Abusemeldung root Server Netscan

  • Hallo ich habe eine Abusemeldung bekommen und weiss nicht genau was ich damit anfangen soll.

    Ich habe eigentlich nicht wirklich viel was laufen paar docker container ( nginx webserver, gitlab server, MongoDB Datenbank, ...).

    Wird jetzt bei mir alles gelöscht und gesperrt? Was genau muss ich tun? Gitlab Server ist mir sehr wichtig...

    Was bedeutet die Abusemeldung eigentlich?

    Muss ich bei Netcup anrufen damit mein Konto nicht gesperrt wird? Da steht ich habe 48 Stunden Zeit...

    Hier ist die Abusemeldung (nur die hälfte weil ich sonst die maximalen Zeichen überschreite):


    > ##########################################################################

    > # Netscan detected from host 194.55.13.46 #

    > ##########################################################################

    >

    > time protocol src_ip src_port dest_ip dest_port

    > ---------------------------------------------------------------------------

    > Thu Dec 27 19:09:34 2018 TCP 194.55.13.46 54152 => 159.69.96.151 5900

    > Thu Dec 27 19:09:30 2018 TCP 194.55.13.46 54152 => 159.69.96.154 5900

    > Thu Dec 27 19:09:40 2018 TCP 194.55.13.46 54152 => 159.69.96.167 5900

    > Thu Dec 27 19:09:37 2018 TCP 194.55.13.46 54152 => 159.69.96.172 5900

    > Thu Dec 27 19:09:40 2018 TCP 194.55.13.46 54152 => 159.69.96.177 5900

    > Thu Dec 27 19:09:39 2018 TCP 194.55.13.46 54152 => 159.69.96.180 5900

    > Thu Dec 27 19:09:38 2018 TCP 194.55.13.46 54152 => 159.69.96.183 5900

    > Thu Dec 27 19:09:36 2018 TCP 194.55.13.46 54152 => 159.69.96.185 5900

    > Thu Dec 27 19:09:40 2018 TCP 194.55.13.46 54152 => 159.69.96.190 5900

    > Thu Dec 27 19:09:36 2018 TCP 194.55.13.46 54152 => 159.69.96.193 5900

    > Thu Dec 27 19:09:31 2018 TCP 194.55.13.46 54152 => 159.69.96.198 5900

    > Thu Dec 27 19:09:33 2018 TCP 194.55.13.46 54152 => 159.69.96.200 5900

    > Thu Dec 27 19:09:35 2018 TCP 194.55.13.46 54152 => 159.69.96.201 5900

    > Thu Dec 27 19:09:37 2018 TCP 194.55.13.46 54152 => 159.69.96.205 5900

    > Thu Dec 27 19:09:38 2018 TCP 194.55.13.46 54152 => 159.69.96.206 5900

    > Thu Dec 27 19:09:40 2018 TCP 194.55.13.46 54152 => 159.69.96.207 5900

    > Thu Dec 27 19:09:30 2018 TCP 194.55.13.46 54152 => 159.69.96.214 5900

    > Thu Dec 27 19:09:31 2018 TCP 194.55.13.46 54152 => 159.69.96.215 5900

    > Thu Dec 27 19:09:37 2018 TCP 194.55.13.46 54152 => 159.69.96.220 5900

    > Thu Dec 27 19:09:32 2018 TCP 194.55.13.46 54152 => 159.69.96.223 5900

    > Thu Dec 27 19:09:35 2018 TCP 194.55.13.46 54152 => 159.69.96.225 5900

    > Thu Dec 27 19:09:29 2018 TCP 194.55.13.46 54152 => 159.69.96.226 5900

    > Thu Dec 27 19:09:36 2018 TCP 194.55.13.46 54152 => 159.69.96.227 5900

    > Thu Dec 27 19:09:31 2018 TCP 194.55.13.46 54152 => 159.69.96.229 5900

