekommt 'ne böse eMail vom Admin. Alles nicht mehr so einfach heute.

Antworten

Zurück zu „Hilfe und Support“