Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Rootserver übernommen?

Frage Internet Server

Mitglied: drapriq

drapriq (Level 1) - Jetzt verbinden

15.11.2012 um 23:23 Uhr, 4755 Aufrufe, 14 Kommentare

Hallo,

Hallo, rootserver hetzner, debian squeeze. Nach Serverumzug beobachte ich Firewall (apf-firewall) Aktivitäten, outgoing traffic wird gedropt, zum größten Teil unassigned ports,
Zieladressen exotische Länder,
Beispiele:
IP Address: 41.205.230.190
IP Address Country: Sierra Leone (SL)
IP Address Region: 04 Western Area
IP Address City: Freetown
IP Postal Code
IP Address Area Code 0
IP Metro Code 0
IP Address Latitude: 8.48999977112
IP Address Longitude: -13.2341995239
IP Address ISP: Telecom Operator in SierraLeone

IP Address: 41.223.161.88
IP Address Country: Sudan (SD)
IP Address Region:
IP Address City:
IP Postal Code
IP Address Area Code 0
IP Metro Code 0
IP Address Latitude: 15
IP Address Longitude: 30
IP Address ISP: MTNSD / CANARTEL
Organisation: MTNSD / CANARTEL

IP Address Country: Oman (OM)
IP Address Region: 06 Masqat
IP Address City: Ruwi
IP Postal Code
IP Address Area Code 0
IP Metro Code 0
IP Address Latitude: 23.5905990601
IP Address Longitude: 58.5499992371
IP Address ISP: Omantel
Organisation: Omantel


IP Address City: Kathmandu
IP Postal Code
IP Address Area Code 0
IP Metro Code 0
IP Address Latitude: 27.7166996002
IP Address Longitude: 85.3167037964
IP Address ISP: WorldLink Communications Pvt. Ltd.
Organisation: WorldLink Communications Pvt. Ltd.
IP Address Proxy:


Firewall-Log (Anfang mit SRC gekappt:
DST=41.205.230.190 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=64312 WINDOW=0 RES=0x00 RST URGP=0
DST=41.205.230.190 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=63597 WINDOW=0 RES=0x00 RST URGP=0
DST=41.205.230.190 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=64312 WINDOW=0 RES=0x00 RST URGP=0
DST=41.205.230.190 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=64312 WINDOW=0 RES=0x00 RST URGP=0
DST=41.205.230.190 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=64312 WINDOW=0 RES=0x00 RST URGP=0
DST=41.66.27.98 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=30958 DF PROTO=TCP SPT=80 DPT=4185 WINDOW=6432 RES=0x00 ACK FIN URGP=0
DST=190.181.37.232 LEN=433 TOS=0x00 PREC=0x00 TTL=64 ID=37723 DF PROTO=TCP SPT=80 DPT=10518 WINDOW=6432 RES=0x00 ACK PSH FIN URGP=0
DST=41.205.230.190 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=64312 WINDOW=0 RES=0x00 RST URGP=0
DST=41.205.230.190 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=64312 WINDOW=0 RES=0x00 RST URGP=0
DST=41.205.230.190 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=64312 WINDOW=0 RES=0x00 RST URGP=0
DST=41.223.161.88 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=2442 WINDOW=0 RES=0x00 RST URGP=0




Was bedeutet das, wieso soll der Server auf Anfragen aus Dritte-Welt-Ländern antworten? Bzw. wie bekomme ich den entsprechenden Prozess geloggt,
lsof|grep TCT liefert für mich nichts wesentliches

Ich frage mich, welcher Prozess verbindet sich / oder will sich verbinden mit Katmandu/Indien/SieraLeone, etc.......

Vielen Dank, Gruß
Mitglied: kaiand1
16.11.2012 um 08:05 Uhr
Moin
Nun da du ja den Server übernommen hast währe eine Aufstellung der ganzen Aktiven Programme/Dienste schonmal ein Anfang.
So kannst du sehen was da läuft und was evtl gar nicht laufen sollte.
Es kann aber auch nur sein das der Server gescannt wird nach Löchern und halt mit Standard Userdaten versucht wird sich zu verbinden.
Siehst du aber in den Logfails vom Mailserver ssh ect...
Helfen kann aber auch wenn du die Länder einfach mit iptables sperrst so das keine Pakete mehr angenommen werden bzw dahin verschickt werden.
Bitte warten ..
Mitglied: pkrix89
16.11.2012 um 08:10 Uhr
Hallo,

