14
Rootserver übernommen?
Hallo,
Hallo, rootserver hetzner, debian squeeze. Nach Serverumzug beobachte ich Firewall (apf-firewall) Aktivitäten, outgoing traffic wird gedropt, zum größten Teil unassigned ports,
Zieladressen exotische Länder,
Beispiele:
IP Address: 41.205.230.190
IP Address Country: Sierra Leone (SL)
IP Address Region: 04 Western Area
IP Address City: Freetown
IP Postal Code
IP Address Area Code 0
IP Metro Code 0
IP Address Latitude: 8.48999977112
IP Address Longitude: -13.2341995239
IP Address ISP: Telecom Operator in SierraLeone
IP Address: 41.223.161.88
IP Address Country: Sudan (SD)
IP Address Region:
IP Address City:
IP Postal Code
IP Address Area Code 0
IP Metro Code 0
IP Address Latitude: 15
IP Address Longitude: 30
IP Address ISP: MTNSD / CANARTEL
Organisation: MTNSD / CANARTEL
IP Address Country: Oman (OM)
IP Address Region: 06 Masqat
IP Address City: Ruwi
IP Postal Code
IP Address Area Code 0
IP Metro Code 0
IP Address Latitude: 23.5905990601
IP Address Longitude: 58.5499992371
IP Address ISP: Omantel
Organisation: Omantel
IP Address City: Kathmandu
IP Postal Code
IP Address Area Code 0
IP Metro Code 0
IP Address Latitude: 27.7166996002
IP Address Longitude: 85.3167037964
IP Address ISP: WorldLink Communications Pvt. Ltd.
Organisation: WorldLink Communications Pvt. Ltd.
IP Address Proxy:
Firewall-Log (Anfang mit SRC gekappt:
DST=41.205.230.190 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=64312 WINDOW=0 RES=0x00 RST URGP=0
DST=41.205.230.190 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=63597 WINDOW=0 RES=0x00 RST URGP=0
DST=41.205.230.190 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=64312 WINDOW=0 RES=0x00 RST URGP=0
DST=41.205.230.190 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=64312 WINDOW=0 RES=0x00 RST URGP=0
DST=41.205.230.190 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=64312 WINDOW=0 RES=0x00 RST URGP=0
DST=41.66.27.98 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=30958 DF PROTO=TCP SPT=80 DPT=4185 WINDOW=6432 RES=0x00 ACK FIN URGP=0
DST=190.181.37.232 LEN=433 TOS=0x00 PREC=0x00 TTL=64 ID=37723 DF PROTO=TCP SPT=80 DPT=10518 WINDOW=6432 RES=0x00 ACK PSH FIN URGP=0
DST=41.205.230.190 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=64312 WINDOW=0 RES=0x00 RST URGP=0
DST=41.205.230.190 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=64312 WINDOW=0 RES=0x00 RST URGP=0
DST=41.205.230.190 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=64312 WINDOW=0 RES=0x00 RST URGP=0
DST=41.223.161.88 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=2442 WINDOW=0 RES=0x00 RST URGP=0
Was bedeutet das, wieso soll der Server auf Anfragen aus Dritte-Welt-Ländern antworten? Bzw. wie bekomme ich den entsprechenden Prozess geloggt,
lsof|grep TCT liefert für mich nichts wesentliches
Ich frage mich, welcher Prozess verbindet sich / oder will sich verbinden mit Katmandu/Indien/SieraLeone, etc.......
Vielen Dank, Gruß
Zieladressen exotische Länder,
Beispiele:
IP Address: 41.205.230.190
IP Address Country: Sierra Leone (SL)
IP Address Region: 04 Western Area
IP Address City: Freetown
IP Postal Code
IP Address Area Code 0
IP Metro Code 0
IP Address Latitude: 8.48999977112
IP Address Longitude: -13.2341995239
IP Address ISP: Telecom Operator in SierraLeone
IP Address: 41.223.161.88
IP Address Country: Sudan (SD)
IP Address Region:
IP Address City:
IP Postal Code
IP Address Area Code 0
IP Metro Code 0
IP Address Latitude: 15
IP Address Longitude: 30
IP Address ISP: MTNSD / CANARTEL
Organisation: MTNSD / CANARTEL
IP Address Country: Oman (OM)
IP Address Region: 06 Masqat
IP Address City: Ruwi
IP Postal Code
IP Address Area Code 0
IP Metro Code 0
IP Address Latitude: 23.5905990601
IP Address Longitude: 58.5499992371
IP Address ISP: Omantel
Organisation: Omantel
IP Address City: Kathmandu
IP Postal Code
IP Address Area Code 0
IP Metro Code 0
IP Address Latitude: 27.7166996002
IP Address Longitude: 85.3167037964
IP Address ISP: WorldLink Communications Pvt. Ltd.
