Abusemeldung erhalten

Aber da frage ich mich schon, warum so etwas überhaupt freigegeben ist bei den managed Servern? Die sollten doch eher restriktiv konfiguriert sein!

Ach ja, wer es auf der verlinkten Seite vom BSI nicht gesehen hat, die haben auch ein Howto zu Portmapper (bzw. auch zu allen anderen Diensten zu denen sie E-Mails verschicken:

https://www.bsi.bund.de/EN/Top…mapper-services_node.html

Unter Further Information sind zumindest für Debian/Ubuntu auch Anleitungen zum Deaktivieren.

Quote from DaJunkie

Dumm nur, dass heute schon wieder eine abuse-Meldung eintraf Ich denke, dass Problem ist, dass der Dienst zwar nicht mehr korrekt 'funktioniert', der Scan vom BSI aber alleine auf open/closed/filtered testet. Und open wird anscheinend immer angemahnt. Dann muss also leider doch die iptables-Keule raus. Also her damit:

Kann ich bei mir nicht sagen, die wichtigen Ports sind geschlossen oder gefiltert.

nmap --top-ports meine.Domain

Starting Nmap 7.01 ( https://nmap.org ) at 2017-05-20 11:59 CEST
Nmap scan report for meine.Domain
Host is up (0.000084s latency).
PORT     STATE    SERVICE
21/tcp   open     ftp
22/tcp   open     ssh
23/tcp   closed   telnet
25/tcp   open     smtp
53/tcp   open     domain
80/tcp   open     http
110/tcp  open     pop3
111/tcp  closed   rpcbind
135/tcp  filtered msrpc
139/tcp  filtered netbios-ssn
143/tcp  open     imap
443/tcp  open     https
445/tcp  filtered microsoft-ds
993/tcp  open     imaps
995/tcp  open     pop3s
1723/tcp closed   pptp
3306/tcp closed   mysql
3389/tcp closed   ms-wbt-server
5900/tcp closed   vnc
8080/tcp closed   http-proxy

Ich hab bei mir auf der Firewall die Regel in der Form eingetragen:

Für IPv6 mit:

ip6tables -I INPUT -p tcp -s ::1 --dport 111 -j ACCEPT
ip6tables -A INPUT -p tcp -m tcp --dport 111 -j REJECT
ip6tables -A INPUT -p udp --dport 111 -j DROP

Für IPv4 mit:

iptables -I INPUT -p tcp -s 127.0.0.1 --dport 111 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 111 -j REJECT
iptables -A INPUT -p udp --dport 111 -j DROP

Um eine NFS Share hinzuzufügen müsste die Adresse dann jeweils mit ihrer ipv4 / ipv6 Adresse freigeschaltet werden.

iptables -I INPUT -p tcp  -s aaa.bbb.ccc.ddd —dport 111 -j ACCEPT
ip6tables -I INPUT -p tcp  -s ::xyz —dport 111 -j ACCEPT

Wichtig ist dabei nur das die Regel mit -I eingetragen wird damit das Packet nicht frühzeitig verworfen wird.

Hey, ich habe es einfach mal überflogen, sorry dafür,

wegen dein Problem, änder die Ports von den bekannten diensten die du nutzt, z.b SSH port ändern und fail2ban installieren.

Zu dieser Email, da hat Netcup meiner Meinung etwas "schlampig" gehandelt, es fählt der Zeitstempel indem du den Angriff entnehmen kannst, dass ist fahrlässig, Netcup ist dazu verpflichtet.

Und die meisten Anbieter schreiben dazu, wie du dich davor sichern und schützen kannst, woran Netcup scheinbar kein Interesse hast.

Hoffe das kein fremder zugang erlangt hat, sonst kannst du den Server im Prinzip löschen

Quote from [netcup] Felix

in der Zukunft auch ein Teil des Logs mitgeschickt wird, in dem Informationen zu den IP-Adressen stehen, die der CERT-Bund geprüft hat. Auch hier gilt, IP-Adressen die andere Kunden betreffen, werden geschwärzt.

