View Single Post
  #1  
Old 9th January 2006, 13:21
Ovidiu Ovidiu is offline
Senior Member
 
Join Date: Sep 2005
Posts: 1,257
Thanks: 75
Thanked 22 Times in 18 Posts
Default server blocked/stopped by host

Hi guys,

my strato server has stopped working on sunday, I have been trying to fix it the whole last night, but then realized that inside my control panel from strato it said: host has been suspended please contact support.

I did so and they stated:

Quote:
Leider wurde Ihr Server am Wocheende Ziel einer DoS-Attacke. Um unsere Infrastruktur und Ihren Server vor weiteren Folgeschäden zu bewahren, mussten wir daher Ihren Server kurzfristig vom Netz nehmen.

Wir haben den Server heute vormittag wieder entsperrt und innerhalb der nächsten Stunde sollte der Server wieder wie gewohnt zur Verfügung stehen.
this means my server was hit by a Dos attack and my host has cut it of from the internet to prevent damage.

I then asked if I could see evidence of a DOS attack and what they plan to do against the initiators.

They responded:

Quote:
Hiermit möchten wir Sie informieren, dass uns unsere Techniker vom STRATO Rechenzentrum darüber in Kenntnis gesetzt haben, dass auf Ihrem Server mit dem Hostnamen: hxxxx.serverkompetenz.net mit der Auftragsnummer: xxxxxx eine fehlerhafte Anwendung ausgeführt wird.

Dies fiel durch eine nicht normal hohe Anzahl von Paketen (21001 eingehende packets/sec) auf. Dieser Vorgang beeinträchtigt die technische Infrastruktur der STRATO Medien AG auf nicht akzeptable Weise und verstößt damit gegen die Regelbetriebsbedingungen unserer Allgemeinen Geschäftsbedingungen, die Sie jederzeit im Internet einsehen können: http://www.strato.de/full/STRATO/agb.html

Es ist möglich, dass sich ein Dritter Zugang zu den root-Benutzerrechten auf Ihrem Server verschafft hat.
Falls Sie die Vermutung hegen, dass ein Dritter Ihren Server gehackt hat, empfehlen wir Ihnen eine Sicherung Ihrer persönlichen Dateien auf dem Server und eine Neuinstallation des Servers.

Erzeugen Sie mit dem Befehl "tar cvfz /backup.tgz <verzeichnisname>" Backupdateien Ihrer persönlichen Dateien.
Geben Sie dann den Befehl "/etc/init.d/networking stop" ein, booten Sie danach im RecoveryModus und kopieren Sie Ihre Dateien per FTP oder SSH auf einen anderen Server.
Nach erfolgter Neuinstallation setzen Sie uns in Kenntnis, dass wir den Server wieder freischalten können. Als Termin haben wir uns spätestens den <date>(0,".",1,1,7) vorgemerkt.
here they try to tell me that there is an application on my server which causes too high load 21001 packets/sec and that my server could have been hacked - they suggest that I backup my server and reinstall...

this seems highly contradictory to me as they told me about DOS first then state I have a rogue application that has a high number of incoming packets - ??? AND in their first email they told me my server would be back online in a few hours, after I asked for more details they come up with this story about this application...

Any suggestions? I just mailed them and asked about clarification.

I'd apreciate any help.
Reply With Quote
Sponsored Links