Das längste Thema

Das heißt doch Azventzkalenda?

Atzwentzkrantzkeatz.

Seit wann ist eigentlich dieser SystemD Resolved Krampf in den Debian Netcup Images und wer fand das eine gute Idee? Erstes Systemupgrade von SystemD findet danach den systemd-resolved Service nicht mehr und hinterlässt das System funktionslos. Nun läuft die Ansible DNS Rolle als erstes um das gerade zu biegen bei mir.

Ostern sind mit großer Sicherheit.de Domains dabei. Kannst du schonmal um kalender vormerken.

Zitat von michaeleifel

Seit wann ist eigentlich dieser SystemD Resolved Krampf in den Debian Netcup Images und wer fand das eine gute Idee? Erstes Systemupgrade von SystemD findet danach den systemd-resolved Service nicht mehr und hinterlässt das System funktionslos. Nun läuft die Ansible DNS Rolle als erstes um das gerade zu biegen bei mir.

Das ist da schon mehrere Jahre drin. Hat bei mir auch keine unlösbaren Probleme verursacht (außer dass ich anfangs eine Weile gebraucht habe, um die Zusammenhänge halbwegs zu verstehen und herauszufinden, wo ich letztlich die von mir gewünschten Resolver einstellen muss.) und auch ein Debian Versionsupgrade schadlos überstanden.

Zitat von mfnalex

Langer Rede kurzer Sinn: Ich finde dass ein "Hochfahren"-Button zum Standard gehört.

Ich finde komisch, dass das überhaupt jemand anders sehen kann

Kann ja genau so Thema sein, wenn jemand versehentlich shutdown -h now statt shutdown -r now schreibt. Schwupps, schon darf jemand 1 Uhr Nachts zum Server rennen bzw. muss man hoffen, dass das Ticket schnell gesehen wird.

Genau deshalb übe ich mich in Geduld und benutze "now" nicht. Wenn ich dann 1 Sekunde später sehe, daß das ein Fehler war, kann ich noch -c absetzen.

Zitat von Valkyrie

schon darf jemand 1 Uhr Nachts zum Server rennen bzw. muss man hoffen, dass das Ticket schnell gesehen wird.

Das geht aber wirklich fix wenn man einen Hardware Reset beauftragt. Im Schnitt keine 5 Minuten

Zitat von tab

Das ist da schon mehrere Jahre drin. Hat bei mir auch keine unlösbaren Probleme verursacht (außer dass ich anfangs eine Weile gebraucht habe, um die Zusammenhänge halbwegs zu verstehen und herauszufinden, wo ich letztlich die von mir gewünschten Resolver einstellen muss.) und auch ein Debian Versionsupgrade schadlos überstanden.

OK, dachte das wäre noch nicht so lange. Hab ich im Prinzip auch nichts gegen, wenn es funktioniert. Gestern abend war es nur so, dass ein mit Debian Netucp Image bespieltes System selbst apt update nicht hinbekommen hat auf Anhieb und nach dem Systemupgrade gabs den systemd-resolved Dienst nicht mehr, aber die resolv.conf hat weiterhin auf den Stub Resolver gezeigt -> keine DNS Auflösung. Da kann ich mittlerweile die Klagen hier im Forum verstehen diesbzüglich.

Zum Glück gibt's ja Debian ISO mit Preseed und Unbound.

Zitat von RAD750

Das geht aber wirklich fix wenn man einen Hardware Reset beauftragt. Im Schnitt keine 5 Minuten

Ja, das stimmt. Es geht mir halt auch mehr ums Prinzip - ich will den selber hochfahren können und nicht auf jemanden angewiesen sein.

Habe auch gestern noch was in der Serverbörse geschossen (FSN DC10), der hat auch keinen Hochfahren-Button, bei dem Server brauch ich das aber auch nicht (ist nur ein Proxmox Backup Server, den fahre ich eh nie runter)

Kannst dir ja meine Tabelle als Vorlage nehmen

Zitat von RAD750

Kannst dir ja meine Tabelle als Vorlage nehmen

Ja, die ist sehr hilfreich aber bei der Serverbörse hab ich ja wenig Spielraum was den Standort angeht

Geht bei einem von euch auch aktuell das SCP nicht? Das CCP läuft nur das SCP (auch der Auto-Login) gehen nicht bei mir.

LG Jim

Gerade mal probiert, kann ich bestätigen.

Zitat von Valkyrie

Gerade mal probiert, kann ich bestätigen.

Na dann mache ich mal ein Ticket beim Support auf, falls Netcup das noch nicht selbst gemerkt hat.

LG Jim

Hier gehts (wieder)

Zitat von RAD750

Hier gehts (wieder)

Ja jetzt gehts bei mir auch wieder. War wohl nur ein kurzer Ausfall zum Glück.

