SC: Hackingangriffe?

Status
Für weitere Antworten geschlossen.
MacGyver77

MacGyver77

Benutzer
Ich werde momentan nicht ganz schlau aus einer Situation.

Fakten:
Wir haben einen SC laufen mit 256 KBs VideoStream. Connecten mit NSV Tool und VP62 Kompremierung. Seit einigen Tagen haben wir bemerkt, dass wir während der Sendung probleme haben, die sich wiefolgt äussern:

- die RadioToolBox zeigt den Stream kruzzeitig offline
- Hörer können zeitweise nicht connecten
- Moderator wird vom Stream geworfen kommt aber sofort wieder rein

Laut Aussage unseres Stream-Hosters, waren es "Angriffe" auf unseren Stream aus Asien, und Ost-Europa. Nach unserem Tip, den Linux Server einfach per Host.Deney mit diesen IP Blöcken zu sperren, waren es dann "Angriffe" aus Deutschland...

Der Hoster erklärt uns: Es seien Scripte, die versuchen mit X Usern gleichzeitig den SC Server zu connecten und das bewirke dieses Problem.

- kann man mir folgen ?! -

Weitere Aussagen des Hosters:
- es sei ausschliesslich UNSER Stream
- alle anderen Kunden haben keine Probleme
- man will UNS bestimmt was böses...

?!? Wer will uns die ~30 Hörer klauen~ !?!

Meine Frage an Euch;
-> kennt Ihr so ein technisches Problem, das der Stream so rumzickt?
-> Wie würdet Ihr vorgehen?
-> Bonus-Frage: Wie ist das Wetter bei euch ?

Danke;) !
 
AW: SC: Hackingangriffe ?

Das mit der Radiotoolbox ist mir in letzter Teit bei uns auch aufgefallen.
Kleine Frage...
Welchen Hoster habt Ihr ?

Wetter = Besche...iden wie überall denke ich ...
 
AW: SC: Hackingangriffe ?

Ich darf mal raten: Seid Ihr bei Mietradio? Dann nix wie weg, auch wenn er noch so billig ist - denn diesen Text kenne ich - ach, jetzt fällt mir auch noch die Melodie ein... :wall::wall::wall:
 
AW: SC: Hackingangriffe ?

Hi,

dazu kann man schlecht genaueres sagen. Ich würde vielleicht erstmal die Ports wechseln.

2. würde ich mich fragen wieso der Stream bei sowas offline geht, weil normalerweise müsste dazu der "Angreifer" sich auch erfolgreich mit einem Client connected haben um Leistung von der Kiste zu ziehen. Ein bloßes rumgepinge oder dauerconnecten auf nem SC Port darf einen ausreichend dimensionierten Server nicht groß interessieren. Gescriptete Angriffe auf Server sind normal, zumindest auf http und ftp Ports.

Weiteres kann man dir nicht genau raten da du uns leider auch nicht mitteilst auf welchen Port deine Dienste laufen, und auf welche der "Angreifer" sich aufzuschaltet versucht hat.

Da du aber anscheinend einen "managed Stream-Server" verwendest und nicht von einem root Server sprichst würde ich jedoch die Verantwortlichkeit auf den Hoster abwälzen.
Gruß
Keen
 
AW: SC: Hackingangriffe?

Zunächst schon mal danke für die ersten antworten.
Also, wir haben nicht nur die Ports mehrfach geändert sonder auch schon mal den Server auf dem SC läuft mit anderer IP gewechselt.

Da es von interesse ist; hier einmal unser SC: v1.popdanceradio.de:8050

Die Vermutung, das der Hoster seinen Server nicht im Griff hat, habe ich auch. Es kommt mir alles so unverständlich vor, wenn er von A nach B redet und bei C meint das A doch richtig war aber B damit gemeint war und C nun doch die richtige Wahl ist. Einen Hosterwechsel vorzuschlagen wäre wahrscheinlich das richtige, aber vieeel Vitamin B und ein "Sponsoring" (wie immer das auch aussieht) stehen hinter diesem kleinen Sender.

Mal direkt gefragt: Wie seht ihr das - sind da Hackingangriffe in der Richtung denkbar? Wo könnte ich in welchen Log's etwas darüber finden. Im SC Log steht nichts offensichtliches wie "was kicked by IPxxx".
Ich denke immer, wenn die Connection steht, kommt da keiner zwischen. Da wir das Stream-Master-Admin-Super-Passwort geändert haben und nur 4 (inkl. Hoster) es wissen, wer soll da sonst noch was machen können?
 
