Abusemeldung erhalten

  • Dumm nur, dass heute schon wieder eine abuse-Meldung eintraf Ich denke, dass Problem ist, dass der Dienst zwar nicht mehr korrekt 'funktioniert', der Scan vom BSI aber alleine auf open/closed/filtered testet. Und open wird anscheinend immer angemahnt. Dann muss also leider doch die iptables-Keule raus. Also her damit:

    Kann ich bei mir nicht sagen, die wichtigen Ports sind geschlossen oder gefiltert.


    Gruß


    RR


    Das Böse triumphiert alleine dadurch,

    das gute Menschen nichts unternehmen.

    Edmund Burke

    12.01.1729 - 09.07.1797

    Anno Domini V.VI.MCMLXV

  • Ich hab bei mir auf der Firewall die Regel in der Form eingetragen:

    Für IPv6 mit:

    Code
    1. ip6tables -I INPUT -p tcp -s ::1 --dport 111 -j ACCEPT
    2. ip6tables -A INPUT -p tcp -m tcp --dport 111 -j REJECT
    3. ip6tables -A INPUT -p udp --dport 111 -j DROP

    Für IPv4 mit:

    Code
    1. iptables -I INPUT -p tcp -s 127.0.0.1 --dport 111 -j ACCEPT
    2. iptables -A INPUT -p tcp -m tcp --dport 111 -j REJECT
    3. iptables -A INPUT -p udp --dport 111 -j DROP

    Um eine NFS Share hinzuzufügen müsste die Adresse dann jeweils mit ihrer ipv4 / ipv6 Adresse freigeschaltet werden.

    Code
    1. iptables -I INPUT -p tcp -s aaa.bbb.ccc.ddd —dport 111 -j ACCEPT
    2. ip6tables -I INPUT -p tcp -s ::xyz —dport 111 -j ACCEPT

    Wichtig ist dabei nur das die Regel mit -I eingetragen wird damit das Packet nicht frühzeitig verworfen wird.

  • Hey, ich habe es einfach mal überflogen, sorry dafür,

    wegen dein Problem, änder die Ports von den bekannten diensten die du nutzt, z.b SSH port ändern und fail2ban installieren.



    Zu dieser Email, da hat Netcup meiner Meinung etwas "schlampig" gehandelt, es fählt der Zeitstempel indem du den Angriff entnehmen kannst, dass ist fahrlässig, Netcup ist dazu verpflichtet.

    Und die meisten Anbieter schreiben dazu, wie du dich davor sichern und schützen kannst, woran Netcup scheinbar kein Interesse hast.

    Hoffe das kein fremder zugang erlangt hat, sonst kannst du den Server im Prinzip löschen

  • in der Zukunft auch ein Teil des Logs mitgeschickt wird, in dem Informationen zu den IP-Adressen stehen, die der CERT-Bund geprüft hat. Auch hier gilt, IP-Adressen die andere Kunden betreffen, werden geschwärzt.

    @Alessandro99 den Port des rpcbind zu ändern wäre nicht der richtige Ansatz. Das Funktioniert bei ssh bots die wahllos die Weiten des Internets mapen und nach Zugängen suchen aber bei so was klappt das nicht so wirklich gut.
    Zum zweiten einige haben diese Mail bekommen. Es handelt sich dabei nicht um einen Angriff, sondern bloß um eine Benachrichtigung das, in diesem Fall der BSI, in der Lage war von Außen auf den rpcbind einzuwirken, wie auch immer. Netcup hat hier gar nichts mit am Hut, du bestellst dein Produkt und dann bist du dafür zuständig Netcup hat seinen Dienst damit getan das die Benachrichtigung weitergeleitet wurde und du als Besitzer das bemerkst.
    [netcup] Felix P. Ich hoffe das war so richtig. Sonst Schande über mein Haupt.

  • Naja, ich hatte ein langes gespräch mit CERT bund, klar ist Netcup dafür nicht zuständig, habe ich auch nicht behauptet, aber wenn sie die Email weiterleiten, dann alle Informationen die für den Kunden bestimmt sind, auch den Zeitstempel ganz einfach.