    > Thu Dec 27 19:09:37 2018 TCP 194.55.13.46 54152 => 159.69.96.230 5900

    > Thu Dec 27 19:09:40 2018 TCP 194.55.13.46 54152 => 159.69.96.231 5900

    > Thu Dec 27 19:09:34 2018 TCP 194.55.13.46 54152 => 159.69.96.233 5900

    > Thu Dec 27 19:09:35 2018 TCP 194.55.13.46 54152 => 159.69.96.236 5900

    > Thu Dec 27 19:09:40 2018 TCP 194.55.13.46 54152 => 159.69.96.241 5900

    > Thu Dec 27 19:09:32 2018 TCP 194.55.13.46 54152 => 159.69.96.244 5900

    > Thu Dec 27 19:09:33 2018 TCP 194.55.13.46 54152 => 159.69.96.247 5900

    > Thu Dec 27 19:09:29 2018 TCP 194.55.13.46 54152 => 159.69.96.250 5900

    > Thu Dec 27 19:09:28 2018 TCP 194.55.13.46 54152 => 159.69.96.251 5900

    > Thu Dec 27 19:09:40 2018 TCP 194.55.13.46 54152 => 159.69.96.252 5900

    > Thu Dec 27 19:09:40 2018 TCP 194.55.13.46 54152 => 159.69.96.253 5900

    > Thu Dec 27 19:09:38 2018 TCP 194.55.13.46 54152 => 159.69.98.97 5900

    > Thu Dec 27 19:09:39 2018 TCP 194.55.13.46 54152 => 159.69.98.149 5900

    > Thu Dec 27 19:09:40 2018 TCP 194.55.13.46 54152 => 159.69.98.199 5900

    > Thu Dec 27 19:09:39 2018 TCP 194.55.13.46 54152 => 159.69.98.219 5900

    > Thu Dec 27 19:09:40 2018 TCP 194.55.13.46 54152 => 159.69.99.34 5900

    > Thu Dec 27 19:09:39 2018 TCP 194.55.13.46 54152 => 159.69.99.36 5900

    > Thu Dec 27 19:09:39 2018 TCP 194.55.13.46 54152 => 159.69.99.57 5900

    > Thu Dec 27 19:09:37 2018 TCP 194.55.13.46 54152 => 159.69.99.80 5900

    > Thu Dec 27 19:09:38 2018 TCP 194.55.13.46 54152 => 159.69.99.85 5900

    > Thu Dec 27 19:09:40 2018 TCP 194.55.13.46 54152 => 159.69.99.121 5900

    > Thu Dec 27 19:09:31 2018 TCP 194.55.13.46 54152 => 159.69.99.152 5900

    > Thu Dec 27 19:09:34 2018 TCP 194.55.13.46 54152 => 159.69.99.158 5900

    > Thu Dec 27 19:09:34 2018 TCP 194.55.13.46 54152 => 159.69.99.202 5900

    > Thu Dec 27 19:09:40 2018 TCP 194.55.13.46 54152 => 159.69.99.209 5900

    > Thu Dec 27 19:09:33 2018 TCP 194.55.13.46 54152 => 159.69.99.210 5900

    > Thu Dec 27 19:09:38 2018 TCP 194.55.13.46 54152 => 159.69.99.216 5900

    > Thu Dec 27 19:09:40 2018 TCP 194.55.13.46 54152 => 159.69.99.255 5900

    > Thu Dec 27 19:09:36 2018 TCP 194.55.13.46 54152 => 159.69.104.76 5900

    > Thu Dec 27 19:09:37 2018 TCP 194.55.13.46 54152 => 159.69.104.79 5900

    > Thu Dec 27 19:09:29 2018 TCP 194.55.13.46 54152 => 159.69.104.80 5900

    > Thu Dec 27 19:09:33 2018 TCP 194.55.13.46 54152 => 159.69.104.82 5900

    > Thu Dec 27 19:09:35 2018 TCP 194.55.13.46 54152 => 159.69.104.87 5900

    > Thu Dec 27 19:09:32 2018 TCP 194.55.13.46 54152 => 159.69.104.88 5900

    > Thu Dec 27 19:09:29 2018 TCP 194.55.13.46 54152 => 159.69.104.90 5900

    > Thu Dec 27 19:09:38 2018 TCP 194.55.13.46 54152 => 159.69.104.93 5900

    > Thu Dec 27 19:09:34 2018 TCP 194.55.13.46 54152 => 159.69.104.95 5900