AW: SC: Hackingangriffe?

Hallo zusammen,

genauso passt meine Frage perfekt hier rein. Was sollen eigentlich die folgenden Zeilen? Ich meine, ich geh doch richtig davon aus dass sich hiermit auch jemand unberechtigt zutritt zu meinem Server verschaffen moechte, oder? *denx*

Naja, mal schauen wie weit der denn kommt wenn er direkt danach in Firewall als geblockt steht! :cool:

Gruss Inselkobi
 
AW: SC: Hackingangriffe?

Hi Inselkobi,

da versucht jemand (bzw. ein Script), durch Bugs in uralten Apache- oder PHP- Implementationen, an die User-Passwörter in einer Linux Umgebung ranzukommen.

Das sollte in einer einigermaßen gepflegten Umgebung nicht mehr möglich sein.
Warum die allerdings auch auf dem SC Port aufschlagen ist witzig oder der Port liegt ungünstig.

Kann man getrost ignorieren.

Btw. du hast da einen gefährlichen Irrglauben. Deine Firewall kontrolliert nur ob Verkehr auf dem Port erlaubt ist oder nicht - ganz grob gesagt. Da der Verkehr deines SCs oder HTTP-Dienstes natürlich erlaubt sein sollte würde der Angreifer über den Bug natürlich auch weiter an dein System rankommen können.

Ausweg ist hier nur ein Gesamtkonzept von Paketfilter, Intrusion Detection/Protection und Patchmanagement.
 
AW: SC: Hackingangriffe?

Hallo Commander_Keen,

Danke erstmal fuer die schnelle Antwort.

Achsooo.. Okay.. Naja, ich meine, die beiden 128 kbps liegen auf dem Port 10000 und der 56 kbps auf dem Port 9000 ... Deswegen habe ich mich natuerlich schon ein wenig gewundert. Vor allem weil auf dem einen von beiden 128kbps-Streams keine Homepage liegt und kein Apache installiert.

Komische Sache das dann .. :rolleyes:

Gruss Inselkobi
 
AW: SC: Hackingangriffe?

Najaaa... die 10000 wird standardmässig von dem Verwaltungstool "Webmin" genutzt, und wird daher ganz gerne mal bei Portscans von Script-Kiddys mitgescannt. ;) Wenn dann der 10000er Port bei Dir als "offen" gemeldet wird, versuchen die da natürlich mal dran zu kommen.

...was in Deinem Fall wenig Sinn macht. :D
 
AW: SC: Hackingangriffe?

deinradiostream.de

Ist das also Dein Anbieter ?
Ihr scheint dort nach den Bildern Referenzradio zu sein.

Kann man da nicht weiterhelfen :rolleyes: ?
 
AW: SC: Hackingangriffe?

@Makkus:
Jepp eben .. Ich meine, solange sc_serv nicht gerade per Root gestartet ist und nicht gerade 777 gesetzt ist, denke ich, duerfte sowieso nicht all zu viel passieren.

Ebenso auch nicht mit der aktuellen Version des sc_serv.. Oder ist die auch wieder exploidbar? :rolleyes:


@PMark:
Wen meinst Du?

Gruss Inselkobi
 
AW: SC: Hackingangriffe?

Das hat mit dem sc_serv erstmal nix zu tun. Da die Scriptattacks auf bekannte Ports attackieren ist nunmal auch der Webmin Port 10000 ein gern gesehener Versuch.

Du solltest also hoffen, dass dein Provider den Server ordentlich pflegt, sonst findet das Script halt doch irgendwann eine Schwachstelle im PHP oder PERL Modul und dann haste nen FTP auf deiner Kiste und mehrere Gigabyte pro Tag Traffic :)
 
AW: SC: Hackingangriffe?

Um eine Schwachstelle in PHP oder PERL auf Port 10000 zu finden müsste da erstmal ein Webserver laufen. Wenn da nur der sc_serv horcht, interessiert das weder PHP noch PERL.
Bei Programmier- und Scriptsprachen entscheidet zu 98% das Programm/Script und zu 2% deren Sicherheitslücken.
Angriffe über den Webserver sind da mehr warscheinlich. Grad der IIS hat immer wieder Probleme, beim Apache hängts vom Admin ab, da Bugfixes innerhalb weniger Stunden/Tage erscheinen.
Also immer schön prüfen, welche Version installiert ist und ggf. dem Anbieter auf die FInger klopfen.
 
AW: SC: Hackingangriffe?

