Problem mit UDF-Flooding

Post Reply
Message
Author
SaschaK.

Problem mit UDF-Flooding

#1 Post by SaschaK. »

Guten Tag,

ich habe ein Problem mit meinem gemieteten vServer. Dieser wurde nun schon zum dritten Male wegen UDF-Floodings gesperrt. Habe folgendes log-File von meinem Anbieter bekommen:
11:11:39.066136 IP xx.xx.xx.xx.34072 > 89.44.246.5.22: UDP, length 15
11:11:39.066136 IP xx.xx.xx.xx.34072 > 89.44.246.5.22: UDP, length 15
11:11:39.066252 IP xx.xx.xx.xx.34072 > 89.44.246.5.22: UDP, length 15
11:11:39.066253 IP xx.xx.xx.xx.34072 > 89.44.246.5.22: UDP, length 15
11:11:39.066253 IP xx.xx.xx.xx.34072 > 89.44.246.5.22: UDP, length 15
11:11:39.066254 IP xx.xx.xx.xx.34072 > 89.44.246.5.22: UDP, length 15
11:11:39.066256 IP xx.xx.xx.xx.34072 > 89.44.246.5.22: UDP, length 15
11:11:39.066384 IP xx.xx.xx.xx.34072 > 89.44.246.5.22: UDP, length 15
11:11:39.066385 IP xx.xx.xx.xx.34072 > 89.44.246.5.22: UDP, length 15
11:11:39.066503 IP xx.xx.xx.xx.34072 > 89.44.246.5.22: UDP, length 15
11:11:39.066505 IP xx.xx.xx.xx.34072 > 89.44.246.5.22: UDP, length 15
11:11:39.066870 IP xx.xx.xx.xx.34072 > 89.44.246.5.22: UDP, length 15
11:11:39.066871 IP xx.xx.xx.xx.34072 > 89.44.246.5.22: UDP, length 15
11:11:39.066872 IP xx.xx.xx.xx.34072 > 89.44.246.5.22: UDP, length 15
11:11:39.066988 IP xx.xx.xx.xx.34072 > 89.44.246.5.22: UDP, length 15
11:11:39.066989 IP xx.xx.xx.xx.34072 > 89.44.246.5.22: UDP, length 15
11:11:39.066992 IP xx.xx.xx.xx.34072 > 89.44.246.5.22: UDP, length 15

Zum Sachverhalt: Hatte ursprünglich eine eigene Homepage (PhP-Kit) und einen Teamspeak-Server am laufen. nach dem zweiten Sperren des Servers habe ich ausschliesslich den TS-Server laufen lassen. Also Apache noch nicht einmal installiert. Gleiches Problem.
Server wurde nun zum dritten Male entsperrt. Nun würde mich interessieren, wie ich dieses Problem in Zukunft am besten umgehen kann.

Falls weitere Log-Dateien zur Diagnose benötigt werden, teilt mir diese bitte mit, ich werde sie dann umgehen hier posten.

MfG,
Sascha

User avatar
Janka
Posts: 3585
Joined: 11. Feb 2006 19:10

#2 Post by Janka »

Dein vServer hat sich über irgendeine Sicherheitslücke (vermutlich in PHP oder einem PHP-Skript) ein Schadprogramm eingefangen, das munter Pakete an Port 22 des Rechners 89.44.246.5 schickt.

Du musst dieses Schadprogramm lokalisieren und runterwerfen. Da es ständig von Port 34072 aus sendet, dürfte es einfach zu finden sein.

Code: Select all

# netstat -anp | grep 34072
In der 6. Spalte stehen die PID und der Name des Executables des Übertäters. Hole, bevor du ihn killst genauere Infos über ihn ein.

Code: Select all

# ls -l /proc/PID
Janka
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.

SaschaK.

Problem mit UDF-Flooding

#3 Post by SaschaK. »

Ok, danke. Werds mal ausprobieren. Allerdings hab ich den Server gerade erst wieder neugestartet.

Derzeit ist noch Ruhe... Werde erstmal ein wenig abwarten müssen bis es wieder losgeht..

Berichte dann was als Ausgabe kam.

Vielen Dank schonmal für sie schnelle Hilfe..

Post Reply