Abusemeldung erhalten

  • Guten Tag ************ ,


    wir haben heute eine Abusemeldung betreffend Ihres Produkt ********************** erhalten. Einzelheiten dazu finden Sie am Ende dieser E-Mail.
    Bitte beachten Sie, dass wir diese Meldung vom CERT-BUND erhalten haben und Ihnen ausschließlich weiterleiten.


    Abusemeldung:
    [English version below]


    Sehr geehrte Damen und Herren,


    NetBIOS ist eine Programmierschnittstelle zur Kommunikation zwischen
    Programmen über ein lokales Netzwerk. NetBIOS over TCP/IP ist ein
    Netzwerkprotokoll, das es ermöglicht, auf der Programmierschnittstelle
    NetBIOS aufbauende Programme über das Netzwerkprotokoll TCP/IP zu
    verwenden.


    In den letzten Monaten wurden Systeme, welche Anfragen an NetBIOS-
    Namensdienste aus dem Internet beantworten, zunehmend zur Durchführung
    von DDoS-Reflection-Angriffen gegen IT-Systeme Dritter missbraucht.
    Der NetBIOS-Namensdienst verwendet Port 137/udp.


    Nachfolgend senden wir Ihnen eine Liste betroffener Systeme in Ihrem
    Netzbereich. Der Zeitstempel (Zeitzone UTC) gibt an, wann der offene
    NetBIOS-Namensdienst identifiziert wurde.


    Wir möchten Sie bitten, den Sachverhalt zu prüfen und Maßnahmen zur
    Absicherung der NetBIOS-Namensdienste auf den betroffenen Systemen
    zu ergreifen bzw. Ihre Kunden entsprechend zu informieren.


    Falls Sie kürzlich bereits Gegenmaßnahmen getroffen haben und diese
    Benachrichtigung erneut erhalten, beachten Sie bitten den angegebenen
    Zeitstempel. Wurde die Gegenmaßnahme erfolgreich umgesetzt, sollten
    Sie keine Benachrichtigung mit einem Zeitstempel nach der Umsetzung
    mehr erhalten.


    Weitere Informationen zu dieser Benachrichtigung, Hinweise zur
    Behebung gemeldeter Sicherheitsprobleme sowie Antworten auf häufig
    gestellte Fragen finden Sie unter:
    <https://reports.cert-bund.de/>


    Diese E-Mail ist mittels PGP digital signiert. Informationen zu dem
    verwendeten Schlüssel finden Sie unter vorgenannter URL.


    Bitte beachten Sie:
    Dies ist eine automatisch generierte Nachricht. Antworten an die
    Absenderadresse <reports@reports.cert-bund.de> werden NICHT gelesen
    und automatisch verworfen. Bei Rückfragen wenden Sie sich bitte
    unter Beibehaltung der Ticketnummer [CB-Report#...] in der
    Betreffzeile an <certbund@bsi.bund.de>.


    !! Bitte lesen Sie zunächst unsere HOWTOs und FAQ, welche unter
    !! <https://reports.cert-bund.de/> verfügbar sind.


    ____________________________________________________________________________________________




    Heißt das jetzt das bei mir ein DDoS Angriff stattgefunden hat oder wie?



    Habe sowas noch nie gehabt... bin echt auf eure Hilfe angewiesen.



    Vielen Dank im Voraus!



    Liebe Grüße
    Jojo95

  • Nein, das BSI scannt einfach nach Servern wo rpcbind oder portmap läuft und schicken dann die Meldungen an den Netzbetreiber.
    Wenn wirklich ein Angriff stattgefunden hätte, sähe die E-Mail etwas anders aus. Dann wird glaube ich auch eine Antwort von Netcup verlangt.

  • In der Mail bezüglich "Portmapper-Dienst (portmap, rpcbind)" hat sich netcup mit den einleitenden Worten wohl etwas mehr Mühe gegeben:


    Zitat

    wir haben heute eine Informationsmeldung betreffend Ihres Produkt XXXXXXXXXXX erhalten. Einzelheiten dazu finden Sie am Ende dieser E-Mail. Bitte beachten Sie, dass wir diese Meldung vom CERT-BUND erhalten haben und Ihnen zur Information weiterleiten. Bitte entscheiden Sie selbst, wie Sie mit der Meldung umgehen. Eine Antwort an uns ist nicht erforderlich.


    Hier ist nicht von einer Abusemeldung sondern von einer Informationsmeldung die Rede, damit wäre es vmtl. auch für dich klarer gewesen. ^^

  • Hab die gleiche E-Mail bekommen wegen Port 111. Kann das aber lokal auf der Maschine nicht nachvollziehen dass der offen sein soll. Nmap jetzt grad von außen um zu kucken wo das herkommt.
    EDIT:
    Hm also der Port ist bei mir sicher dicht.
    Ich nehme das jetzt einfach trotzdem als Anstoß paranoid alle Dienste durch zu checken.

  • Hallo zusammen,


    micht hat es auch getroffen bezügl. der Abuse-Mail.


    Wenn man Storage Space von Netcup eingebunden hat, ist Port 111 ja leider von nfs-commons benötigt. Meine Überlegung ist jetzt für alle außer den Storage Space den Zugriff zu sperren.