    Von einem rpcbind habe ich nie gesprochen, ich wollte nur sagen, das du Türen, die man zum Angriff nutzen kann, besser schützen kann, nur als nebenkommentar, wie z.b den SSH port.

  • Allerdings geht es in diesem Thread speziell um den rpcbind port 111 tcp/udp und für die Leute die die abuse mail erst vor kurzem bekommen haben ist dort der genau Zeitpunkt und die verwendete IP Adresse in der Mail genannt.

    abuse Mail wrote:

    Netcup hat damit dann aber nichts am Hut. Es gibt wie von Felix weiter oben in diesem Thread beschrieben wie gesagt gute Gründe den Port offen zu haben. Netcup kann nicht einfach hingehen und Port schließen das ist Sache der Kunden.

  • Netcup kann nicht einfach hingehen und Port schließen das ist Sache der Kunden.

    Natürlich kann Netcup nicht hingehen und den Port einfach schließen, da gebe ich Dir recht, aber ein vernünftiger Lösungsansatz wäre für den Kunden schon hilfreich! Bei anderen Anbietern ist dieser oft mit bei.

    Gruß


    RR


    Das Böse triumphiert alleine dadurch,

    das gute Menschen nichts unternehmen.

    Edmund Burke

    12.01.1729 - 09.07.1797

    Anno Domini V.VI.MCMLXV

  • Ich habe schon wieder ein Meldung von CERT-Bund bekommen und das steht, das der Portmapper-Dienst mit dem Port 111 offen ist.




    Code
    1. rpcinfo -T udp -p 46.xx.xxx.xxx
    2. 46.xx.xxx.xxx: RPC: Port mapper failure - Unable to receive: errno 111 (Connection refused)


    Irgendwie verstehe ich das jetzt nicht!?

    Gruß


    RR


    Das Böse triumphiert alleine dadurch,

    das gute Menschen nichts unternehmen.

    Edmund Burke

    12.01.1729 - 09.07.1797

    Anno Domini V.VI.MCMLXV

  • Man kann vieles tun:

    • Den Dienst entfernen, wenn man ihn nicht braucht
    • Den Port whitelisten also z.B. mit iptables nur für bestimmte Hosts freigeben auf denen man diesen Dienst benötigt
      • Die scannende IP herausfinden und blacklisten ( :D )
    • Einen Mail-Filter einrichten, der diese Abuse-Mails wegfiltert
    • Alles so lassen wie es ist
  • Ich bin immer der Auffassung, alles was nicht benötigt wird, wird vom Server runtergeworfen. Den was nicht da ist, kann auch keinen Ärger machen :-) Aber auch in iptables wird alles geschlossen und nur das, nach kritischer Prüfung, geöffnet was benötigt wird, aber auch hier wird wieder eingeschränkt:


    z.B. SSH


    Code
    1. #SSH
    2. /sbin/iptables -A INPUT -p tcp -d 188.xx.xx.xxx --dport 22 -m conntrack --ctstate NEW -m recent --name ssh --set
    3. /sbin/iptables -A INPUT -p tcp -d 188.xx.xx.xxx --dport 22 -m recent --rcheck --seconds 600 --hitcount 5 --rttl --name ssh --rsource -j DROP
    4. /sbin/iptables -A INPUT -p tcp -d 188.xx.xx.xxx --dport 22 -m recent --update --seconds 600 --hitcount 4 --rttl --name ssh --rsource -j DROP
  • Wollte eigentlich demnächst mal wieder einen Server bei euch mieten aber bis die Abusemails aufhören bzw eine öffentlich verifizierte Lösung des Problems bekannt gegeben wurde werde ich lieber warten. Habe leider nicht die Zeit und Lust mich mit Abusemails rumzuschlagen.

  • Wollte eigentlich demnächst mal wieder einen Server bei euch mieten aber bis die Abusemails aufhören bzw eine öffentlich verifizierte Lösung des Problems bekannt gegeben wurde werde ich lieber warten. Habe leider nicht die Zeit und Lust mich mit Abusemails rumzuschlagen.

