Abusemeldung erhalten

  • das BSI scannt einfach nach Servern wo rpcbind oder portmap läuft und schicken dann die Meldungen an den Netzbetreiber.
    Wenn wirklich ein Angriff stattgefunden hätte, sähe die E-Mail etwas anders aus. Dann wird glaube ich auch eine Antwort von Netcup verlangt

    Hier ist nicht von einer Abusemeldung sondern von einer Informationsmeldung die Rede

    betonen, dass die E-Mails zunächst rein informativen Charakter haben. Da die E-Mails von einer Bundesbehörde kommen, möchten wir diese Weiterleiten.


    Wir haben den Parser jetzt weiter optimiert, so dass in der Zukunft auch ein Teil des Logs mitgeschickt wird, in dem Informationen zu den IP-Adressen stehen, die der CERT-Bund geprüft hat... Wir teilen nicht alle Bedenken des CERT-Bunds. Es gibt z.B. durchaus sinnvolle Einsatzzwecke von offenen DNS-Resolvern o.ä...

    Falls das CERT-Bund seine Wünsche nach "einem anderen (weniger reflection-anfälligen) Internet":/ selbst an abuse-Adressen der Hoster richten sollte, wäre das schon grenzwertig.


    netcup jedenfalls schreibt Kunden mit der "Information" aus alarmierender abuse-Adresse an, evtl. wären ein weniger dramatischer Absender und verständlicher als vom BSI beigefügter Lösungsvorschlag beruhigender.


    Will man z.B. Portmap für einzelne IP-Adressen zugänglich lassen, wäre folgendes ein Ansatz, auf eigene Gefahr, bei hinreichenden Kenntnissen:

    Code
    1. # https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Aktivitaeten/CERT-Bund/CERT-Reports/HOWTOs/Offene-Portmapper-Dienste/Offene-Portmapper-Dienste_node.html
    2. # https://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.en.html#s-rpc
    3. # https://support.cyberwebhosting.de/index.php?/Knowledgebase/Article/View/62/0
    4. # https://superuser.com/questions/401198/how-to-negate-a-range-in-iptables
    5. iptables -A INPUT -p tcp ! -s 192.168.0.0/24 --dport 111 -j DROP
    6. iptables -A INPUT -p tcp -s 127.0.0.1 --dport 111 -j ACCEPT
    7. iptables -A INPUT -p tcp -s 37.221.x.y --dport 111 -j ACCEPT
    8. iptables -A INPUT -p udp ! -s 192.168.0.0/24 --dport 111 -j DROP
    9. iptables -A INPUT -p udp -s 127.0.0.1 --dport 111 -j ACCEPT
    10. iptables -A INPUT -p udp -s 37.221.x.y --dport 111 -j ACCEPT

    Statt 192.168.0.0/24 zur Freigabe empfehlenswerte Netblocks und/oder IPs kann sicher netcup nennen.


    Dynamisch greylisten könnte man bei Bedarf z.B. in Anlehnung an https://forum.netcup.de/admini…-von-angriffen/#post84657