Da wir ja hier öfters mal über das rote H gesprochen haben:

Habe heute um kurz nach 8 Uhr eine Abuse-Mitteilung von denen erhalten. In der Mail wurden 2 IPv4-Adressen genannt. Die eine IP gehört (seit gestern) tatsächlich mir. Die andere kenne ich nicht.

Die E-Mail bestand praktisch aus einer Standard-Nachricht a la "Gucken sie mal nach, hier ist die originale E-Mail des BSI: ...."

Den BSI hab ich direkt angerufen, die kannten nicht mal die "Abuse-ID". H selber konnte mir per Telefon auch nicht weiterhelfen, die wollten dass ich denen ebenfalls per E-Mail nochmal alles erkläre.

TL;DR: Ich habe anscheinend eine Abuse-Meldung erhalten die eigentlich an den vorherigen IP-Owner hätte gehen sollen, und seitdem hab ich zitterige Hände, da ich nicht weiß ob mein Server jetzt gesperrt wird oder nicht lol.

EDIT: Es geht "nur" um Port-Scans. Die hab ich aber nie veranlasst. Hier ist die Original-Message von H:

Zitat

Sehr geehrte(r) Herr [mfnalex],



wir haben einen Sicherheitshinweis vom Bundesamt für Sicherheit in der Informationstechnik (BSI) für (die IP-Adresse) eines Servers erhalten, den Sie bei uns betreiben. Diese Meldung leiten wir automatisch an Sie weiter, zu Ihrer Information.



Die Originalmeldung ist unten angefügt. Zusätzliche Informationen finden Sie in den How-To Anleitungen, auf die in dem Bericht verwiesen wird. Bitte beachten Sie, dass wir keine weiteren Informationen zur Verfügung haben.



Diese Meldung bedeutet nicht, dass Ihr Server in Abuse Aktivitäten verwickelt war. Sie weisen Sie lediglich auf ein potenzielles Problem auf Ihrem Server hin, das ausgenutzt werden könnte und in der Regel recht einfach zu beheben ist.



Sie brauchen weder uns noch dem BSI eine Antwort zu schicken.



Bei weiteren Fragen wenden Sie sich bitte unter Beibehaltung der Ticketnummer der Originalmeldung [CB-Report#...] in der Betreffzeile an certbund@bsi.bund.de. Antworten Sie nicht an reports@reports.cert-bund.de, da diese Adresse nur zum Versand der Reports dient und Nachrichten an diese Adresse nicht gelesen werden.



Mit freundlichen Grüßen

Alles anzeigen

Lustig ist auch, dass in der E-Mail lediglich von "(die IP-Adresse)" die Rede ist. Haben anscheinend vergessen den Placeholder zu ersetzen

Zitat von mfnalex

Habe heute um kurz nach 8 Uhr eine Abuse-Mitteilung von denen erhalten. In der Mail wurden 2 IPv4-Adressen genannt. Die eine IP gehört (seit gestern) tatsächlich mir. Die andere kenne ich nicht.

Offene Portmapper Dienste?

Das BSI ist eine eigenständige Organisation, die alle Server, die sie im Internet finden können, nach Auffälligkeiten scannt (Da reicht es z.B. schon, wenn auf dem Server rpcbind oder portmap läuft)

Die schicken dann Meldungen an den Provider, der das (so wie in deinem Fall) weiterleitet. Eine Sperrung des Servers durch den Provider, nur aufgrund einer solchen Mitteilung ist recht unwahrscheinlich.

netcup macht das auch. Hier mal eine ältere Info, noch von Felix dazu:

Zitat von [netcup] Felix P.

ich möchte an dieser Stelle nochmals betonen, dass die E-Mails zunächst rein informativen Charakter haben. Da die E-Mails von einer Bundesbehörde kommen, möchten wir diese Weiterleiten. Herausforderung dabei ist, dass die Bundesbehörde uns zu jedem Protokoll eine E-Mail schickt, die Informationen von vielen Kunden enthält. Wir haben hierzu ein System entwickelt, dass die E-Mails vom CERT-Bund automatisiert verarbeitet und die E-Mails an die zuständigen Kunden weiterleitet. Dabei werden alle Informationen aus den E-Mails vom CERT-Bund gelöscht, welche andere Kunden betreffen.

Wir haben den Parser jetzt weiter optimiert, so dass in der Zukunft auch ein Teil des Logs mitgeschickt wird, in dem Informationen zu den IP-Adressen stehen, die der CERT-Bund geprüft hat. Auch hier gilt, IP-Adressen die andere Kunden betreffen, werden geschwärzt.

Wir bitten für die eventuell gestiftete Unruhe um Entschuldigung. Wir teilen nicht alle Bedenken des CERT-Bunds. Es gibt z.B. durchaus sinnvolle Einsatzzwecke von offenen DNS-Resolvern o.ä.. Die verlinkten Howtos des CERT-Bund sind unserer Meinung nach jedoch mindestens einer Beachtung wert.