    Ich vermute netcup wird nicht der einzige Provider sein welcher solche Mails bekommt. Ich finde dies positiv. Entweder du kriegst einen netten Hinweiß oder jemand anders zieht dir durch irgendwelche Schwachstellen dann deinen Server weg.

  • Wollte eigentlich demnächst mal wieder einen Server bei euch mieten aber bis die Abusemails aufhören bzw eine öffentlich verifizierte Lösung des Problems bekannt gegeben wurde werde ich lieber warten. Habe leider nicht die Zeit und Lust mich mit Abusemails rumzuschlagen.

    Diese Aussage kann ich nicht nachvollziehen. netcup leitet diese E-Mails weiter, damit du als Kunde über mögliche Sicherheitslücken auf deinem Server informiert bist. Das ist doch grundsätzlich positiv zu bewerten. Ferner ist netcup auch dazu verpflichtet, dich über solche Meldungen zu informieren.

    Du kannst ja entscheiden, wie du mit den Meldungen umgehen möchtest, in diesen wird explizit erwähnt, dass sie lediglich informativen Charakter besitzen - es steht dir also frei, sie komplett zu ignorieren.


    Das BSI bietet hier HOWTOs an, wie die Ursache behoben werden kann:

    https://www.bsi.bund.de/DE/The…/HOWTOs/howtows_node.html


    Was hat netcup damit zu tun? Bei einem unmanaged Server, wie es die VPS und Root-Server sind, bist du komplett selbst für die Konfiguration und somit auch Absicherung deines Servers verantwortlich.


    Grundsätzlich ist es zu empfehlen, einen Server nur mit Firewall zu betreiben und eben nur die Ports freizugeben, die benötigt werden - dann wirst du auch keine dieser E-Mails erhalten.

  • Was hat netcup damit zu tun? Bei einem unmanaged Server, wie es die VPS und Root-Server sind, bist du komplett selbst für die Konfiguration und somit auch Absicherung deines Servers verantwortlich.


    Grundsätzlich ist es zu empfehlen, einen Server nur mit Firewall zu betreiben und eben nur die Ports freizugeben, die benötigt werden - dann wirst du auch keine dieser E-Mails erhalten.

    Das sehe ich genauso. Was wäre denn, wenn Netcup bei einen unmanaged Server alles im Vorfeld dicht machen würde. Genau. Denn woher soll denn Netcup wissen, welches System man auf den Server spielt und was man alles an offenen Ports brauchst.


    Wollte eigentlich demnächst mal wieder einen Server bei euch mieten aber bis die Abusemails aufhören bzw eine öffentlich verifizierte Lösung des Problems bekannt gegeben wurde werde ich lieber warten. Habe leider nicht die Zeit und Lust mich mit Abusemails rumzuschlagen.

    Die Abuse-Meldung ist lediglich ein gut gemeinter Hinweis vom BSI, was Du damit anfängst ist Deine Sache. Aber für ein unmanaged Server bist Du voll und ganz alleine verantwortlich! Ansonsten solltest Du doch lieber bei Webhosting oder beim einem managed Server bleiben.

    Gruß


    RR


    Das Böse triumphiert alleine dadurch,

    das gute Menschen nichts unternehmen.

    Edmund Burke

    12.01.1729 - 09.07.1797

    Anno Domini V.VI.MCMLXV

  • Das sehe ich genauso. Was wäre denn, wenn Netcup bei einen unmanaged Server alles im Vorfeld dicht machen würde. Genau. Denn woher soll denn Netcup wissen, welches System man auf den Server spielt und was man alles an offenen Ports brauchst.


    Die Abuse-Meldung ist lediglich ein gut gemeinter Hinweis vom BSI, was Du damit anfängst ist Deine Sache. Aber für ein unmanaged Server bist Du voll und ganz alleine verantwortlich! Ansonsten solltest Du doch lieber bei Webhosting oder beim einem managed Server bleiben.



    Alles klar :) Danke^^ Habe bestellt