Das längste Thema

mfnalex · 8. Februar 2023

Zitat von H6G

Offene Portmapper Dienste?

Nö. Alles ist firewalled.

Code

root@stomach ~ # iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  172.30.0.0/24        anywhere             tcp dpt:ssh
ACCEPT     tcp  --  fly.jeff-media.com   anywhere             tcp dpt:ssh
REJECT     tcp  --  anywhere             anywhere             tcp dpt:ssh reject-with icmp-port-unreachable
ACCEPT     tcp  --  172.30.0.0/24        anywhere             tcp dpt:8006
REJECT     tcp  --  anywhere             anywhere             tcp dpt:8006 reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
root@stomach ~ # ip6tables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp      2a01:4f8:c0c:e5d9:ac1e::/120  anywhere             tcp dpt:ssh
ACCEPT     tcp      fly.jeff-media.com   anywhere             tcp dpt:ssh
REJECT     tcp      anywhere             anywhere             tcp dpt:ssh reject-with icmp6-port-unreachable
ACCEPT     tcp      2a01:4f8:c0c:e5d9:ac1e::/120  anywhere             tcp dpt:8006
REJECT     tcp      anywhere             anywhere             tcp dpt:8006 reject-with icmp6-port-unreachable

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Alles anzeigen

H6G · 8. Februar 2023

Zitat von mfnalex

Nö. Alles ist firewalled.

Das Thema der E-Mail? Sind es offene Portmapper Dienste?

Was steht denn im Betreff?

mfnalex · 8. Februar 2023

Zitat von H6G

Das Thema der E-Mail? Sind es offene Portmapper Dienste?

Was steht denn im Betreff?

Bildschirmfoto 2023-02-08 um 10.05.16.png

aRaphael · 8. Februar 2023

Die Nachricht besagt also nur, dass der Vorbesitzer des Servers (oder du ) einen portmapper-Dienst auf 111 hat laufen lassen, sonst nix.

Kannst es somit zu den Akten legen.

H6G · 8. Februar 2023

mfnalex nix besonderes, nur ein Hinweis.

Davon wird dein Server nicht gesperrt - hat nur einen informativen Charakter vom BSI.

Zu deiner Firewall: Policy steht auf Accept - hast also nicht alles gefirewalled

Kann trotzdem sein, das nfs-common offen ist. Alles weitere steht in der Mail.

mfnalex · 8. Februar 2023

Zitat von H6G

mfnalex nix besonderes, nur ein Hinweis.

Davon wird dein Server nicht gesperrt - hat nur einen informativen Charakter vom BSI.

Zu deiner Firewall: Policy steht auf Accept - hast also nicht alles gefirewalled

Kann trotzdem sein, das nfs-common offen ist. Alles weitere steht in der Mail.

1.Die default policy wird in iptables -L ja gar nicht gelistet. Die steht auf REJECT.

2. Okay, das ist gut zu wissen Hatte schon ein bisschen Angst.

H6G · 8. Februar 2023

Zitat von mfnalex

1.Die default policy wird in iptables -L ja gar nicht gelistet. Die steht auf REJECT.

Doch. Erste Zeile.

Zitat von mfnalex

Chain INPUT (policy ACCEPT)

Es gibt außerdem nur die Policies Accept und Drop. Reject ist keine Policy.

Das kann man nur als Regel definieren, würde dann aber bei dir als Regel auftauchen.

Code

# iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT

# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination    
     
# iptables -P INPUT DROP

# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Alles anzeigen

mfnalex · 8. Februar 2023

Bildschirmfoto 2023-02-08 um 10.25.39.png

Entweder bin ich blind, oder "DROP" hat eine unterschiedliche Bedeutung in unserem Sprachgebrauch.

EDIT: Okay, ja in dem vorherigen Output stand es tatsächlich noch auf ALLOW. Anyway, Ich betreibe keine Postscanning-Dienste etc. Die Abuse-Meldung gehört definitiv dem vorherigen IP-Besitzer. Und ich hätte die niemals erhalten dürfen. Punkt.