Organisation: WorldLink Communications Pvt. Ltd.
IP Address Proxy:
Firewall-Log (Anfang mit SRC gekappt:
DST=41.205.230.190 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=64312 WINDOW=0 RES=0x00 RST URGP=0
DST=41.205.230.190 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=63597 WINDOW=0 RES=0x00 RST URGP=0
DST=41.205.230.190 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=64312 WINDOW=0 RES=0x00 RST URGP=0
DST=41.205.230.190 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=64312 WINDOW=0 RES=0x00 RST URGP=0
DST=41.205.230.190 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=64312 WINDOW=0 RES=0x00 RST URGP=0
DST=41.66.27.98 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=30958 DF PROTO=TCP SPT=80 DPT=4185 WINDOW=6432 RES=0x00 ACK FIN URGP=0
DST=190.181.37.232 LEN=433 TOS=0x00 PREC=0x00 TTL=64 ID=37723 DF PROTO=TCP SPT=80 DPT=10518 WINDOW=6432 RES=0x00 ACK PSH FIN URGP=0
DST=41.205.230.190 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=64312 WINDOW=0 RES=0x00 RST URGP=0
DST=41.205.230.190 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=64312 WINDOW=0 RES=0x00 RST URGP=0
DST=41.205.230.190 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=64312 WINDOW=0 RES=0x00 RST URGP=0
DST=41.223.161.88 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=2442 WINDOW=0 RES=0x00 RST URGP=0
Was bedeutet das, wieso soll der Server auf Anfragen aus Dritte-Welt-Ländern antworten? Bzw. wie bekomme ich den entsprechenden Prozess geloggt,
lsof|grep TCT liefert für mich nichts wesentliches
Ich frage mich, welcher Prozess verbindet sich / oder will sich verbinden mit Katmandu/Indien/SieraLeone, etc.......
Vielen Dank, Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 194334
Url: https://administrator.de/contentid/194334
Printed on: April 23, 2024 at 10:04 o'clock
14 Comments
Latest comment
Moin
Nun da du ja den Server übernommen hast währe eine Aufstellung der ganzen Aktiven Programme/Dienste schonmal ein Anfang.
So kannst du sehen was da läuft und was evtl gar nicht laufen sollte.
Es kann aber auch nur sein das der Server gescannt wird nach Löchern und halt mit Standard Userdaten versucht wird sich zu verbinden.
Siehst du aber in den Logfails vom Mailserver ssh ect...
Helfen kann aber auch wenn du die Länder einfach mit iptables sperrst so das keine Pakete mehr angenommen werden bzw dahin verschickt werden.
Nun da du ja den Server übernommen hast währe eine Aufstellung der ganzen Aktiven Programme/Dienste schonmal ein Anfang.
So kannst du sehen was da läuft und was evtl gar nicht laufen sollte.
Es kann aber auch nur sein das der Server gescannt wird nach Löchern und halt mit Standard Userdaten versucht wird sich zu verbinden.
Siehst du aber in den Logfails vom Mailserver ssh ect...
Helfen kann aber auch wenn du die Länder einfach mit iptables sperrst so das keine Pakete mehr angenommen werden bzw dahin verschickt werden.
Hallo,
ich hatte auch mal mehrere Rootserver bei Hetzner. Das Problem ist, dass es einfach genug Server im Internet gibt, die über automatisierte Scripts versuchen andere Systeme, die im Internet stehen, zu attakieren und zu übernehmen. Solange dein Server die ausgehenden Pakete auf solche Verbindungsanfragen verwirft, sollte das nicht so sehr das Problem sein.