Okay, also die meisten von Euch sagen im Endeffekt, der Hoster ist dafür verantwortlich. Naja. Mal sehen was wir da erreichen. Er hat natürlich dieses Thema bereits gefunden und mich angeschrieben :wall: Aber da müssen wir / bzw. er mal durch.
Schadee, das Ihr keine kongreten ansätze habt, wo man mal nachschauen soll.
Gut; Portkontrolle, welche offen sind, Serverlast mal beäugeln etc. das ist denke ich Standard. Ich dachte eher, dass mir einer was sagen kann so in Richtung, jo: Da hämmert Euch einer den SC zu... oder man sieht dies und das im Logfile X.

Ich danke Euch für die Infos.
 
AW: SC: Hackingangriffe?

Okay.. Ich hab nun echt seit gestern mal noch nen zusaetzlichen sc_serv rein zur Provokation :wow: auf den Port 8000 gesetzt und unsere Playlist draufgelegt.

Bisher war noch kein einziger Versuch in dieser Art wie zuvor.
Wenns so weiter geht, werd ich den wohl komplett umschreiben.
Ich glaub, das wuerde dann echt mehr Sinn machen.

Oder was denkt ihr?

Gruss Inselkobi
 
AW: SC: Hackingangriffe?

Ich habe inzwischen schon von 2 freunden, die webradios betreiben, mitbekommen, dass derlei probleme momentan akut auftreten. vorgehensweise ist gleich bei den beiden: der port zum hören sowie umliegende ports wurden massiv gestört. das hat gar nichts mit den streamprovidern zu tun, sondern sieht mir sehr nach einer generellen problematik aus.
 
AW: SC: Hackingangriffe?

Das kommt idR davon, wenn man sich mit anderen Webradios anlegt oder blöde Sprüche auf die Webseite klemmt. War doch erst so ein Fall bei dem mich so eine Aktion nicht wundern wärde. Bei nem Slogan wie "Wir senden kostenlos, alle anderen umsonst".
Ja, das sind u.a. Auslöser für solche Angriffe von pupertierenden Skriptkiddies die zu dumm sind etwas richtig zu machen.
 
AW: SC: Hackingangriffe?

Pegasus schrieb:
Um eine Schwachstelle in PHP oder PERL auf Port 10000 zu finden müsste da erstmal ein Webserver laufen. Wenn da nur der sc_serv horcht, interessiert das weder PHP noch PERL.
Zum Vergrößern anklicken....

Ähm, haste falsche verstanden. Ich wollte nur vom sc_serv ablenken, weil die Gefahr nicht beim sc_serv Modul zu suchen ist sondern das Portscanning nur durch Zufall im logfile vom sc zu finden war. Normalerweise sind die Lücken im apache und seinen modulen zu finden. Zumindest waren die letzten kompromittierten Kisten die ich gesehen habe fast alle übers PERL/PHP Modul penetriert worden.
 
AW: SC: Hackingangriffe?

Stimmt, da hab ich dich falsch verstanden ;)
Wobei die Interpreter sehr selten das Problem sind, sondern schlecht programmierte Scripte. Und das ist bei PERL noch fataler als bei PHP, da PERL wesentlich weitreichendere Zugriffsmöglichkeiten auf dem Server hat.

BTW: SOlange so viele Webradios auf PHPKIT setzen, werden den Skriptkiddies die Ziele nicht ausgehen :D
 
AW: SC: Hackingangriffe?

Pegasus schrieb:
Das kommt idR davon, wenn man sich mit anderen Webradios anlegt oder blöde Sprüche auf die Webseite klemmt. War doch erst so ein Fall bei dem mich so eine Aktion nicht wundern wärde. Bei nem Slogan wie "Wir senden kostenlos, alle anderen umsonst".
Ja, das sind u.a. Auslöser für solche Angriffe von pupertierenden Skriptkiddies die zu dumm sind etwas richtig zu machen.
Zum Vergrößern anklicken....

Wieso bringst du hier was in Zusammenhang, wovon Du überhaupt nichts weisst? Das ist unprofessionell. Da muss ich ja froh sein, keine Namen genannt zu haben. Unglaublich!
 
AW: SC: Hackingangriffe?

Ist aber so :)

Ich weiß wovon Pegasus redet. Ich war mal Admin für einen größeren Counterstrike Clan. Du glaubst nicht was da abgeht. Erst killen die sich auffem Feld, dann die Server *g*
 
Status
Für weitere Antworten geschlossen.
Zurück
Oben