Syn Flood wo keiner sein sollte !



  • Hi all,

    ich habe einen SMC Barricade 7004VBR. Ich bekomme in meinem Security Log häufiger die Meldung

    SYN Flood to Host 192.168.2.100, 4452->> 62.146.65.150, 80 (from PPPoE)

    Die IP Adresse gehört zur Seite http://www.easy-mod.de (soll keine Werbung sein) 😄

    Wenn ich diese Seite besuche habe ich mehrmals am Tag das Problem das ich die Seite nicht auf bekomme. Wärend ich dort im Forum lese geht es auf einmal nicht weiter. Die Seite baut sich nur noch teilweise auf oder wird gar nicht mehr gefunden. Zeitlich scheint das wohl mit der obigen Meldung zusammen zu hängen. (habs aber nicht 100% geprüft).

    Da ich davon ausgehe das die Jungs nichts böses im Sinn haben könnte es vielleicht mit einer Einstellung im Router behoben werden. Dabei möchte ich diese Schutzfunktion natürlich nicht ganz abschalten.

    Wenn natürlich jemand meint das müsse von der anderen Seite behoben werden dann kann er mir natürlich auch einen Hinweis geben und ich setzte mich mit dem Betreiber der Seite in Verbindung.

    Vielleicht hat ja jemand eine Idee.



  • Hallo,

    ich werde mal versuchen, das nachzuvollziehen und melde mich wieder!



  • Hallo,

    sitze hinter einer professionellen Firewall, habe die Seite besucht und meine Log-Protolkolle sprechen eine eindeutige Sprache:

    Der Server, der dort besucht wird, beherbergt mindestens einen Trojaner, vermutlich aber mehr als einen, da sehr viele unterschiedliche IP's adressiert werden. Oder die Site macht das bewusst - was ich hier nicht unterstellen möchte.

    Es wird in der Tat versucht, Dein Netzwerk anzugreifen.
    Dein Router wehrt es ab und hat damit genug zu tun. Deshalb
    werden die Seiten nicht oder sehr langsam angezeigt.



  • PS:

    Auf der Web-Site ist auch noch etwas "verschachtelt". Eine Weiterleitung zu:

    http://www.pqtuning.de

    Da gibt es dann selbst bei meiner Firewall (ISA-Server) einen Timeout, weil sie dann auch alles blockt!

    Es kann auch ganz harmlos sein, vielleich ein Programmier-Fehler in einem php-script. Aber "normal" ist diese Seite nicht!



  • Achtung!

    Für alle anderen User hier im Forum, möchte ich bis auf weiteres vor dem Besuch dieser oben erwähnten sites warnen (also nicht die Links anlicken!)

    Bis das hier geklärt ist …



  • Hi all,

    Besten Dank für eure Hilfe. Ich habe mich sofort mit dem Betreiber der Site in Verbindung gesetzt und warte noch auf Antwort.

    Danke nochmal.

    Gruß
    daSchizo (Manfred)



  • Hi Leute,

    direkte Antwort vom Webmaster von easy-mod.de🙂

    Also wir verfolgen sicherlich keine Spionageabsichten mit unserem Webangebot; die Meldung kann ich mit meinem SMC ABR Router und aktivierter Firewall zur Zeit auch nicht nachvollziehen.

    @daSchizo Kannst Du das Problem zeitlich eingrenzen? Seit wann tritt es auf? Ging es davor ohne diese Fehlermeldung und Performance-Probleme?

    Würde uns erst mal weiterhelfen, da wir in den letzten Wochen eigentlich keine Änderungen an den PHP-Scripten vorgenommen haben sondern lediglich nur einmal Probleme mit dem Server hatten.

    cu Yannick

    BTW: Hat jemand "AdAware" für Linux? 😄



  • Original geschrieben von MaxPayne
    Also wir verfolgen sicherlich keine Spionageabsichten mit unserem Webangebot; die Meldung kann ich mit meinem SMC ABR Router und aktivierter Firewall zur Zeit auch nicht nachvollziehen.

    So do I. Hab ebenfalls den genannten ABR, und kann das nicht nachvollziehen.
    Keine SYN-Flood-Einträge, und kein auffälliges flackern der WAN-LED am Router.
    Auch ein Zugang direkt über ISDN mit NPF (jaja gröhl) auf einem alten Rechner hat nix gezeigt.

    CU
    Fox



  • Hallo,

    habe Eure site inklusive Forum gerade eben noch mal durchgeklickt. Jetzt ist alles "clean". Die logs sind absolut sauber. Vor ca. einer Stunde war das noch ganz anders.

    @MaxPayne (webmaster)

    Vielleicht schaust Du mal das genauer an:

    http://cert.uni-stuttgart.de/archive/isn/2002/02/msg00140.html

    Sonst fällt mir dann dazu auch nichts mehr ein!



  • Hi,

    Ich habe dem Webmaster gerade noch ein Logfile zukommen lassen. Diese Sache tritt nur sporadisch auf. Da ich auch nicht immer online bin kann ich nicht sagen wie oft das passiert. Nach meinem Log z.B. heute um 16:57, 19:12, 19:38

    Wie ihr seht kümmert sich ja schon jemand drum.

    Danke nochmal.

    Gruß
    daSchizo



  • Hi,

    diese "Probleme" scheinen sich ja nur auf ältere PHP Versionen zu beziehen - wir haben zur Zeit 4.2.2 am Laufen.

    cu Yannick



  • Hallo,

    dann würde ich vorschlagen, die Sache hier mal als abgeschlossen zu deklarieren, weil das "Problem" nicht am Router
    zu suchen ist.

    Was die Ursache auf der Homepage ist, würde mich aber schon
    sehr interessieren!

    Meine e-mail ist ja bekannt:

    firewall@dpx.de



  • Hat sich jetzt überschnitten …

    Nun ja. Auch die neuen Versionen werden Ihre Lücken haben 😉

    War nur ein Hinweis (neuere Dokumente zu php-Sicherheitslücken habe ich noch nicht gefunden).

    Vor ca. 2 Wochen habe ich einen Fall gehabt, wo mittels php ein Web-Server und dann über SNMP ein lokales Netzwerk angegriffen wurde (also indirekter Angriff).

    So ziemlich die übelste (und genialste) Attacke, die ich bisher protokolliert habe.

    Deshalb interessiert mich auch so, was bei Euch los ist!

    Lasst es mich wissen!



  • Really you need a reliable protection from ddos attacks provider that is ready to filter upstream traffic to stop a Syn Flood attack in case you have one.


Log in to reply