Problematisch kann es nach meinem Kenntnisstand nur dann werden, wenn daraus eine DDoS-Attacke wird. Möglicherweise sagt sich dann dein Server, dass ihm das zu viel wird mit den ganzen Anfragen, und die Firewall dann überlastet ist. Jedoch gehört da schon einiges an Rechenpower dazu. In einem solchen Fall gibt es zwei denkbare Szenarios (Ich bin mir da aber auch nicht so ganz sicher, also bitte korrigieren, wenn ich mich irre..). Erstens: Die Firewall macht einfach komplett dicht. damit ist dein Server vom Netz getrennt, aber immer noch nicht übernommen. Die andere Alternative (und hier bin ich mir nicht so sicher, ob das bei aktuellen Systemen noch funktioniert) ist, dass die Firewall sich abschaltet, und dann alle Tore offen sind.
Ich hatte auch mal den Fall, dass auf einen meiner Rootserver bei Hetzner starke Angriffe gefahren wurden. Daraufhin habe ich von Hetzner eine Mail bekommen, dass die mein System vom Netz getrennt haben, um schwerwiegende Folgen zu vermeiden, und den Angreifer ausfindig zu machen. Dies hat, wenn ich mich recht erinnere, einen Tag gedauert. Anschließend war mein System wieder online.
Angriffe aus dem Internet auf Rootserver stehen leider an der Tagesordnung. Meist sind es irgendwelche Portscanner, die versuchen, angreifbare Ports ausfindig zu machen, und diese ihrem Herrn zu reporten. Wenn dein System ordentlich abgesichert ist (Und dazu zähle ich weiß Gott nicht nur die Firewall), sollte eigentlich nichts passieren.
Viele Grüße
ich hatte auch mal mehrere Rootserver bei Hetzner. Das Problem ist, dass es einfach genug Server im Internet gibt, die über automatisierte Scripts versuchen andere Systeme, die im Internet stehen, zu attakieren und zu übernehmen. Solange dein Server die ausgehenden Pakete auf solche Verbindungsanfragen verwirft, sollte das nicht so sehr das Problem sein.
Problematisch kann es nach meinem Kenntnisstand nur dann werden, wenn daraus eine DDoS-Attacke wird. Möglicherweise sagt sich dann dein Server, dass ihm das zu viel wird mit den ganzen Anfragen, und die Firewall dann überlastet ist. Jedoch gehört da schon einiges an Rechenpower dazu. In einem solchen Fall gibt es zwei denkbare Szenarios (Ich bin mir da aber auch nicht so ganz sicher, also bitte korrigieren, wenn ich mich irre..). Erstens: Die Firewall macht einfach komplett dicht. damit ist dein Server vom Netz getrennt, aber immer noch nicht übernommen. Die andere Alternative (und hier bin ich mir nicht so sicher, ob das bei aktuellen Systemen noch funktioniert) ist, dass die Firewall sich abschaltet, und dann alle Tore offen sind.
Ich hatte auch mal den Fall, dass auf einen meiner Rootserver bei Hetzner starke Angriffe gefahren wurden. Daraufhin habe ich von Hetzner eine Mail bekommen, dass die mein System vom Netz getrennt haben, um schwerwiegende Folgen zu vermeiden, und den Angreifer ausfindig zu machen. Dies hat, wenn ich mich recht erinnere, einen Tag gedauert. Anschließend war mein System wieder online.
Angriffe aus dem Internet auf Rootserver stehen leider an der Tagesordnung. Meist sind es irgendwelche Portscanner, die versuchen, angreifbare Ports ausfindig zu machen, und diese ihrem Herrn zu reporten. Wenn dein System ordentlich abgesichert ist (Und dazu zähle ich weiß Gott nicht nur die Firewall), sollte eigentlich nichts passieren.
Viele Grüße
Moin,
das sind RST Pakete, also Pakete mit denen dein Server der Gegenstelle mitteilt das die Verbindung abgebrochen werden soll (Nach Missglückten SYN/ACK oder bei nicht offenen Port).
