Mahlzeit.

 

Mein Server wurde gesperrt, mit der BegrГјndung, ich wГјrde DDOS Attacken auf andere Server ausfГјhren.

 

Die Logdatei ist dabei mehr als aussagekräftig:

http://vpservers.ru/abuse/2/msm_85.25.208.235.txt (vpservers.ru ist der Anbieter, auf den diese Attacken wohl ausgefГјhrt wurden)

 

Auszug der logdatei:

...

2012/08/24 01:30:35 recv UDP 85.25.208.235:28960 -> 85.192.44.65:27015 (555) reject by FFFFFFD0 IDS:allow dos

2012/08/24 01:30:36 recv UDP 85.25.208.235:28961 -> 85.192.44.65:27015 (738) reject by FFFFFFD0 IDS:allow dos

2012/08/24 01:30:36 recv UDP 85.25.208.235:28960 -> 85.192.44.65:27015 (555) reject by FFFFFFD0 IDS:allow dos

...

 

85.25.208.235 ist meine Server IP und 28960/28961 die Ports meiner beiden IW4M Server ...

jetzt meine Frage:

NTA hatte schon zu alterIW Zeiten gewisse "Einfälle", die ihn dazu brachten, DDOS Code in AlterIW zu implementieren. Ist das jetzt schonwieder der Fall? Gibt es noch andere, denen dasselbe passiert ist?

 

MfG

Hat sich jemand Zugang zu deinem Server beschafft?

It's highly unlikely that those were for denial of service. 1-3 udp packets a second? Plus it stops for a bit, and starts again.

Hast du diesen Beitrag erstellt?

 

http://debianforum.de/forum/viewtopic.php?f=32&p=896830

 

Falls, nein probier mal die iptables Lösung die da verlinkt wurde.

 

EDIT: Scheint noch andere mit dem Problem zugeben:

http://pastebin.com/FtwEJvCU

 

Angriffe auf die gleiche IP (vpservers.ru), zur gleichen Zeit.

 

Wenn aber die man die IP des Angreifers verfolgt, wird man aber sehen das es sich dabei (zumindest momentan), um einen cod4 server und nicht um einen IW4M server handelt.

http://vpservers.ru/abuse/2/msm.log.gz (33MB -> unpacked 454MB)

waren viele server gleichzeitig. IW4M, welche, die noch auf dem letzten alterIW release basierten und auch normale COD4 server.

 

ich weis nich, was ich davon halten soll :/ zumal ich die logik dahinter nich verstehe. warum jetzt und in welchem zusammenhang?

IW4M, welche, die noch auf dem letzten alterIW release basierten...

 

Hast du einfach die alter aIW Installation genommen? Dann kann es sein, dass die .dll Гјber die das DDOS gegangen ist noch aktiv ist... Mach am besten eine Neuinstalltion der Server.

ich weis nich, was ich davon halten soll :/ zumal ich die logik dahinter nich verstehe. warum jetzt und in welchem zusammenhang?

 

Der Zusammenhang kann im Grunde nur die Q3 server engine software sein.

 

 

> This bug is a known bug in the Q3 server engine software. Usually,
> these are Call of Duty 4 game-servers. A fix for this problem is
> described below:
>
> "So we're getting reports of DDoS attacks, where botnets will send
> infostring queries to COD4 dedicated servers as fast as possible
> with spoofed addresses. They send a small UDP packet, and the
> server replies with a larger packet to the faked address. Multiply
> this by however fast you can stuff UDP packets into the server's
> incoming packet buffer per frame, times 7500+ public COD4 servers,
> and you can really bring a victim to its knees with a serious flood
> of unwanted packets.

IW4M, welche, die noch auf dem letzten alterIW release basierten...

 

Hast du einfach die alter aIW Installation genommen? Dann kann es sein, dass die .dll Гјber die das DDOS gegangen ist noch aktiv ist... Mach am besten eine Neuinstalltion der Server.

 

nein, ist komplett neu aufgesetzt.

und wie gesagt, es betrifft wohl fast alle server auf Q3 basis ... ich hab das logfile kurz Гјberflogen und dabei gesehen (per HLSW) dass Cod4, alterIW und IW4M server dabei sind :/

 

Der Zusammenhang kann im Grunde nur die Q3 server engine sein.

 

jau. nur warum? und warum einen russischen CS server? und warum jetzt? und vor allem WIE? :/

 

EDIT: guddi, ich denke ich verstehs jetzt danke fГјr eure hilfe

 

MfG

Moin,

 

das selbe Problem hatten wir auch. Die Lösung ist recht einfach haben dazu etwas recht gutes im Internet gefunden. http://www.opferlamm-clan.de/wbb2/threa ... adid=17100

Einfach Durchlesen^

 

Bei weiteren Fragen kannst du auf unser TsВі kommen: 213.239.196.106

 

GruГџ Ebay

Da die Seite die Ebay gepostet hat, im Moment nur ein defektes .zip archiv anbietet, werde ich ein funktionierdes gleich hier uppen.

 

Ansonsten gibts hier noch eine andere Lösung für Linux server (über iptables) und auch die Dateien für Windows (die wahrscheinlich auch unter linux mit wine laufen?):

 

englisch/russisch:

 

http://rankgamehosting.ru/index.php?showtopic=1320

 

deutsch:

http://forum.gamerzhost.de/board17-root ... oblematik/

 

 

Virustotal: https://www.virustotal.com/file/34bd920 ... 346263680/