ich hatte auch mal mehrere Rootserver bei Hetzner. Das Problem ist, dass es einfach genug Server im Internet gibt, die über automatisierte Scripts versuchen andere Systeme, die im Internet stehen, zu attakieren und zu übernehmen. Solange dein Server die ausgehenden Pakete auf solche Verbindungsanfragen verwirft, sollte das nicht so sehr das Problem sein.
Problematisch kann es nach meinem Kenntnisstand nur dann werden, wenn daraus eine DDoS-Attacke wird. Möglicherweise sagt sich dann dein Server, dass ihm das zu viel wird mit den ganzen Anfragen, und die Firewall dann überlastet ist. Jedoch gehört da schon einiges an Rechenpower dazu. In einem solchen Fall gibt es zwei denkbare Szenarios (Ich bin mir da aber auch nicht so ganz sicher, also bitte korrigieren, wenn ich mich irre..). Erstens: Die Firewall macht einfach komplett dicht. damit ist dein Server vom Netz getrennt, aber immer noch nicht übernommen. Die andere Alternative (und hier bin ich mir nicht so sicher, ob das bei aktuellen Systemen noch funktioniert) ist, dass die Firewall sich abschaltet, und dann alle Tore offen sind.
Ich hatte auch mal den Fall, dass auf einen meiner Rootserver bei Hetzner starke Angriffe gefahren wurden. Daraufhin habe ich von Hetzner eine Mail bekommen, dass die mein System vom Netz getrennt haben, um schwerwiegende Folgen zu vermeiden, und den Angreifer ausfindig zu machen. Dies hat, wenn ich mich recht erinnere, einen Tag gedauert. Anschließend war mein System wieder online.
Angriffe aus dem Internet auf Rootserver stehen leider an der Tagesordnung. Meist sind es irgendwelche Portscanner, die versuchen, angreifbare Ports ausfindig zu machen, und diese ihrem Herrn zu reporten. Wenn dein System ordentlich abgesichert ist (Und dazu zähle ich weiß Gott nicht nur die Firewall), sollte eigentlich nichts passieren.

Viele Grüße
Bitte warten ..
Mitglied: SlainteMhath
16.11.2012 um 08:51 Uhr
Moin,

das sind RST Pakete, also Pakete mit denen dein Server der Gegenstelle mitteilt das die Verbindung abgebrochen werden soll (Nach Missglückten SYN/ACK oder bei nicht offenen Port).

Entweder hast du einen Fehler in der FW-Config, oder es handelt sich evtl. um einen Portscan.

lg,
Slainte
Bitte warten ..
Mitglied: 16568
16.11.2012 um 10:33 Uhr
Zitat von kaiand1:
Siehst du aber in den Logfails vom Mailserver ssh ect...

Logfiles, nicht Log-FAILS...

Helfen kann aber auch wenn du die Länder einfach mit iptables sperrst so das keine Pakete mehr angenommen werden bzw dahin
verschickt werden.

Dann wünsche ich Dir aber schon mal VIEL SPASS beim Sperren aller Länder...
(so ein Käse)

Normalerweise, wenn man einen Server (root) managed, hat man auch das notwendige Wissen, WIE man in so Fällen was macht (Thema Firewall, Dienste, offene Ports, Logfiles automatisiert auswerten, etc...)


Lonesome Walker
Bitte warten ..
Mitglied: pkrix89
16.11.2012 um 10:50 Uhr
wie bereits gesagt: ich glaube nicht, dass der Rootserver übernommen wurde, sondern dass das ein normaler Portscan war.
Aber mit Rootservern im internet muss man immer sehr vorsichtig sein. Wenn man sich nicht auskennt, dann steht man quasi mit einem Bein schon im Knast ;)
Der Mieter des Rootservers ist dafür verantwortlich (so war das Recht zumindest, wo ich meine Server noch hatte), was der Rootserver macht. Wenn den jemand karpert, und dann beispielsweise die Systeme andere angreift, wird zunächst davon ausgegangen, dass du als Betreiber des Servers diese Angriffe initiiert hast. Also immer vorsichtig damit.
Darf ich fragen, für was der Rootserver genutzt wird?

Gruß
Bitte warten ..
Mitglied: Hitman4021
16.11.2012 um 12:38 Uhr
Hallo,

Dann wünsche ich Dir aber schon mal VIEL SPASS beim Sperren aller Länder...
Hmm mit ner GeoIP Liste die es eh überall gibt und ner For Schleife kein Problem ;)
Aber wer will schon aus den halben Ländern nicht erreichbar sein -> Womit wir wieder bei den Aufgaben des Servers sind.

Gruß
Bitte warten ..
Mitglied: kaiand1
16.11.2012 um 12:55 Uhr
Oder halt nur Bestimmte Länder/IP Breich zulassen und alles andere Blocken...
Möglichkeiten gibt es da viele...
Bitte warten ..
Mitglied: SlainteMhath
16.11.2012 um 12:58 Uhr
Möglichkeiten gibt es da viele...
...und keine davon erhöht die Sicherheit des Servers.