H6G · 8. Februar 2023

Zitat von mfnalex

Entweder bin ich blind, oder "DROP" hat eine unterschiedliche Bedeutung in unserem Sprachgebrauch.

In https://forum.netcup.de/sonsti…A4ngste-thema/#post196478 Hast du noch was anderes gepostet.

Im Screenshot stimmt es

mfnalex · 8. Februar 2023

Zitat von H6G

In https://forum.netcup.de/sonsti…A4ngste-thema/#post196478 Hast du noch was anderes gepostet.

Im Screenshot stimmt es

Ja, ich habe wie gesagt meine letzte Nachricht editiert. Mein Fehler.

H6G · 8. Februar 2023

Zitat von mfnalex

Anyway, Ich betreibe keine Postscanning-Dienste etc.

nfsPortmapper hat nichts mit Portscanning zu tun.

Das BSI macht einen regelmäßigen Portscan über deutsche AS.

Lies dir bitte die E-Mail durch - gerne auch mit einem Tag Abstand.

mfnalex · 8. Februar 2023

Zitat von H6G

nfsPortmapper hat nichts mit Portscanning zu tun.

Das BSI macht einen regelmäßigen Portscan über deutsche AS.

Lies dir bitte die E-Mail durch - gerne auch mit einem Tag Abstand.

Hab ich getan. Mehrfach. Ich verstehe immer noch nicht warum ich eine Mail von abuse@<hoster.com> erhalte, wenn kein Abuse vorliegt.

aRaphael · 8. Februar 2023

Zitat von mfnalex

Anyway, Ich betreibe keine Postscanning-Dienste etc. Die Abuse-Meldung gehört definitiv dem vorherigen IP-Besitzer. Und ich hätte die niemals erhalten dürfen. Punkt.

Was liefert bei dir rpcinfo -p ?

H6G · 8. Februar 2023

Zitat von mfnalex

Ich verstehe immer noch nicht warum ich eine Mail von abuse@<hoster.com> erhalte, wenn kein Abuse vorliegt.

Weil das von der Abteilung behandelt wird. Warum die das in der Abteilung behandeln, musst du die Firma selbst fragen.

Code

Diese Meldung bedeutet nicht, dass Ihr Server in Abuse Aktivitäten verwickelt war. Sie weisen Sie lediglich auf ein potenzielles Problem auf Ihrem Server hin, das ausgenutzt werden könnte und in der Regel recht einfach zu beheben ist.

mfnalex · 8. Februar 2023

Zitat von H6G

Weil das von der Abteilung behandelt wird. Warum die das in der Abteilung behandeln, musst du die Firma selbst fragen.

Das hab ich ja bereits getan.

mfnalex · 8. Februar 2023

Zitat von aRaphael

Was liefert bei dir rpcinfo -p ?

Code

root@stomach ~ #  rpcinfo -p
-bash: rpcinfo: command not found

EDIT:

aRaphael · 8. Februar 2023

Aha. Also nicht Vorgänger, sondern doch du.

Die Infomeldung bezieht sich (wahrscheinlich) genau auf diesen portmapper, der bei dir auf 111 läuft.

Evtl. hast du was über nfs eingebunden?

H6G · 8. Februar 2023

Das ist jetzt schon das zweite Mal, dass sich deine Terminal Outputs unterscheiden mfnalex

Ich glaub, du brauchst eine Pause.

nitram · 8. Februar 2023

mfnalex

Falls du Windows verwendest kannst du das auch über die Powerschell mit

Code

tnc ip_oderDomain -port 110

mal testen.

Bei deiner Domain bekommt man da "TcpTestSucceeded : True" also ist das Ding definitiv offen

Vielleicht was mit Docker am laufen?

H6G · 8. Februar 2023

Zitat von nitram

Bei deiner Domain bekommt man da "TcpTestSucceeded : True" also ist das Ding definitiv offen

Port 110 ist POP3. portmapper läuft auf der 111

Edit: macht ihn nicht noch verrrückter, als er ohnehin schon ist...