    Code
    iptables -I INPUT -s [StoragespaceIP] -p tcp -m tcp --dport 111 -j ACCEPT


    Müsste ja das Zugreifen erlauben und


    Code
    iptables -I INPUT -p tcp -m tcp --dport 111 -j REJECT


    den Zugriff für alle Anderen sperren. Oder sehe ich das falsch?


    Merci schonmal für ein kurzes Feedback. :D

  • hallo,

    jay Bei Ihm geht es zwar nicht um rpcbind, sondern um NetBIOS


    huch, das habe ich tatsächlich überlesen, da ich dasselbe zeitgleich zu einem server erhalten habe, auf dem ich tatsächlich noch den nfs kram aktiv hatte :)

    Hab die gleiche E-Mail bekommen wegen Port 111. Kann das aber lokal auf der Maschine nicht nachvollziehen dass der offen sein soll.


    der scan könnte uralt sein. das bsi verweist in seiner mail (zumindest bei dem nfs hinweis) auf den timestamp der angehängten logs.
    diese hat nc aber leider aus der weiterleitung gelöscht, sodass du jetzt nur raten kannst...


    jay

  • Guten Tag,


    ich möchte an dieser Stelle nochmals betonen, dass die E-Mails zunächst rein informativen Charakter haben. Da die E-Mails von einer Bundesbehörde kommen, möchten wir diese Weiterleiten. Herausforderung dabei ist, dass die Bundesbehörde uns zu jedem Protokoll eine E-Mail schickt, die Informationen von vielen Kunden enthält. Wir haben hierzu ein System entwickelt, dass die E-Mails vom CERT-Bund automatisiert verarbeitet und die E-Mails an die zuständigen Kunden weiterleitet. Dabei werden alle Informationen aus den E-Mails vom CERT-Bund gelöscht, welche andere Kunden betreffen.


    Wir haben den Parser jetzt weiter optimiert, so dass in der Zukunft auch ein Teil des Logs mitgeschickt wird, in dem Informationen zu den IP-Adressen stehen, die der CERT-Bund geprüft hat. Auch hier gilt, IP-Adressen die andere Kunden betreffen, werden geschwärzt.


    Wir bitten für die eventuell gestiftete Unruhe um Entschuldigung. Wir teilen nicht alle Bedenken des CERT-Bunds. Es gibt z.B. durchaus sinnvolle Einsatzzwecke von offenen DNS-Resolvern o.ä.. Die verlinkten Howtos des CERT-Bund sind unserer Meinung nach jedoch mindestens einer Beachtung wert.



    Mit freundlichen Grüßen


    Felix Preuß

  • Hier meine Anleitung, wie ich vorging um das (portmap-)Problem in Debian als root zu beheben:

    Code
    nano /etc/hosts.allow


    dort folgendes einfügen:

    Code
    portmap : LOCAL


    dann:

    Code
    service rpcbind restart


    Das wars. Testen kann man das vorher/nachher von außen(!) mit:

    Code
    rpcinfo -T udp -p mein-server.de


    Quellen:
    BSI - CERT-Bund Reports: HOWTOs: Offene Portmapper-Dienste
    Installing NIS, no /etc/default/portmap file to edit
    Securing Debian Manual - Securing services running on your system

  • Hallo,


    ich habe ebenfalls die Nachricht erhalten, dass der NetBios Namensservice erreichbar ist.
    Allerdings bin ich etwas verwundert. Ich war der Meinung, dass dieser mit dem samba package installiert wird?
    samba scheint aber nicht installiert zu sein? Zumindest beim Versuch es zu deinstallieren kommt eine entsprechende Meldung.


    Dennoch ist wohl wirklich NetBios aktiviert.


    Looking up status of XXXXXXXX
    DEVA <20> - B <ACTIVE>
    DEVA <00> - B <ACTIVE>
    WORKGROUP <00> - <GROUP> B <ACTIVE>


    MAC Address = 00-00-00-00-00-00


    Könnt ihr mir bitte kurz weiterhelfen wie ich NetBios deaktivieren bzw deinstallieren kann?


    Danke,
    caldi

  • Hier meine Anleitung, wie ich vorging um das (portmap-)Problem in Debian als root zu beheben:

    Ich habe es nach der Anleitung gemacht und es funktioniert hervorragen.

    Gruß


    RR


    Das Böse triumphiert alleine dadurch,

    das gute Menschen nichts unternehmen.

    Edmund Burke

    12.01.1729 - 09.07.1797

    Anno Domini V.VI.MCMLXV

  • Ich habe den Dienst einfach deinstalliert (sudo apt-get remove rpcbind) da ich den Dienst sowieso nicht benötige derzeit. Das Blockieren mittels hosts.allow hat leider nicht funktioniert.


    Auch nach einem Neustart? Bei mir hat es funktioniert. Habe Debian Jessie drauf.

  • Bei mir ist das package rpcbind überhaupt nicht installiert und dennoch kam die Abuse Meldung. Kann mir bitte jemand weiterhelfen?



    /opt# sudo apt-get remove rpcbind
    Reading package lists... Done
    Building dependency tree
    Reading state information... Done
    Package 'rpcbind' is not installed, so not removed
    0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.


    Edit:
    Betriebsystem ist Ubuntu 16.04.2 LTS