@Alessandro99 den Port des rpcbind zu ändern wäre nicht der richtige Ansatz. Das Funktioniert bei ssh bots die wahllos die Weiten des Internets mapen und nach Zugängen suchen aber bei so was klappt das nicht so wirklich gut.
Zum zweiten einige haben diese Mail bekommen. Es handelt sich dabei nicht um einen Angriff, sondern bloß um eine Benachrichtigung das, in diesem Fall der BSI, in der Lage war von Außen auf den rpcbind einzuwirken, wie auch immer. Netcup hat hier gar nichts mit am Hut, du bestellst dein Produkt und dann bist du dafür zuständig Netcup hat seinen Dienst damit getan das die Benachrichtigung weitergeleitet wurde und du als Besitzer das bemerkst.
[netcup] Felix P. Ich hoffe das war so richtig. Sonst Schande über mein Haupt.

Naja, ich hatte ein langes gespräch mit CERT bund, klar ist Netcup dafür nicht zuständig, habe ich auch nicht behauptet, aber wenn sie die Email weiterleiten, dann alle Informationen die für den Kunden bestimmt sind, auch den Zeitstempel ganz einfach.

Von einem rpcbind habe ich nie gesprochen, ich wollte nur sagen, das du Türen, die man zum Angriff nutzen kann, besser schützen kann, nur als nebenkommentar, wie z.b den SSH port.

Allerdings geht es in diesem Thread speziell um den rpcbind port 111 tcp/udp und für die Leute die die abuse mail erst vor kurzem bekommen haben ist dort der genau Zeitpunkt und die verwendete IP Adresse in der Mail genannt.

Quote from abuse Mail

Code

Betroffene Systeme in Ihrem Netzbereich:
Affected systems on your network:

Format: ASN | IP address | Timestamp (UTC)

[...]

197540 | IP ADDRESS    | 2017-05-17 03:34:00 


[...]

Display More

Netcup hat damit dann aber nichts am Hut. Es gibt wie von Felix weiter oben in diesem Thread beschrieben wie gesagt gute Gründe den Port offen zu haben. Netcup kann nicht einfach hingehen und Port schließen das ist Sache der Kunden.

Quote from mightyBroccoli

Netcup kann nicht einfach hingehen und Port schließen das ist Sache der Kunden.

Natürlich kann Netcup nicht hingehen und den Port einfach schließen, da gebe ich Dir recht, aber ein vernünftiger Lösungsansatz wäre für den Kunden schon hilfreich! Bei anderen Anbietern ist dieser oft mit bei.

Ich habe schon wieder ein Meldung von CERT-Bund bekommen und das steht, das der Portmapper-Dienst mit dem Port 111 offen ist.

rpcinfo -T udp -p 46.xx.xxx.xxx
46.xx.xxx.xxx: RPC: Port mapper failure - Unable to receive: errno 111 (Connection refused)

Irgendwie verstehe ich das jetzt nicht!?

Mittlerweile steht in den E-Mails unten drin wann der Scan durchgeführt wurde. Schau Mal, ob das vielleicht vor dem Schließen des Ports sein könnte.

OK, mein Fehler, war vor der Schließung des Ports.

Gibts eine "offizielle" Lösung?

Man kann vieles tun:

• Den Dienst entfernen, wenn man ihn nicht braucht
• Den Port whitelisten also z.B. mit iptables nur für bestimmte Hosts freigeben auf denen man diesen Dienst benötigt
  • Die scannende IP herausfinden und blacklisten ( )
• Einen Mail-Filter einrichten, der diese Abuse-Mails wegfiltert
• Alles so lassen wie es ist

Ich bin immer der Auffassung, alles was nicht benötigt wird, wird vom Server runtergeworfen. Den was nicht da ist, kann auch keinen Ärger machen Aber auch in iptables wird alles geschlossen und nur das, nach kritischer Prüfung, geöffnet was benötigt wird, aber auch hier wird wieder eingeschränkt:

z.B. SSH

#SSH
/sbin/iptables -A INPUT -p tcp -d 188.xx.xx.xxx --dport 22 -m conntrack --ctstate NEW -m recent --name ssh --set
/sbin/iptables -A INPUT -p tcp -d 188.xx.xx.xxx --dport 22 -m recent --rcheck --seconds 600 --hitcount 5 --rttl --name ssh --rsource -j DROP
/sbin/iptables -A INPUT -p tcp -d 188.xx.xx.xxx --dport 22 -m recent --update --seconds 600 --hitcount 4 --rttl --name ssh --rsource -j DROP

Wollte eigentlich demnächst mal wieder einen Server bei euch mieten aber bis die Abusemails aufhören bzw eine öffentlich verifizierte Lösung des Problems bekannt gegeben wurde werde ich lieber warten. Habe leider nicht die Zeit und Lust mich mit Abusemails rumzuschlagen.

