Ankündigung

Einklappen
Keine Ankündigung bisher.

1blu Sicherheits-Information what?! (vServer)

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    1blu Sicherheits-Information what?! (vServer)

    Moin,

    heute von 1blu ne Mail bekommen und frage mich was da abläuft. Hab leider von Netzwerkkram null Plan.

    Auszug aus der Mail:

    Sehr geehrter Herr XXX, das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat uns am 21.02.2017 mit der unten aufgeführten E-Mail über einen sicherheitsrelevanten Sachverhalt zu Ihrem 1blu-vServer LX mit der Vertragsnummer 123456 kontaktiert. Wir möchten Sie bitten, schnellstmöglich geeignete Maßnahmen zur Beseitigung des genannten Sachverhalts vorzunehmen. Wir bedanken uns ausdrücklich für Ihre Unterstützung und Mithilfe! Mit freundlichen Grüßen 1blu AG
    Die Mail vom CERT Bund:

    Sehr geehrte Damen und Herren, NetBIOS ist eine Programmierschnittstelle zur Kommunikation zwischen Programmen über ein lokales Netzwerk. NetBIOS over TCP/IP ist ein Netzwerkprotokoll, das es ermöglicht, auf der Programmierschnittstelle NetBIOS aufbauende Programme über das Netzwerkprotokoll TCP/IP zu verwenden. In den letzten Monaten wurden Systeme, welche Anfragen an NetBIOS- Namensdienste aus dem Internet beantworten, zunehmend zur Durchführung von DDoS-Reflection-Angriffen gegen IT-Systeme Dritter missbraucht. Nachfolgend senden wir Ihnen eine Liste betroffener Systeme in Ihrem Netzbereich. Der Zeitstempel (Zeitzone UTC) gibt an, wann der offene NetBIOS-Namensdienst identifiziert wurde. Wir möchten Sie bitten, den Sachverhalt zu prüfen und Maßnahmen zur Absicherung der NetBIOS-Namensdienste auf den betroffenen Systemen zu ergreifen bzw. Ihre Kunden entsprechend zu informieren. Falls Sie kürzlich bereits Gegenmaßnahmen getroffen haben und diese Benachrichtigung erneut erhalten, beachten Sie bitten den angegebenen Zeitstempel. Wurde die Gegenmaßnahme erfolgreich umgesetzt, sollten Sie keine Benachrichtigung mit einem Zeitstempel nach der Umsetzung mehr erhalten. Weitere Informationen zu dieser Benachrichtigung, Hinweise zur Behebung gemeldeter Sicherheitsprobleme sowie Antworten auf häufig gestellte Fragen finden Sie unter: Diese E-Mail ist mittels PGP digital signiert. Informationen zu dem verwendeten Schlüssel finden Sie unter vorgenannter URL.
    Was ist da los :D? Hab nen Voiceserver sowie nen Steamclient laufen, nicht mehr

    #2
    ist dein server im botnet? :D kannst halt nix machen
    /e naja kann man nachträglich schon

    Kommentar


      #3
      spielst du deine steamgames über die cloud?

      Kommentar


        #4
        Zitat von frent-
        Ansich bin ich mir ziemlich sicher das niemand auf meinen vps Zugriff hat.
        Behauptet auch keiner. Da steht, dass du einen offenen NetBIOS-Namensdienst laufen hast. Den musst du halt schließen/beenden. Den dieser wird für DDoS-Reflection-Attacken ausgenutzt.

        Der Zeitstempel (Zeitzone UTC) gibt an, wann der offene NetBIOS-Namensdienst identifiziert wurde. Wir möchten Sie bitten, den Sachverhalt zu prüfen und Maßnahmen zur Absicherung der NetBIOS-Namensdienste auf den betroffenen Systemen zu ergreifen bzw. Ihre Kunden entsprechend zu informieren.
        Was für ein OS hast du da drauf?

        Kommentar


          #5
          Zitat von EricM_prince of orcs
          spielst du deine steamgames über die cloud?
          Ne. Ich schalte das Script einfach mal paar Tage ab und schaue dann weiter. Aber finde ich trotzdem schon strange das da einfach 0 Informationen rüberkommen seitens 1blu

          Kommentar


            #6
            Zitat von frent-
            Zitat von EricM_prince of orcs
            spielst du deine steamgames über die cloud?
            Ne. Ich schalte das Script einfach mal paar Tage ab und schaue dann weiter. Aber finde ich trotzdem schon strange das da einfach 0 Informationen rüberkommen seitens 1blu
            naja bei dir ist halt ein recht ausnutzbarer port offen, das wird viele betreffen. mach ihn einfach zu :D

            Kommentar


              #7
              Zitat von DerKiLLa
              Zitat von frent-
              Ansich bin ich mir ziemlich sicher das niemand auf meinen vps Zugriff hat.
              Behauptet auch keiner. Da steht, dass du einen offenen NetBIOS-Namensdienst laufen hast. Den musst du halt schließen/beenden. Den dieser wird für DDoS-Reflection-Attacken ausgenutzt.

