Post AXWa9N389bx2f2buoi by matse@social.urspringer.de
 (DIR) More posts by matse@social.urspringer.de
 (DIR) Post #AXVk2byh3aUJJizUoq by m0urs@social.urspringer.de
       2023-07-09T07:34:01Z
       
       0 likes, 0 repeats
       
       Gegen meinen Server gab es gestern Nacht eine DDoS-Attacke. Um die anderen Dienste auf der Maschine nicht zu beinträchtigen, hatte ich daher die Mastodon-Instanz ab ca. 00:00 Uhr bis heute früh heruntergefahren. Derzeit ist (noch/wieder) alles ruhig. Mal schauen.#mastoadmin @matse #ddos
       
 (DIR) Post #AXVnc2M5HK8T7fW1Ca by rick@meld.de
       2023-07-09T07:58:52Z
       
       0 likes, 0 repeats
       
       @m0urs @matse Wie hast du das gemerkt?
       
 (DIR) Post #AXVnc3CY8G6RkO3uym by m0urs@social.urspringer.de
       2023-07-09T08:14:03Z
       
       0 likes, 0 repeats
       
       @rick @matse Daran dass meine andren Webanwendungen nacheinander ausfielen. In den Logfiles habe ich dann gesehen, dass massive Requests gegen den Mastodon-Server eingingen. Viele IP-Adressen waren Adressen, die vorher schon als Botnetz-IPs aufgefallen waren.
       
 (DIR) Post #AXVqF2eyHO3HGm4nho by rick@meld.de
       2023-07-09T08:26:31Z
       
       0 likes, 0 repeats
       
       @m0urs @matse Konntest du die IP's dann blocken?
       
 (DIR) Post #AXVqF3Jjpof5JD9MFU by m0urs@social.urspringer.de
       2023-07-09T08:43:30Z
       
       0 likes, 0 repeats
       
       @rick @matse Nein, das geht nicht, das sind viel zu viele und folgen keinem Schema. Manche werden sicherlich bereits blockiert durch meine normalen Security-Maßnahmen, aber es kommen immer noch genügend durch. Da sie es aber speziell auf Mastodon abgesehen hatten, hat es gereicht die Mastodon-Instanz zu blocken, damit sie keinen großen Schaden anrichten können. Vielleicht waren das aber auch erste Versuche, die am Donnerstag gefixten Security-Löcher auszunutzen, bei Instanzen, die noch nicht upgedatet hatten.
       
 (DIR) Post #AXVtzhWuxPgzD2FYLQ by matse@social.urspringer.de
       2023-07-09T09:25:34Z
       
       0 likes, 0 repeats
       
       @m0urs @rick wenn es gezielt auf Mastodon ausgerichtet war, waren es Layer 7 Attacken?Und noch mal ne Frage zum Verständnis: ist dann das Ziel, durch die Anfragen den Server zu überlasten und dadurch wird wenn Fehlverhalten ausgelöst und dadurch erst eine Lücke ausgenutzt? Durch das reine DDOS wird ja erstmal außer einer Nichtverfügbarkeit nicht viel erreicht. Oder liege ich da falsch?
       
 (DIR) Post #AXWVbXuSrzrugHAlwu by m0urs@social.urspringer.de
       2023-07-09T16:26:59Z
       
       0 likes, 0 repeats
       
       @matse Um ganz ehrlich zu sein: So ganz habe ich noch immer nicht verstanden, was da abging.  Allerdings hatte ich vorhin wieder so ein ähnliches Problem und ich bin mir gerade nicht so sicher, ob ich nicht noch ein Konfigurationsproblem bei meiner Apache-Konfiguration habe. Leider ist Mastodon nur für NGINX als Webserver dokumentiert, alle Apache-Konfigurationen sind "Hörensagen" aus dem Internet und die sind sich nicht so ganz einig ...  Also, das Problem ist noch nicht vom Tisch behaupte ich mal. Bitte antwortet mal auf diesen Post, damit ich sehe, ob nach meiner Änderung eben, wenigstes die Basics noch funktionieren :-) @rick
       
 (DIR) Post #AXWW8GoxQW3lElCWYq by ElMapu@sueden.social
       2023-07-09T16:32:53Z
       
       0 likes, 0 repeats
       
       @m0urs @matse @rick@meld.de Alles klar.
       
 (DIR) Post #AXWWFx7sXG1eTHiM8e by m0urs@social.urspringer.de
       2023-07-09T16:34:17Z
       
       0 likes, 0 repeats
       
       @matse Noch zu den anderen Fragen: Ja, eine DDoS Attacke kann dazu führen, dass der Server nicht mehr erreichbar ist , kann aber auch dazu genutzt werden z.B. einen Buffer Overflow auszulösen, welches dann dazu führen kann, dass Code ausgeführt werden kann, der nicht ausgeführt werden sollte.   @rick
       
 (DIR) Post #AXWWKWFRtVEcYiQtjE by m0urs@social.urspringer.de
       2023-07-09T16:35:07Z
       
       0 likes, 0 repeats
       
       @ElMapu Ok, das kam an, also derzeit scheint alles wieder zu funktionieren. Mal schauen ob es auch anhält ;-) @matse
       
 (DIR) Post #AXWYqQKdcsknNvCWnI by matse@social.urspringer.de
       2023-07-09T17:03:16Z
       
       0 likes, 0 repeats
       
       @m0urs @rick OK, also aktuell geht wieder alles einwandfrei, vor so 2h war dein Server nicht erreichbar gewesen.
       
 (DIR) Post #AXWZV0BPkeL49uEgj2 by m0urs@social.urspringer.de
       2023-07-09T17:10:38Z
       
       0 likes, 0 repeats
       
       @matse Ja, das war gewollt, da mein Apache wieder nicht  mehr reagiert aufgrund der Anfragen an Mastodon. Da müsste aber eine Fehlerseite angezeigt worden sein?   @rick
       
 (DIR) Post #AXWa9N389bx2f2buoi by matse@social.urspringer.de
       2023-07-09T17:17:55Z
       
       0 likes, 0 repeats
       
       @m0urs @rick ja genau, es gab eine Fehlerseite, dass Wartungen durchgeführt werden und der Server bald wieder erreichbar ist. Zum Glück geht wieder alles, mich würden echt Details zu dem Angriff interessieren, wenn du da mehr herausfindest und veröffentlichst würde mich das wie gesagt sehr interessieren.
       
 (DIR) Post #AXWaGUsRRw1uxt0cWO by m0urs@social.urspringer.de
       2023-07-09T17:19:13Z
       
       0 likes, 0 repeats
       
       @matse Mich auch :-) Aber ich fürchte, da bekomme ich nicht noch mehr Informationen. Außer es passiert noch mal. @rick