Quote from Ympker

Wollte eigentlich demnächst mal wieder einen Server bei euch mieten aber bis die Abusemails aufhören bzw eine öffentlich verifizierte Lösung des Problems bekannt gegeben wurde werde ich lieber warten. Habe leider nicht die Zeit und Lust mich mit Abusemails rumzuschlagen.

Ich vermute netcup wird nicht der einzige Provider sein welcher solche Mails bekommt. Ich finde dies positiv. Entweder du kriegst einen netten Hinweiß oder jemand anders zieht dir durch irgendwelche Schwachstellen dann deinen Server weg.

Quote from Ympker

Wollte eigentlich demnächst mal wieder einen Server bei euch mieten aber bis die Abusemails aufhören bzw eine öffentlich verifizierte Lösung des Problems bekannt gegeben wurde werde ich lieber warten. Habe leider nicht die Zeit und Lust mich mit Abusemails rumzuschlagen.

Diese Aussage kann ich nicht nachvollziehen. netcup leitet diese E-Mails weiter, damit du als Kunde über mögliche Sicherheitslücken auf deinem Server informiert bist. Das ist doch grundsätzlich positiv zu bewerten. Ferner ist netcup auch dazu verpflichtet, dich über solche Meldungen zu informieren.

Du kannst ja entscheiden, wie du mit den Meldungen umgehen möchtest, in diesen wird explizit erwähnt, dass sie lediglich informativen Charakter besitzen - es steht dir also frei, sie komplett zu ignorieren.

Das BSI bietet hier HOWTOs an, wie die Ursache behoben werden kann:

https://www.bsi.bund.de/DE/The…/HOWTOs/howtows_node.html

Was hat netcup damit zu tun? Bei einem unmanaged Server, wie es die VPS und Root-Server sind, bist du komplett selbst für die Konfiguration und somit auch Absicherung deines Servers verantwortlich.

Grundsätzlich ist es zu empfehlen, einen Server nur mit Firewall zu betreiben und eben nur die Ports freizugeben, die benötigt werden - dann wirst du auch keine dieser E-Mails erhalten.

Quote from sudo

Was hat netcup damit zu tun? Bei einem unmanaged Server, wie es die VPS und Root-Server sind, bist du komplett selbst für die Konfiguration und somit auch Absicherung deines Servers verantwortlich.

Grundsätzlich ist es zu empfehlen, einen Server nur mit Firewall zu betreiben und eben nur die Ports freizugeben, die benötigt werden - dann wirst du auch keine dieser E-Mails erhalten.

Das sehe ich genauso. Was wäre denn, wenn Netcup bei einen unmanaged Server alles im Vorfeld dicht machen würde. Genau. Denn woher soll denn Netcup wissen, welches System man auf den Server spielt und was man alles an offenen Ports brauchst.

Quote from Ympker

Wollte eigentlich demnächst mal wieder einen Server bei euch mieten aber bis die Abusemails aufhören bzw eine öffentlich verifizierte Lösung des Problems bekannt gegeben wurde werde ich lieber warten. Habe leider nicht die Zeit und Lust mich mit Abusemails rumzuschlagen.

Die Abuse-Meldung ist lediglich ein gut gemeinter Hinweis vom BSI, was Du damit anfängst ist Deine Sache. Aber für ein unmanaged Server bist Du voll und ganz alleine verantwortlich! Ansonsten solltest Du doch lieber bei Webhosting oder beim einem managed Server bleiben.

Quote from rr050665

Das sehe ich genauso. Was wäre denn, wenn Netcup bei einen unmanaged Server alles im Vorfeld dicht machen würde. Genau. Denn woher soll denn Netcup wissen, welches System man auf den Server spielt und was man alles an offenen Ports brauchst.

Die Abuse-Meldung ist lediglich ein gut gemeinter Hinweis vom BSI, was Du damit anfängst ist Deine Sache. Aber für ein unmanaged Server bist Du voll und ganz alleine verantwortlich! Ansonsten solltest Du doch lieber bei Webhosting oder beim einem managed Server bleiben.

Alles klar Danke^^ Habe bestellt