              Der Zeitstempel (Zeitzone UTC) gibt an, wann der offene NetBIOS-Namensdienst identifiziert wurde. Wir möchten Sie bitten, den Sachverhalt zu prüfen und Maßnahmen zur Absicherung der NetBIOS-Namensdienste auf den betroffenen Systemen zu ergreifen bzw. Ihre Kunden entsprechend zu informieren.
              Was für ein OS hast du da drauf?
              Installiert ist Debian 8.

              Wie komm ich denn an den Namendienst um ihn zu schließen? Habe für den TS Server z.B. auch keinen Port öffnen müssen und Firewall ist an und mit Standardeinstellungen versehen,

              Kommentar


                #8
                Zitat von frent-
                Zitat von DerKiLLa
                Zitat von frent-
                Ansich bin ich mir ziemlich sicher das niemand auf meinen vps Zugriff hat.
                Behauptet auch keiner. Da steht, dass du einen offenen NetBIOS-Namensdienst laufen hast. Den musst du halt schließen/beenden. Den dieser wird für DDoS-Reflection-Attacken ausgenutzt.

                Der Zeitstempel (Zeitzone UTC) gibt an, wann der offene NetBIOS-Namensdienst identifiziert wurde. Wir möchten Sie bitten, den Sachverhalt zu prüfen und Maßnahmen zur Absicherung der NetBIOS-Namensdienste auf den betroffenen Systemen zu ergreifen bzw. Ihre Kunden entsprechend zu informieren.
                Was für ein OS hast du da drauf?
                Installiert ist Debian 8.

                Wie komm ich denn an den Namendienst um ihn zu schließen? Habe für den TS Server z.B. auch keinen Port öffnen müssen und Firewall ist an und mit Standardeinstellungen versehen,
                weißt du wie du an die filterliste kommst?

                Kommentar


                  #9
                  Ja weiß ich. Habe in Plesk meine ich auch die Möglichkeit für Einstellungen der Firewall und halt im Virtuozzo Panel.

                  Kommentar


                    #10
                    Zitat von frent-
                    Wie komm ich denn an den Namendienst um ihn zu schließen?
                    https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Aktivitaeten/CERT-Bund/CERT-Reports/HOWTOs/Offene-NetBIOS-Namensdienste/Offene-NetBIOS-Namensdienste_node.html

                    Läuft Samba?

                    Kommentar


                      #11
                      Zitat von DerKiLLa
                      Zitat von frent-
                      Wie komm ich denn an den Namendienst um ihn zu schließen?
                      https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Aktivitaeten/CERT-Bund/CERT-Reports/HOWTOs/Offene-NetBIOS-Namensdienste/Offene-NetBIOS-Namensdienste_node.html

                      Läuft Samba?
                      check ob samba/netbios läuft
                      ps -ef | grep smbd
                      ps -ef | grep nmbd

                      samba/netbios deaktivieren
                      sudo service smbd stop
                      sudo service nmbd stop

                      Ansonsten einlesen
                      http://www.linux-praxis.de/linux3/samba5.html



                      mal OT:

                      Für was läuft da nen Steamclient??

                      Kommentar


                        #12
                        LOL - oh man...
                        Habe für den TS Server z.B. auch keinen Port öffnen müssen und Firewall ist an und mit Standardeinstellungen
                        Was musste ich hier lesen :-)

                        Naja, wenn du den Port net brauchst mach ihn einfach zu. Zur Not über die räudige Plesk Firewall (iptables based) oder eben selber via iptables.


                        Zitat von frent-
                        Aber finde ich trotzdem schon strange das da einfach 0 Informationen rüberkommen seitens 1blu
                        Was hat 1Blue damit am Hut? Das was der CERT verschickt nennt man Abuse Mail und da steht idR. alle Infos drin. Welche Information fehlt dir denn konkret?

                        Kommentar


                          #13
                          Zitat von Kaiserlich
                          LOL - oh man...
                          Habe für den TS Server z.B. auch keinen Port öffnen müssen und Firewall ist an und mit Standardeinstellungen
                          Was musste ich hier lesen :-)

                          Naja, wenn du den Port net brauchst mach ihn einfach zu. Zur Not über die räudige Plesk Firewall (iptables based) oder eben selber via iptables.


                          Zitat von frent-
                          Aber finde ich trotzdem schon strange das da einfach 0 Informationen rüberkommen seitens 1blu
                          Was hat 1Blue damit am Hut? Das was der CERT verschickt nennt man Abuse Mail und da steht idR. alle Infos drin. Welche Information fehlt dir denn konkret?
                          Ihm fehlt ein How-To Youtube Video von Bibi.

                          Kommentar


                            #14
                            Achso, du meinst ihm fehlt die Info wie er das Problem löst?
                            Ja ne is klar, genau deshalb hat man ja einen dedicated Server und net nen magend... zwecks Kredibilität.

                            Got it, seems legit. Again what learnd

                            Kommentar

                            Lädt...
                            X