    > Thu Dec 27 19:09:37 2018 TCP 194.55.13.46 54152 => 159.69.104.99 5900

    > Thu Dec 27 19:09:29 2018 TCP 194.55.13.46 54152 => 159.69.104.102 5900

    > Thu Dec 27 19:09:34 2018 TCP 194.55.13.46 54152 => 159.69.104.103 5900

    > Thu Dec 27 19:09:37 2018 TCP 194.55.13.46 54152 => 159.69.104.104 5900

    > Thu Dec 27 19:09:32 2018 TCP 194.55.13.46 54152 => 159.69.104.106 5900

    > Thu Dec 27 19:09:39 2018 TCP 194.55.13.46 54152 => 159.69.104.107 5900

    > Thu Dec 27 19:09:40 2018 TCP 194.55.13.46 54152 => 159.69.104.108 5900

    > Thu Dec 27 19:09:36 2018 TCP 194.55.13.46 54152 => 159.69.104.115 5900

    > Thu Dec 27 19:09:30 2018 TCP 194.55.13.46 54152 => 159.69.104.117 5900

    > Thu Dec 27 19:09:35 2018 TCP 194.55.13.46 54152 => 159.69.104.121 5900

    > Thu Dec 27 19:09:32 2018 TCP 194.55.13.46 54152 => 159.69.104.124 5900

    > Thu Dec 27 19:09:35 2018 TCP 194.55.13.46 54152 => 159.69.104.127 5900

    > Thu Dec 27 19:09:33 2018 TCP 194.55.13.46 54152 => 159.69.104.129 5900

    > Thu Dec 27 19:09:40 2018 TCP 194.55.13.46 54152 => 159.69.104.135 5900

    > Thu Dec 27 19:09:14 2018 TCP 194.55.13.46 54152 => 159.69.104.141 5900

    > Thu Dec 27 19:09:29 2018 TCP 194.55.13.46 54152 => 159.69.104.144 5900

    > Thu Dec 27 19:09:35 2018 TCP 194.55.13.46 54152 => 159.69.104.145 5900

    > Thu Dec 27 19:09:37 2018 TCP 194.55.13.46 54152 => 159.69.104.148 5900

    > Thu Dec 27 19:09:33 2018 TCP 194.55.13.46 54152 => 159.69.104.149 5900

    > Thu Dec 27 19:09:40 2018 TCP 194.55.13.46 54152 => 159.69.104.154 5900

    > Thu Dec 27 19:09:36 2018 TCP 194.55.13.46 54152 => 159.69.104.155 5900

    > Thu Dec 27 19:09:14 2018 TCP 194.55.13.46 54152 => 159.69.104.156 5900

    > Thu Dec 27 19:09:37 2018 TCP 194.55.13.46 54152 => 159.69.104.161 5900

    > Thu Dec 27 19:09:32 2018 TCP 194.55.13.46 54152 => 159.69.104.163 5900

    > Thu Dec 27 19:09:36 2018 TCP 194.55.13.46 54152 => 159.69.104.169 5900

    > Thu Dec 27 19:09:36 2018 TCP 194.55.13.46 54152 => 159.69.104.171 5900

    > Thu Dec 27 19:09:32 2018 TCP 194.55.13.46 54152 => 159.69.104.176 5900

    > Thu Dec 27 19:09:41 2018 TCP 194.55.13.46 54152 => 159.69.104.191 5900

    > Thu Dec 27 19:09:36 2018 TCP 194.55.13.46 54152 => 159.69.104.195 5900

    > Thu Dec 27 19:09:29 2018 TCP 194.55.13.46 54152 => 159.69.104.196 5900

    > Thu Dec 27 19:09:26 2018 TCP 194.55.13.46 54152 => 159.69.104.198 5900

    > Thu Dec 27 19:09:26 2018 TCP 194.55.13.46 54152 => 159.69.104.206 5900

    > Thu Dec 27 19:09:32 2018 TCP 194.55.13.46 54152 => 159.69.104.208 5900

    > Thu Dec 27 19:09:34 2018 TCP 194.55.13.46 54152 => 159.69.104.209 5900

    > Thu Dec 27 19:09:37 2018 TCP 194.55.13.46 54152 => 159.69.104.213 5900

    > Thu Dec 27 19:09:40 2018 TCP 194.55.13.46 54152 => 159.69.104.218 5900

