Zum Inhalt springen
View in the app

A better way to browse. Learn more.
Fachinformatiker.de

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

UDP-Flood

Gast Proteus
Gast Proteus
in Rootserver - Vserver - Webspace

Empfohlene Antworten

Hi,

ich habe einen VServer. Nun behauptet der "Hoster", dass von meinem VServer ein Angriff auf den Root-Server stattgefunden hat. Als Beweis hat er mir folgende Loggs (kleiner Teil) geschickt:

[6621313.160332] WARNING Outgoing Attack: IN= OUT=eth0 SRC=188.40.193.16*

DST=93.127.228.59 LEN=29 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=57382

DPT=53 LEN=9

[6621313.160338] CRITICAL Outgoing Attack: IN= OUT=eth0 SRC=188.40.193.16*

DST=93.127.228.59 LEN=29 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=57382

DPT=53 LEN=9

[6621313.160348] WARNING Outgoing Attack: IN= OUT=eth0 SRC=188.40.193.16*

DST=93.127.228.59 LEN=29 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=57382

DPT=53 LEN=9

[6621313.160353] CRITICAL Outgoing Attack: IN= OUT=eth0 SRC=188.40.193.16*

DST=93.127.228.59 LEN=29 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=57382

DPT=53 LEN=9

[6621313.160364] WARNING Outgoing Attack: IN= OUT=eth0 SRC=188.40.193.16*

DST=93.127.228.59 LEN=29 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=57382

DPT=53 LEN=9

[6621313.160369] CRITICAL Outgoing Attack: IN= OUT=eth0 SRC=188.40.193.16*

DST=93.127.228.59 LEN=29 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=57382

DPT=53 LEN=9

[6621313.160379] WARNING Outgoing Attack: IN= OUT=eth0 SRC=188.40.193.16*

DST=93.127.228.59 LEN=29 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=57382

DPT=53 LEN=9

[6621313.160384] CRITICAL Outgoing Attack: IN= OUT=eth0 SRC=188.40.193.16*

DST=93.127.228.59 LEN=29 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=57382

DPT=53 LEN=9

[6621313.160395] WARNING Outgoing Attack: IN= OUT=eth0 SRC=188.40.193.16*

DST=93.127.228.59 LEN=29 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=57382

DPT=53 LEN=9

[6621313.160400] CRITICAL Outgoing Attack: IN= OUT=eth0 SRC=188.40.193.16*

DST=93.127.228.59 LEN=29 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=57382

DPT=53 LEN=9

[6621313.160410] WARNING Outgoing Attack: IN= OUT=eth0 SRC=188.40.193.16*

DST=93.127.228.59 LEN=29 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=57382

DPT=53 LEN=9

[6621313.160416] CRITICAL Outgoing Attack: IN= OUT=eth0 SRC=188.40.193.16*

DST=93.127.228.59 LEN=29 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=57382

DPT=53 LEN=9

[6621313.160426] WARNING Outgoing Attack: IN= OUT=eth0 SRC=188.40.193.16*

DST=93.127.228.59 LEN=29 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=57382

DPT=53 LEN=9

[6621313.160431] CRITICAL Outgoing Attack: IN= OUT=eth0 SRC=188.40.193.16*

DST=93.127.228.59 LEN=29 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=57382

DPT=53 LEN=9

[6621313.160442] WARNING Outgoing Attack: IN= OUT=eth0 SRC=188.40.193.16*

DST=93.127.228.59 LEN=29 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=57382

DPT=53 LEN=9

[6621313.160447] CRITICAL Outgoing Attack: IN= OUT=eth0 SRC=188.40.193.16*

DST=93.127.228.59 LEN=29 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=57382

DPT=53 LEN=9

[6621313.160457] WARNING Outgoing Attack: IN= OUT=eth0 SRC=188.40.193.16*

DST=93.127.228.59 LEN=29 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=57382

DPT=53 LEN=9

[6621313.160462] CRITICAL Outgoing Attack: IN= OUT=eth0 SRC=188.40.193.16*

DST=93.127.228.59 LEN=29 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=57382

DPT=53 LEN=9

[6621313.160473] WARNING Outgoing Attack: IN= OUT=eth0 SRC=188.40.193.16*

DST=93.127.228.59 LEN=29 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=57382

DPT=53 LEN=9

[6621313.160478] CRITICAL Outgoing Attack: IN= OUT=eth0 SRC=188.40.193.16*

DST=93.127.228.59 LEN=29 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=57382

DPT=53 LEN=9

[6621313.160488] WARNING Outgoing Attack: IN= OUT=eth0 SRC=188.40.193.16*

DST=93.127.228.59 LEN=29 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=57382

DPT=53 LEN=9

[6621313.160494] CRITICAL Outgoing Attack: IN= OUT=eth0 SRC=188.40.193.16*

DST=93.127.228.59 LEN=29 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=57382