Entweder hast du einen Fehler in der FW-Config, oder es handelt sich evtl. um einen Portscan.
lg,
Slainte
das sind RST Pakete, also Pakete mit denen dein Server der Gegenstelle mitteilt das die Verbindung abgebrochen werden soll (Nach Missglückten SYN/ACK oder bei nicht offenen Port).
Entweder hast du einen Fehler in der FW-Config, oder es handelt sich evtl. um einen Portscan.
lg,
Slainte
Logfiles, nicht Log-FAILS...
Helfen kann aber auch wenn du die Länder einfach mit iptables sperrst so das keine Pakete mehr angenommen werden bzw dahin
verschickt werden.
verschickt werden.
Dann wünsche ich Dir aber schon mal VIEL SPASS beim Sperren aller Länder...
(so ein Käse)
Normalerweise, wenn man einen Server (root) managed, hat man auch das notwendige Wissen, WIE man in so Fällen was macht (Thema Firewall, Dienste, offene Ports, Logfiles automatisiert auswerten, etc...)
Lonesome Walker
wie bereits gesagt: ich glaube nicht, dass der Rootserver übernommen wurde, sondern dass das ein normaler Portscan war.
Aber mit Rootservern im internet muss man immer sehr vorsichtig sein. Wenn man sich nicht auskennt, dann steht man quasi mit einem Bein schon im Knast ;)
Der Mieter des Rootservers ist dafür verantwortlich (so war das Recht zumindest, wo ich meine Server noch hatte), was der Rootserver macht. Wenn den jemand karpert, und dann beispielsweise die Systeme andere angreift, wird zunächst davon ausgegangen, dass du als Betreiber des Servers diese Angriffe initiiert hast. Also immer vorsichtig damit.
Darf ich fragen, für was der Rootserver genutzt wird?
Gruß
Aber mit Rootservern im internet muss man immer sehr vorsichtig sein. Wenn man sich nicht auskennt, dann steht man quasi mit einem Bein schon im Knast ;)
Der Mieter des Rootservers ist dafür verantwortlich (so war das Recht zumindest, wo ich meine Server noch hatte), was der Rootserver macht. Wenn den jemand karpert, und dann beispielsweise die Systeme andere angreift, wird zunächst davon ausgegangen, dass du als Betreiber des Servers diese Angriffe initiiert hast. Also immer vorsichtig damit.
Darf ich fragen, für was der Rootserver genutzt wird?
Gruß
Hallo,
Aber wer will schon aus den halben Ländern nicht erreichbar sein -> Womit wir wieder bei den Aufgaben des Servers sind.
Gruß
Dann wünsche ich Dir aber schon mal VIEL SPASS beim Sperren aller Länder...
Hmm mit ner GeoIP Liste die es eh überall gibt und ner For Schleife kein Problem ;)Aber wer will schon aus den halben Ländern nicht erreichbar sein -> Womit wir wieder bei den Aufgaben des Servers sind.
Gruß
Oder halt nur Bestimmte Länder/IP Breich zulassen und alles andere Blocken...
Möglichkeiten gibt es da viele...
Möglichkeiten gibt es da viele...
Möglichkeiten gibt es da viele...
...und keine davon erhöht die Sicherheit des Servers.Schoenes WE,
Slainte
Hi
Aber um etwas zur Sicherheit des Server sagen zu können wäre es gut zu wissen welche Dienste dieser anbietet.
Gruß
...und keine davon erhöht die Sicherheit des Servers.
Naja wenn ich nur noch Deutschland zulasse habe ich doch etwas mehr Sicherheit da die "Bösen" meistens von Irgendwo versuchen zuzugreifen.Aber um etwas zur Sicherheit des Server sagen zu können wäre es gut zu wissen welche Dienste dieser anbietet.
Gruß
Naja wenn ich nur noch Deutschland zulasse habe ich doch etwas mehr Sicherheit da die "Bösen" meistens von
Irgendwo versuchen zuzugreifen.
...gähn... VPN, Proxy, Bouncer, BotnetzIrgendwo versuchen zuzugreifen.
