Beiträge von Xunil

Das MTA Forum hat sich heute von breadfish abgespalten, packte die DB ein und versucht sein Glück nun selbst. Da die Domain "mta-sa.de" breadfish gehört haben wir diese auf sa-mp.de weitergeleitet. Diese würde sonst leer "herumstehen".

@Selfmade_Records:

Im IT Bereich ist das leider nicht so einfach wie sonst überall. Man bekommt nur soviel wie man zahlt, mehr geht nicht. Dinge wie Bandbreite sind leider nur beschränkt, und lassen sich nur gegen sehr sehr viel Geld auf mehr als 10Gbit hochrüsten. Wenn die User also nicht spenden können wir nicht weiter hochrüsten, wir haben aktuell - sofern ich das als sysadmin mitbekommen habe - mehr ausgaben als einnahmen.

Wie gesagt, wir tun was wir können, aber wir haben nur begrenzte Mittel dafür.

Jony:
Klar sowas nennt sich dann Hardware Firewall. Eine HW FW + 20Gbit Anbindung würde alle Probleme lösen. Willst du mal Sponsoren?

Cal44:
Das funktioniert ebenfalls nur bedingt. Und kostet Geld, und zwar massig.

Lifestyler:
Wir tun was wir können, und geben alles aus was uns zur Verfügung steht, wenn nicht aktuell sogar mehr als das.

Ich habe die Sicherheitsrichtlinien in der Tat recht streng angezogen.

Sollte es nochmal vorkommen kannst du mir deine (gesperrte) ip per email an admin@sa-mp.de zukommen lassen und ich werde nachsehen.

Ich habe nun ein paar Provider DNS Server durchgetestet, die Einträge sollten nun überall übernommen sein, und das Forum sollte großflächig wieder erreichbar sein.

[Update 16. Sept | 23:30]

Die gerade eingehende DDoS zwischen 23:20 und 23:30 hat uns eine menge an IPs gebracht. Abuse E-Mails sind raus. Hoffen wir das es was bringt.

Aufgrund der hohen Angriffe mussten wir IP sowie Provider wechseln, haben alles schnell zusammengepackt und rübergeworfen.

Die TTL der Domain war zu hoch, und wir haben es zu spät gemerkt, daher haben nun noch manche Provider die alte IP im Cache. Diese User müssen leider warten da wir keinen Zugriff auf die DNS Server der Provider haben.

Apophis: TuX und ich haben relativ viel Zeit damit verbracht das ganze wieder zum laufen zu bringen. Innerhalb eines Tages umzuziehen und DDoS sicher wieder online zu bringen ist nicht ganz leicht. Dementsprechend kann sich der Umgangston bei Fragen welche wir 100x am Tag hören ändern. Sorry dafür.

#Meso#:
Was meinst du?

@Blackbook:

Der sogenannte Package Flood. Hierbei werden nur kleine Pakete versand, aber diese durch ein riesen großes Botnet. Jeder NIC kann nur eine gewisse Anzahl an Packages annehmen, danach ist Schluss.

Sommerferien: Per E-Mail haben wir dann aber einen genauen Zeitpunkt und können so das ganze besser verfolgen. Zumal werden E-Mails aktuell intensiver behandelt.

Zitat

Naja egal, dir wünsche ich auch Viel Glück

Scheinbar habe ich's in den Griff bekommen.

------

@all:

Den DDoS haben wir nun komplett in Griff bekommen, die Angreifer sind somit auf eine andere Angriffsart umgestiegen. Ich habe Vorkehrungen getroffen von denen ich denke / hoffe dass sie wirkungsvoll sind, ob's was gebracht hat werden wir sehen.

Sommerferien: Viel Glück, vorallem wenns mal Nacht ist und alle offline sind

@RoBoy und BloodyEric:

Es steht im Startpost eine E-Mail (admin@sa-mp.de). Alle emails dort werden sofort an breadfish, TuX und mich weitergeleitet.
In dem Startpost steht auch dass der Mailserver up ist wenn das Forum unter DDoS steht.

PawnFox:

Es ging nichts verloren.

Zitat

ServerFarm != Rechenzentrum...

Ist mir klar, das oben war auch eher ironisch gemeint.

Wir im Startpost erklärt wurde arbeiten wir zurzeit an einer Multiserver Lösung und hoffen den unterbrechungsfreien Betrieb von sa-mp.de aufrecht zu erhalten.

Zitat

Nein, da die auch direkt downgelegt werden würde, eine sogennante ServerFarm ist hier das richtige...

*g*
Warum bauen wir nicht gleich ein ganzes RZ?

Mal im Ernst, wir tun unser bestes, User Beiträge helfen aktuell nicht viel weiter.

@#Meso#: Die Server stehen in Deutschland und werden von mir und TuX betrieben.

@Swain_Blake: Das kann verschiedene Gründe haben. Genaueres versuchen wir aktuell selbst herauszufinden.

@#Meso#:

Wir haben eine große Gruppe an DDoSern ausfindig gemacht. Wir wissen natürlich nicht wieviele es tatsächlich sind, aber das BotNet umfasste mehr als 100 IPs. Bleibt zu hoffen dass dies das einzige BotNet war. Allerdings bin ich mir sicher wir spüren eventuell andere BotNetze mit den gleichen Verfahren auf.

Das es NIE einen 100%igen Schutz gibt ist ganz klar.

@Lars_Vegas:

Lesen will gelehrt sein!

#Meso# :

Die Datenbank in der der reine Text gespeichert war umfasste knapp 900MB.
Das Forum selbst mitsamt den Avatars und Anhängen umfasste 1,7GB.

@Lars_Vegas:

Die Datenbank ist intern im RZ gehostet, der DB Server hängt nichtmal im normelen Netz, hat nur eine interne IP, ist von aussen somit nicht angreifbar. Auf die DB haben Julian und ich Zugriff, welcher allerdings gelogt und aufgezeichnet wird.

Wie genau meinst du das? Die Datenbank umziehen? Haben wir doch schon längst gemacht?

Zitat

Kann man nicht son Teil einbaun, dass die IP automatisch gesperrt wird,
wenn sie ddos artig die Seite aufruft? Gibts doch, oder ist das nicht so
einfach?

Das ist leider nicht so einfach. Auch wenn man IPs sperrt, die DDoS Attacke / der Traffic geht immer bis zu dem Punkt an dem man sperrt. Und das ist dann nunmal der Server. Daher bringt es leider nichts.

Zitat

Ist bei mir gerade wieder vorgekommen

Ich habe soeben die Logs gecheckt, der Server machte keinen 502. Je nachdem wie du sa-mp.de aufgerufen hast hat evtl. dein Browsercache gegriffen.

Edit: Kann nicht mehr auftreten ist falsch. Der 502 tritt auf wenn der PHP-FPM dahinter stirbt, damals war ein Apache dahinter. Der PHP-FPM ist um einiges Sicherer und Stabiler konfiguiert und KANN im laufenden Betrieb nicht mehr sterben. Nur durch uns, bspw. bei einem restart kann in den ersten 1 - 2 Sekunden der Uptime ein solcher Fehler auftreten. Ansonsten beinahe komplett ausgeschlossen.

Zitat

und es gab bis jetzt noch keinen der berühmten 502er Fehler

Gegen den haben wir ebenfalls Maßnahmen ergriffen. Der 502 Fehler kann nun nicht mehr vorkommen.

Zitat

Ich fürchte eine Failover IP würde hier helfen.

Danke, aber wir wissen was zu tun ist, und werden nach besten Möglichkeiten handeln.