DPT=53 LEN=9

[6621313.160504] WARNING Outgoing Attack: IN= OUT=eth0 SRC=188.40.193.16*

DST=93.127.228.59 LEN=29 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=57382

DPT=53 LEN=9

[6621313.160509] CRITICAL Outgoing Attack: IN= OUT=eth0 SRC=188.40.193.16*

DST=93.127.228.59 LEN=29 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=57382

DPT=53 LEN=9

[6621313.160520] WARNING Outgoing Attack: IN= OUT=eth0 SRC=188.40.193.16*

DST=93.127.228.59 LEN=29 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=57382

DPT=53 LEN=9

[6621313.160525] CRITICAL Outgoing Attack: IN= OUT=eth0 SRC=188.40.193.16*

DST=93.127.228.59 LEN=29 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=57382

DPT=53 LEN=9

[6621313.160535] WARNING Outgoing Attack: IN= OUT=eth0 SRC=188.40.193.16*

DST=93.127.228.59 LEN=29 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=57382

DPT=53 LEN=9

[6621313.160540] CRITICAL Outgoing Attack: IN= OUT=eth0 SRC=188.40.193.16*

DST=93.127.228.59 LEN=29 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=57382

DPT=53 LEN=9

[6621313.160551] WARNING Outgoing Attack: IN= OUT=eth0 SRC=188.40.193.16*

DST=93.127.228.59 LEN=29 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=57382

DPT=53 LEN=9

[6621313.160556] CRITICAL Outgoing Attack: IN= OUT=eth0 SRC=188.40.193.16*

DST=93.127.228.59 LEN=29 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=57382

DPT=53 LEN=9

[6621313.160566] WARNING Outgoing Attack: IN= OUT=eth0 SRC=188.40.193.16*

DST=93.127.228.59 LEN=29 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=57382

DPT=53 LEN=9

[6621313.160572] CRITICAL Outgoing Attack: IN= OUT=eth0 SRC=188.40.193.16*

DST=93.127.228.59 LEN=29 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=57382

DPT=53 LEN=9

* IP verfremdet

Nun hat der Hoster den Server per Rettungssystem wieder gestartet. Nun wollte ich gerne nachsehen, welche Datei dafür verantwortlich ist. Nur habe ich keine richtige Ahnung, wo ich genau suchen soll und wie ich die Datei ausfindig machen kann oO. Ich hoffe hier kann mir einer helfen.

Mfg,

Proteus

Destination Port 53 deutet auf eine DNS Abfrage hin...

Die Destination IP 93.127.228.59 antwortet jedoch nicht auf DNS Anfragen.

Selbst löst die IP zu

Name: romania.magicirc.org

Address: 93.127.228.59

auf.

Weiteres kann man aufgrund der vorliegenden Daten nicht wirklich sagen. Nicht einmal ob es möglicherweise normale Pakete waren.

Allerdings lassen die auf www.magicirc.org vorhandenen Links nicht unbedingt auf ein 100% seriöses Angebot schliessen... Das ist aber nur eine Vermutung und kann mit den Angaben von oben auch nicht verifiziert oder falsiziert werden.

Hallo,

erstmal vielen Dank für die Hilfe. Ich gebe zu, dass ich noch Anfänger bin. Daher war es vielleicht wirklich nicht sonderlich klug einen VServer zu mieten. Allerdings ist es nun einmal so. Der Vertrag ist inzwischen auch gekündigt und läuft am 31.10. ab.

Nun aber wieder zu meinem Problem:

Wie kann ich nun die Datei ausfindig machen, die dafür verantwortlich ist ?

Mfg,

Proteus

Das Programm "netstat" zeigt dir mit den passenden Parametern die Verbindungen, die von deinem System ausgehen und die zugehörige Process ID.

Das Programm "netstat" .. Verbindungen..

Um versteckte Serverprozesse zu finden eignet sich z.B. Security Projects - Unhide

und statt netstat würde ich z.b. 'lsof -i' nutzen.

Problematisch ist immer:

a) UDP ist verbindungslos. Da muss man schon das sendende Socket finden.

B) Oft benutzen installierte Trojaner Namen von Systemprogrammen - Pfade immer beachten (hatte letztens den Fall, dass ein Prozess namens "bash" eine Verbindung zu nem IRC-Server hatte - der lag natürlich nicht unter /bin/ :))

B) Gemeinerweise könnte ein Rootkit auch ganz andere Ding veranstalten, z.b. Befehler oder gar IP über ICMP tunneln oder nen GRE Tunnel aufmachen.

Grüße

Ripper

Archiv

Dieses Thema wurde archiviert und kann nicht mehr beantwortet werden.

Zur Themenliste gehen

Konto

Navigation

Suchen

Suchen

Configure browser push notifications
Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.