Zitat von @Hitman4021:
Naja wenn ich nur noch Deutschland zulasse habe ich doch etwas mehr Sicherheit da die "Bösen" meistens von Irgendwo
versuchen zuzugreifen.
Naja wenn ich nur noch Deutschland zulasse habe ich doch etwas mehr Sicherheit da die "Bösen" meistens von Irgendwo
versuchen zuzugreifen.
Genau, und auf Google kann Dein Projekt ja auch verzichten...?
Lonesome Walker
Genau, und auf Google kann Dein Projekt ja auch verzichten...?
Wie gesagt ist davon abhängig was der Root Server macht.Ist es eine Intranet Seite?
Datenbankserver?
Website?
Mailserver?
usw...
Hängt komplett von der Anwendung ab.
...gähn... VPN, Proxy, Bouncer, Botnetz
Wobei sowas nur bei eher gezielten Angriffen eingesetzt wird. Und wenn es mal so gezielt ist hat man eh keine Chance.Es ist auf jeden Fall ein Ansatzpunkt den Server alles was nicht unbedingt nötig ist Droppen zu lassen.
Gruß
Hallo, meine Antworten auf die gestellten Fragen:
SlainteMhath schreibt am 16.11.2012 um 08:51:08 Uhr:
Firewall, hat glaub ich keinen Fehler. Was mich eigentlich gewundert hat, ist dass unglaublich viele Anfragen kommen aus Ländern der Dritten Welt, somit möglicherweise IP-Spoofing. Ich hatte schon mehrere Server, und noch nie einen solch regen Verkehr aus Sierra Leone, Uganda, Kathmandu. Bisher war es immer China oder Indien. Ich habe mich einfach gewundert über diese Länder, ich kann mir kaum vorstellen dass Sierra Leone und Kathmandu plötzlich meinen Server übernehmen.
Lonesome Walker schreibt am 16.11.2012 um 10:33:31 Uhr
Firewall/Dienste/offene Ports/log Files automatisiert auswerten, gut gut. Interessant wäre für mich beispielsweise, welches Programm hat um 17:34 Uhr oder sonstige Uhrzeit Netzwerkaktivität verursacht. Das kenne ich nur mit Wireshark. Irgendeine andere Idee?
pkrix89 schreibt am 16.11.2012 um 10:50:51 Uhr
Portcan ist für mich DPT=1,2,3,4,5. das sehe ich hier aber nicht. Server ist Mail Server, File Server, Mysql Server.
SlainteMhath schreibt am 16.11.2012 um 08:51:08 Uhr:
Firewall, hat glaub ich keinen Fehler. Was mich eigentlich gewundert hat, ist dass unglaublich viele Anfragen kommen aus Ländern der Dritten Welt, somit möglicherweise IP-Spoofing. Ich hatte schon mehrere Server, und noch nie einen solch regen Verkehr aus Sierra Leone, Uganda, Kathmandu. Bisher war es immer China oder Indien. Ich habe mich einfach gewundert über diese Länder, ich kann mir kaum vorstellen dass Sierra Leone und Kathmandu plötzlich meinen Server übernehmen.
Lonesome Walker schreibt am 16.11.2012 um 10:33:31 Uhr
Firewall/Dienste/offene Ports/log Files automatisiert auswerten, gut gut. Interessant wäre für mich beispielsweise, welches Programm hat um 17:34 Uhr oder sonstige Uhrzeit Netzwerkaktivität verursacht. Das kenne ich nur mit Wireshark. Irgendeine andere Idee?
pkrix89 schreibt am 16.11.2012 um 10:50:51 Uhr
Portcan ist für mich DPT=1,2,3,4,5. das sehe ich hier aber nicht. Server ist Mail Server, File Server, Mysql Server.
Firewall, hat glaub ich keinen Fehler.
Aha, genaues weis man also nicht...Und nochmal: deine FW blockt AUSGEHENDE RST PAKETE! Entweder fehlt da ein "accept" für "related" Pakete, oder dir hat man ein paar PHP Files oder gleich ein Rootkit untergeschoben
Zum Thema "Firewall/Dienste/offene Ports/log Files automatisiert auswerten" ein paar Stichworte zum Google'n:
SNORT, tcpdump, ntop.