Schoenes WE,
Slainte
Bitte warten ..
Mitglied: Hitman4021
16.11.2012 um 13:01 Uhr
Hi

...und keine davon erhöht die Sicherheit des Servers.
Naja wenn ich nur noch Deutschland zulasse habe ich doch etwas mehr Sicherheit da die "Bösen" meistens von Irgendwo versuchen zuzugreifen.
Aber um etwas zur Sicherheit des Server sagen zu können wäre es gut zu wissen welche Dienste dieser anbietet.

Gruß
Bitte warten ..
Mitglied: SlainteMhath
16.11.2012 um 13:06 Uhr
Naja wenn ich nur noch Deutschland zulasse habe ich doch etwas mehr Sicherheit da die "Bösen" meistens von
Irgendwo versuchen zuzugreifen.
...gähn... VPN, Proxy, Bouncer, Botnetz
Bitte warten ..
Mitglied: 16568
16.11.2012 um 13:14 Uhr
Zitat von Hitman4021:
Naja wenn ich nur noch Deutschland zulasse habe ich doch etwas mehr Sicherheit da die "Bösen" meistens von Irgendwo
versuchen zuzugreifen.

Genau, und auf Google kann Dein Projekt ja auch verzichten...?

c87cd602bf6c447d2836322c38f47afe - Klicke auf das Bild, um es zu vergrößern


Lonesome Walker
Bitte warten ..
Mitglied: Hitman4021
16.11.2012 um 13:18 Uhr
Genau, und auf Google kann Dein Projekt ja auch verzichten...?
Wie gesagt ist davon abhängig was der Root Server macht.
Ist es eine Intranet Seite?
Datenbankserver?
Website?
Mailserver?
usw...

Hängt komplett von der Anwendung ab.

...gähn... VPN, Proxy, Bouncer, Botnetz
Wobei sowas nur bei eher gezielten Angriffen eingesetzt wird. Und wenn es mal so gezielt ist hat man eh keine Chance.
Es ist auf jeden Fall ein Ansatzpunkt den Server alles was nicht unbedingt nötig ist Droppen zu lassen.

Gruß
Bitte warten ..
Mitglied: drapriq
16.11.2012, aktualisiert um 15:45 Uhr
Hallo, meine Antworten auf die gestellten Fragen:

SlainteMhath schreibt am 16.11.2012 um 08:51:08 Uhr:
Firewall, hat glaub ich keinen Fehler. Was mich eigentlich gewundert hat, ist dass unglaublich viele Anfragen kommen aus Ländern der Dritten Welt, somit möglicherweise IP-Spoofing. Ich hatte schon mehrere Server, und noch nie einen solch regen Verkehr aus Sierra Leone, Uganda, Kathmandu. Bisher war es immer China oder Indien. Ich habe mich einfach gewundert über diese Länder, ich kann mir kaum vorstellen dass Sierra Leone und Kathmandu plötzlich meinen Server übernehmen.

Lonesome Walker schreibt am 16.11.2012 um 10:33:31 Uhr
Firewall/Dienste/offene Ports/log Files automatisiert auswerten, gut gut. Interessant wäre für mich beispielsweise, welches Programm hat um 17:34 Uhr oder sonstige Uhrzeit Netzwerkaktivität verursacht. Das kenne ich nur mit Wireshark. Irgendeine andere Idee?

pkrix89 schreibt am 16.11.2012 um 10:50:51 Uhr
Portcan ist für mich DPT=1,2,3,4,5. das sehe ich hier aber nicht. Server ist Mail Server, File Server, Mysql Server.
Bitte warten ..
Mitglied: SlainteMhath
19.11.2012, aktualisiert um 08:47 Uhr
Firewall, hat glaub ich keinen Fehler.
Aha, genaues weis man also nicht...

Und nochmal: deine FW blockt AUSGEHENDE RST PAKETE! Entweder fehlt da ein "accept" für "related" Pakete, oder dir hat man ein paar PHP Files oder gleich ein Rootkit untergeschoben

Zum Thema "Firewall/Dienste/offene Ports/log Files automatisiert auswerten" ein paar Stichworte zum Google'n:
SNORT, tcpdump, ntop.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Microsoft Office
gelöst Vorlagenpfad wird nicht übernommen Office 2013 (6)

Frage von Leo-le zum Thema Microsoft Office ...

Server
Feste IP oder Domainname für Rootserver (9)

Frage von achim222 zum Thema Server ...

Windows Server
gelöst Gruppenrichtlinie für WSUS wird nicht übernommen (4)

Frage von takvorian zum Thema Windows Server ...

Windows 10
gelöst GPO wird bei manchen Rechnern nicht übernommen (20)

Frage von Hanuta zum Thema Windows 10 ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (18)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...