    > Thu Dec 27 19:09:35 2018 TCP 194.55.13.46 54152 => 159.69.104.219 5900

    > Thu Dec 27 19:09:38 2018 TCP 194.55.13.46 54152 => 159.69.104.226 5900

    > Thu Dec 27 19:09:40 2018 TCP 194.55.13.46 54152 => 159.69.104.228 5900

    > Thu Dec 27 19:09:36 2018 TCP 194.55.13.46 54152 => 159.69.104.231 5900

    > Thu Dec 27 19:09:39 2018 TCP 194.55.13.46 54152 => 159.69.104.234 5900

    > Thu Dec 27 19:09:30 2018 TCP 194.55.13.46 54152 => 159.69.104.235 5900

    > Thu Dec 27 19:09:40 2018 TCP 194.55.13.46 54152 => 159.69.104.237 5900

    > Thu Dec 27 19:09:35 2018 TCP 194.55.13.46 54152 => 159.69.104.238 5900

    > Thu Dec 27 19:09:14 2018 TCP 194.55.13.46 54152 => 159.69.104.239 5900

    > Thu Dec 27 19:09:33 2018 TCP 194.55.13.46 54152 => 159.69.104.244 5900

    > Thu Dec 27 19:09:36 2018 TCP 194.55.13.46 54152 => 159.69.104.245 5900

    > Thu Dec 27 19:09:25 2018 TCP 194.55.13.46 54152 => 159.69.104.249 5900

    > Thu Dec 27 19:09:37 2018 TCP 194.55.13.46 54152 => 159.69.104.250 5900

    > Thu Dec 27 19:09:40 2018 TCP 194.55.13.46 54152 => 159.69.104.254 5900

    > Thu Dec 27 19:09:37 2018 TCP 194.55.13.46 54152 => 159.69.105.2 5900

    > Thu Dec 27 19:09:35 2018 TCP 194.55.13.46 54152 => 159.69.105.3 5900

    > Thu Dec 27 19:09:37 2018 TCP 194.55.13.46 54152 => 159.69.105.6 5900

    > Thu Dec 27 19:09:37 2018 TCP 194.55.13.46 54152 => 159.69.105.9 5900

    > Thu Dec 27 19:09:40 2018 TCP 194.55.13.46 54152 => 159.69.105.16 5900

  • Hay,


    vorausgesetzt Dein Rechner ist der 194.55.13.46, dann versucht der herauszufinden, welcher Rechner des gescannten Bereiches den VNC Port offen hat.

    Ich würde zuerst einmal mit der Firewall IN RICHTUNG NACH AUSSEN alles dichtmachen, was nicht unbedingt erforderlich ist (wie z.B. Port 53) bzw. erstmal nur den Bereich 5900-5910 und dann mal schauen, welcher Prozess das sein kann, der an Port 54152 hängt, z.B. netstat -tulpen und lsof -i.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Hay,


    Ergänzung: iftop -nNP und nethogs kann auch noch helfen, aber damit kann man nur "die Tatsache dass" feststellen. Bringen keine Prozess-IDs oder ähnliches.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Nochmal kurz als Erklärung was diese Abuse-Meldung bedeutet: Dein System 194.55.13.46 scannt systematisch IPs nacheinander ab (sieht man ja hier sehr schön), ob dort Port 5900 offen ist.

    Da du das ja wahrscheinlich nicht selbst tust, nutzt also jemand dein System, um diesen Scan durchzuführen.

    Im Zweifel schalte bitte deinen Server ab, da du ihn scheinbar nicht mehr (alleinig) unter Kontrolle hast. Dann schön neu aufsetzen und Backups nur der Nutzdaten einspielen.


    Anscheinend auch schon mindestens seit dem 24.12. - da wurdest du zumindest schonmal von einem anderen Sysadmin gemeldet: https://www.abuseipdb.com/check/194.55.13.46