Das längste Thema

    Gerade zufällig wieder drüber gestolpert. Wer kann sich noch erinnern? Lange ist es her ^^

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Haha 5

    Solange die Rechnung im CCP offen ist, kann man keinen Inhaberwechsel durchführen. Man muss erst alle Rechnungen begleichen, bevor das geht. Dank SEPA hat das bei mir schon einige Inhaberwechsel verzögert.

    [RS] 2000 G9 | 500 G8 | Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

    Wer 'ne Ahnung was da auf einmal die Logs [/var/log/messages] mit derartigem anfüllt

    (seit rund 1-2 Tagen)

    das auf zwei meiner 3 vServer (einer ein VPS piko und einer ein RS, beim 3ten ist nichts derartiges zu beobachten)

    diese beiden hatte ich vor rund 1½ neu gestartet ...

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

    3 Mal editiert, zuletzt von mainziman ()

    andreas. Jepp das war wie Penicillin;

    interessantes Detail: ich hatte zuvor ähnliches gefunden Link, da stand nur was von den Werten f. IPv4

    und nachdem ich diese gesetzt habe, hat sich nichts geändert;

    mit den Werten f. IPv6 hat es den Durchbruch gegeben;


    ergo ist da seit 1-2 Tagen gröber was mit IPv6 im Busch;


    nur mal so gefragt, kann das eine Fehl-Konfiguration eines "Nachbarn" sein?

    od. sonst eine Fehlkonfig. sein; beim 3ten mit den Standardwerten gibts keine Probleme derart;


    Detail am Rande: der VPS piko baut alle paar Minuten eine Verbindung zum RS per SSH auf,

    und hatte seit knapp 2 Tagen 1-2 mal pro Stunde ein Timeout

    Code
    ssh: connect to host rs-host port 22: Connection timed out

    (seit dem Erhöhen der Werte keine mehr)

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

    5 Mal editiert, zuletzt von mainziman ()

    Zitat von mainziman

    nur mal so gefragt, kann das eine Fehl-Konfiguration eines "Nachbarn" sein?

    od. sonst eine Fehlkonfig. sein; beim 3ten mit den Standardwerten gibts keine Probleme derart;

    Häng dich mal mit tcpdump ans Interface und filter alle ICMPv6 Pakete, eventuell auch nach ARP filtern. Lässt sich da auf den ersten Blick ein Muster erkennen? Würde mich nicht wundern, wenn jemand mal wieder ganze IPv6-Subnetze scannt. Dahinter könnte eine ähnliche Motivation wie z.B. bei MAC-Flooding stehen.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Einmal editiert, zuletzt von KB19 ()

    Zitat von lindesbs

    Ja, sie suchen ja ganz viele ITler. Mich wollten sie nicht. Leider.

    Wenns halt nicht passt past es eben nicht... Trotzdem kein Grund das X mal breit zu treten. Wird ja schon seine Gründe haben, wobei manchmal versteht man Personaler nicht.

    Als ich meine FAE Ausbildung gemacht hatte, bin ich wo aus der Auswahl geflogen, weil ich so Psychologie Fragen nicht gut beantwortet habe. Da hatte der Personaler ein ganzes Blatt voll mit Fragen ;)

    Aber er hatte nicht bedacht, dass man wegen der Berufsschule, wo damals noch viel praktischer Elektrotechnik Unterricht stat fand nicht rot grün Blind sein durfte.
    => Ihr Azubi hat nach nem halben Jahr als das raus kam die Ausbildung abgebrochen...

    Zitat von KB19

    Häng dich mal mit tcpdump ans Interface und filter alle ICMPv6 Pakete, eventuell auch nach ARP filtern. Lässt sich da auf den ersten Blick ein Muster erkennen? Würde mich nicht wundern, wenn jemand mal wieder ganze IPv6-Subnetze scannt. Dahinter könnte eine ähnliche Motivation wie z.B. bei MAC-Flooding stehen.

