Server kurzzeitig offline

  • kurze Info: Aktuell wird einer unser Server von außen angegriffen (kein Hacking, sondern Fluten mit Daten) und dabei gleichzeitig für ein Angriff auf Drittsysteme missbraucht.


    Zur Eindämmung und Behebung des Problems ist daher der betroffene Server aus. Betroffen sind davon aktuell die 7dtd-pve-Gameserver:

    7dtd - PvE - Heaven on Earth

    7dtd - PvE - Hell on Earth



    Wir arbeiten asap an der Eindämmung und wenn dies geschehen ist, gibt es auch Details.


    Gruß,

    asca

    The post was edited 1 time, last by asca: Atlas entfernt, hatte mich verguckt ().

  • Update:

    Angriff läuft nach wie vor, aber erste Eindämmungsmaßnahmen greifen. Beide Gameserver sollten wieder erreichbar sein, es kann aber leider immer wieder z.Z. zu Problemen kommen.


    Leider war ein harter Reboot notwendig und vom "Heavon on Earth"-Server hat es die Einstellungen des Hintergrund-Tools zerschossen. Da muss dann ein Admin aus'm PvE-Team selbst ran. Daher fehlen dort Dinge wie Teleport o.ä. aktuell.


    Was war/ist passiert?

    Ich vermute, dass der 7dtd-Gameserver "Sky on Earth" für ein sogenannten Amplifikation-Angriff genutzt wurde (oder werden sollte). Die bösen Leute (nennen wir jetzt mal "Mallory") greifen hierbei ihre Opfer (mal "Alice" genannt") nicht direkt an, sondern sorgen dafür, dass jemand Drittes (unser Gameserver, mal einfach "Bob" genannt) denkt, dass Alice etwas von ihm möchte.

    Sprich also Mallory tut Bob gegenüber als wäre er Alice und sagt, dass er GANZ VIELE Daten haben möchte. Und weil Bob so brav ist, schickt dieser wie angefordert ganz viele Daten an Alice. Und Alice denkt sich nur WTF, was soll ich mit dem ganzen Krams?

    "Amplifikation" (Verstärkung) deshalb, weil's exemplarisch Mallory nur ein dünnen Brief mit falschen Absender (Alice) an Bob schicken muss in welcher steht, dass Alice ganz viele Pakete haben möchte. Und Bob schickt wegen eines dünnen Briefes viele viele dicke Pakete an Alice, welche damit überfordert ist.


    Neben der Verstärkung hat es noch ein zweiten Effekt: Alice hält nämlich Bob für den Angreifer.

    Ok, Bob trägt auch eine Mitschuld. Denn er sollte vl. nicht allzu arglos jegliche Anfrage beantworten.


    Und jetzt bissel technischer:

    Der 7dtd-Server "Sky on Earth" hocht auf UDP-Port 36900, ob ein 7dtd-Client ihm Anfragen sendet und beantwortet diese.

    Hier ging massenhaft fingierter Trafic/Anfragen ein und der 7dtd-Server beantwortet diese und spamte damit Drittsystem mit irgendwelchen Datenmüll zu. Das hat wiederum Hetzner bemerkt und uns gemeldet. Eigentlich sollte ein (Game-)Server eigentlich Prüfungen drin haben, die genau sowas verhindern - sind es wohl aber nicht. Daher werden wir es nach weiterer Analyse auch den Funpimps melden.


    Vermutlich werden wir nicht die einzigen sein. Ich denke irgendein "Mallory" hat halt herausgefunden, dass 7dtd-Server sich für sowas missbrauchen lassen und jetzt werden halt einfach mal alle Server abgescannt, ob auf dem 7dtd-Standardport entsprechend reagiert wird - wenn ja: Feuer frei!

    Daher ist gerade eine adhoc-Lösung, dass wir "Sky on Earth" so wie die anderen 7dtd-Gameserver nicht mehr auf dem Standardport 36900 betreiben, sondern auf 38900.

    Damit schießen die Angreifer erstmal vorbei. Gleichsam filtern wir alles auf 36900 rigoros weg.



    Gruß,

    asca


    PS: Alles bezüglich des Ablaufs was geschehen ist, beruht auf dem was bislang vorliegt und aus Erfahrungswerten. Ggf. wissen wir in ein paar Tagen näheres/anderes. Aber so stellt es sich z.Z. dar.

  • Kleine Ergänzung noch der Trafic der letzten Stunden. Man sieht, wie massenhaft Daten reinkamen (blaue Linie) und das rote zeigt die Antworten (Großteil ging eben an völlig fremde Server). Wirklich von Amplification kann man hier nicht sprechen, weil ja deutlich mehr Daten (3-4x so viel) gesendet werden müssen. Sprich der Angreifer braucht eigentlich 3-4x soviel Bandbreite um den gleichen Schaden anzurichten, als wenn er direkt sein Ziel angreifen würde. Vermutlich geht's hier also um vertuschen.


    trafic.png


    Man sieht auch schön, wie ab 13Uhr die Maßnahmen greifen, dass wir zumindest nicht mehr nach außen angreifen. Kommt zwar noch deutlich was zu uns, aber wir Stoppen das Ganze.

    Jetzt geht's darum, die blaue Linie wieder in den Normbereich zu bekommen...