Aktueller Hinweis vom BSI

Das Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) versendet momentan wieder einige Abuse-Meldungen, die gerade Hetzner gerne als Information an den Kunden weiterleitet.

Ein Auszug aus der Mail, die ich erhalten habe:

Sehr geehrte Damen und Herren,

der Portmapper-Dienst (portmap, rpcbind) wird bentigt, um RPC-Anfragen
(Remote Procedure Calls) dem korrekten Dienst zuzuordnen. Der Portmapper-
Dienst wird u.a. fr Netzwerkfreigaben ber das Network File System (NFS)
bentigt. Der Portmapper-Dienst verwendet Port 111 tcp/udp [1].

Im Rahmen des Shadowserver ‚Open Portmapper Scanning Projects‘ werden
Systeme identifiziert, welche Anfragen an den Portmapper-Dienst aus dem
Internet beantworten. Diese Systeme knnen fr DDoS-Angriffe missbraucht
werden, sofern keine anderen Gegenmanahmen implementiert wurden.

Über Sinn und Unsinn dieser Mail lässt sich nun vorzüglich streiten, dennoch haben mich einige Kunden gefragt, ob ihre Server „sicher“ sind oder alternativ, was sie dagegen tun können.

Folgende iptables-Regeln blockieren den für den Portmapper genutzen Port 111 von außen komplett:

Bitte beachten Sie dabei, dass iptables-Regeln bei einem Neustart geleert werden. Möchten Sie die Regeln persistent machen, können Sie dafür z.B. iptables-persistent nutzen.

Darüber, ob Portscans auf ganze Netzbereiche vom BSI aus nicht auch eine Abuse-Meldung wert wären, lasse ich mich nun nicht aus… ;-)

2 Gedanken zu “Aktueller Hinweis vom BSI

  1. Hallo Dominic,

    wir haben auch diverse Abuse-Meldungen für Server unserer Kunden erhalten. Das (für mich) verwunderliche an der ganzen Sache, auf den bemängelten Maschinen kann von außen keinen offenen Port 111 finden (nmap). Nur von der Maschine selbst wird ein offener Port 111 gefunden.

    Sicher kann ich jetzt den Port zusätzlich per IPTables nach außen sperren, nur würde ich gern den Grund für die Meldung verstehen und v.a. reproduzieren können. Hast du evtl. einen Tip für mich?

    Besten DANK!

Schreibe einen Kommentar