    Ja man erkennt ein Muster, hab das für einen Zeitraum von rund 90 Minuten auf dem RS gespeichert: tcpdump -n -i eth0 icmp6 > /tmp/icmpv6.txt

    der File is mehr als 80 MByte groß


    und es handelt sich tatsächlich um 2 Übentäter im LAN Moderatoren

    Code
    # wc /tmp/icmpv6.txt
  596781  7758048 83774506 icmpv6.txt
# cat /tmp/icmpv6.txt |grep -v fe80::22d8:b00:91ee:ff4 |wc
 359416 4672303 50549438
# cat /tmp/icmpv6.txt |grep -v fe80::22d8:b00:91fa:424c |wc
 239171 3109118 33448150
# cat /tmp/icmpv6.txt |grep -v fe80::22d8:b00:91fa:424c |grep -v fe80::22d8:b00:91ee:ff4 |wc
   1806   23373  223082

    die Einträge sehen hier so aus:


    12:28:14.309619 IP6 fe80::22d8:b00:91fa:424c > ff02::1:ff64:8c3d: ICMP6, neighbor solicitation, who has 2a03:4000:31:3d5:74d8:c9ff:fe64:8c3d, length 32

    bzw.

    12:28:14.856725 IP6 fe80::22d8:b00:91ee:ff4 > ff02::1:ff00:383e: ICMP6, neighbor solicitation, who has 2a03:4000:31:2be::383e, length 32

    nach dem ff02::1:ff is es was zufälliges und auch bei who has sind es verschiedene;

    mein RS hat ein /64 welches Teil von 2a03:4000:31::/48 ist;


    beim VPS Piko hab das für ein paar Minuten gemacht

    und auch hier 2 Übeltäter im LAN Moderatoren

    Code
    # wc /tmp/icmpv6.txt
  21875  284356 3191789 icmpv6.txt
# cat /tmp/icmpv6.txt |grep -v fe80::22d8:b00:9fee:ff4 |wc
  12085  157086 1765828
# cat /tmp/icmpv6.txt |grep -v fe80::22d8:b00:9ffa:424c |wc
   9868  128265 1437533
# cat /tmp/icmpv6.txt |grep -v fe80::22d8:b00:9ffa:424c |grep -v fe80::22d8:b00:9fee:ff4 |wc
     78     995   11572

    und auch hier die Einträge analog

    exemplarisch

    14:23:56.868177 IP6 fe80::22d8:b00:9fee:ff4 > ff02::1:ff96:e72c: ICMP6, neighbor solicitation, who has 2a03:4000:40:77:4455:eaff:fe96:e72c, length 32

    und auch hier mein VPS piko hat ein /64 welches Teil von 2a03:4000:40::/48 ist;


    Man beachte: die fe80 Adressen der Übeltäter unterscheiden sich nur durch 3(!) bits

    fe80::22d8:b00:91ee:ff4 vs. fe80::22d8:b00:9fee:ff4

    bzw.

    fe80::22d8:b00:91fa:424c vs. fe80::22d8:b00:9ffa:424c

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

    Einmal editiert, zuletzt von mainziman ()

    Ich hab exakt diese neighbor solicitations auch im Dump. Sie kommen von Juniper Hardware, also vielleicht von Switches.


    Aber bei mir führen sie nicht zum Overflow der Neighbour Table. Vor allem auf meinem Piko hab ich da nur ne Handvoll Einträge, obwohl die solicitations tonnenweise vorbeikommen. Ich bin da auf Standard Einstellungen von Ubuntu und Debian unterwegs. Hast du da was verändert?

    Habe heute eine interessante Spammail bekommen. Die E-Mail Adresse wird nur für Amazon verwendet. Sonst nirgends. Inhalt der Mail sieht auch täuschend echt aus. Nur der Absender halt nicht.


    spam_amazon.jpg


    Ich frage mich hier wirklich wie die an die Adresse gekommen sind. Evtl. über Amazon Marketplace? Werden da die E-Mail Adressen weitergegeben?

    Habt ihr so etwas auch schon mal bekommen?

    Paul Stand die eventuell mal öffentlich in Deinem Amazon Profil? Dafür gab es früher definitiv eine relativ gut versteckte Option. Das war bei mir schon einmal der Grund für so etwas, aber das ist einige Jahre her.


    An Transportdienstleister wird die E-Mail-Adresse ebenfalls weitergeben, soweit ich weiß. Ich bekomme z.B. von der österreichischen Post bei Lieferung an eine Abholstation immer zwei Mails: An die von meinem Post-Account und an die von meinem Amazon-Account.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Gefällt mir 2
    Zitat von KB19

    Paul Stand die eventuell mal öffentlich in Deinem Amazon Profil? Dafür gab es früher definitiv eine relativ gut versteckte Option. Das war bei mir schon einmal der Grund für so etwas, aber das ist einige Jahre her.


    An Transportdienstleister wird die E-Mail-Adresse ebenfalls weitergeben, soweit ich weiß. Ich bekomme z.B. von der österreichischen Post bei Lieferung an eine Abholstation immer zwei Mails: An die von meinem Post-Account und an die von meinem Amazon-Account.

    Danke für den Hinweis mit der Post. Daran hatte ich gar nicht gedacht. Das stimmt natürlich. Wenn DHL mit den E-Mail Adressen genauso sorgsam umgeht wie mit den Paketen, dann dürfte mich das jetzt nicht überraschen ;).

    Zitat von frank_m

    Ich hab exakt diese neighbor solicitations auch im Dump. Sie kommen von Juniper Hardware, also vielleicht von Switches.


    Aber bei mir führen sie nicht zum Overflow der Neighbour Table. Vor allem auf meinem Piko hab ich da nur ne Handvoll Einträge, obwohl die solicitations tonnenweise vorbeikommen. Ich bin da auf Standard Einstellungen von Ubuntu und Debian unterwegs. Hast du da was verändert?

    interessant, ich fahr eigentlich auch mit den Standard Einstellungen von CentOS, habe da nie was verändert;

    da auf meinem 3ten vServer das Problem nicht exisitert; habe ich dort mal den tcpdump f. einige Minuten laufen lassen;

    4891 Einträge in 6¼ Minuten => rd 13 Einträge pro Sekunde

    beim Piko mit diesem Problem 21875 Einträge in 4¼ Minuten => rd. 85 Einträge pro Sekunde

    beim RS mit diesem Problem waren es gewaltige 596781 Einträge in 96¾ Minuten => rd. 103 Einträge pro Sekunde

    Moderatoren kommt das euerseits od. hat da wer einen Pfusch konfiguriert?

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

    Ey geil. Ein Teil meines Nachnames ist eine TLD (gerade rausgefunden). Und der andere Teil war noch frei. Hab jetzt voll die geile Domain im Stil --> nach.name

    VPS Secret • 2x VPS piko G11s • RS 1000 G9.5 SE NUE • RS Cyber Quack • VPS 1000 ARM G11 NUE

    compi653.net

    Gefällt mir 2 Ente gut, alles gut 2
    Zitat

    da auf meinem 3ten vServer das Problem nicht exisitert; habe ich dort mal den tcpdump f. einige Minuten laufen lassen;

    4891 Einträge in 6¼ Minuten => rd 13 Einträge pro Sekunde

    beim Piko mit diesem Problem 21875 Einträge in 4¼ Minuten => rd. 85 Einträge pro Sekunde

    beim RS mit diesem Problem waren es gewaltige 596781 Einträge in 96¾ Minuten => rd. 103 Einträge pro Sekunde

    Ich denke, die Anzahl pro Sekunde ergibt sich einfach aus der Anzahl der Maschinen, die in dem Bereich aktiv sind. Ich hab auf meinen drei Maschinen auch erhebliche Unterschiede in der Anzahl dieser Solicitations festgestellt, aber grundsätzlich sind sie auf allen Maschinen da, aber auf der Maschine mit den wenigsten Solicitations ist die Neighbour Table am längsten.


    Sollten es nicht auch eher die neighbor advertisements, die die Tabelle füllen?

    Zitat von RAD750

    Hab jetzt voll die geile Domain im Stil --> nach.name

    Sehr geil. Geht bei mir leider nicht. Eine Domain unter .er zu registrieren kann man vergessen.


    Aber ein Freund von mir hat eine E-Mail-Adresse in der Art vorn@me-nachname.de. Fand ich auch ne coole Lösung.

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | VPS 500 ARM


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

    Einmal editiert, zuletzt von Virinum ()

    Neumodischer Kram. Praktisch jeder mit einem praktischen Beruf hat eine t-online.de Email oder etwas vergleichbares. Mit einer eigenen Domain ist man einfach nicht vertrauenswürdig. Ich musste schon mehrmals erklären, dass das meine echte Email-Adresse ist. "Haben Sie keine GMX-Adresse?"