Portmapper Dienst - Warnung des BSI

Dieses Thema im Forum "Server Administration" wurde erstellt von bernie, 31. März 2016.

  1. bernie

    bernie Member

    Guten Morgen
    Wir erhalten momentan Warnmeldungen des BSI betr. allfälligen Portmapper DDoS Attacken"
    Habt Ihr dazu irgendwelche Empfehlungen?
    Vielen Dank.
    Gruss
    Bernie
     
  2. darkness_08

    darkness_08 Member

    Ja, Hetzner verteilt diese Mails gerade.
    Ich denke im ersten Schritt die Firewall einrichten. So wird es in den Links der Mail empfohlen.
     
  3. suther

    suther Member

    Ja, hab heute auch eine bekommen.
    Soweit ich weiß, benötigt man rpcbind nur für NFS, oder? Von Haus aus sollte ispconfig das demnach nicht benötigen?!
    Reicht es da, einfach den rpcbind zu stoppen:
    Code:
    service rpcbind stop
    und gegen wiedereinschalten beim Startup zu sichern:
    Code:
    chkconfig rpcbind off
    Oder würdet Ihr den laufen lassen, und einfach via IPTABLES den Port 111 von außerhalb abweisen?
    So wie es hier beschrieben ist: https://access.redhat.com/documenta...nux/3/html/Security_Guide/s1-server-port.html
     
  4. Till

    Till Administrator

    ISPConfig braucht den nicht, ich würde ihn einfach stoppen wenn Du keinen anderen Dienst wie NFS laufen hast, der ihn benötigt.
     
  5. florian030

    florian030 Member

    Ich finde solche Mails vom BSI ziemlich frech. Es kann durchaus Gründe geben, warum ein portmapper laufen muss.
     
  6. darkness_08

    darkness_08 Member

    Naja, sie schreiben ja, dass es eine generelle Überprüfung war und nur ggf. Tätig werden sollte.
    Hattest du eine der Mails gesehen?
     
  7. nowayback

    nowayback Well-Known Member

    ich weiß nicht, aber frech finde ich die mails nicht. ich stimme dir schon zu @florian030 dass es gründe geben kann warum ein portmapper laufen muss, aber muss der auf der internet ip laufen?
    wäre es da nicht sinnvoller einfach ein vpn aufzubauen und die entsprechenden dienste einfach durch den tunnel zu schicken? ich persönlich würde das auf jeden fall bevorzugen und mir ist bis heute noch kein fall untergekommen, in dem rpc via internet erreichbar sein musste.

    davon abgesehen sollte man das schon als warnung verstehen, denn wenn der entsprechende server tatsächlich für einen angriff mitgenutzt wird, hat man warscheinlich mehr stress an der backe als einmal nen tunnel aufzusetzen.
     
  8. Till

    Till Administrator

    Ein Kunde von mir hatte auch die Email bekommen und der Portmapper der dort lief war garnicht notwendig, von daher finde ich sowas durchaus OK, denn ich denke es gibt nicht so viele Setups die wirklich den portmapper Dienst auf einer öffentlichen IP benötigen.
     
  9. bloody_noob

    bloody_noob New Member

    Das Hauptproblem sind doch nicht die Endanwender auf deren Rechnern rpcbind an 0.0.0.0 gebunden wurde, das Problem sind schlechte Defaulteinstellungen einiger Upstream-Pakete oder in den Bundles von Distributioen. Gibt es Zahlen oder Informationen dazu ob das BSI sich beim Upstream-Entwickler über schlechte Defaults beschweren oder gar beim Distributor?

    Da das für mich intransparent ist behaupte ich: Hier werden Symptome bekämpft aber nicht deren Ursache!

    Habe die Mail heute auch erhalten, auf dem betroffenem System läuft Ubuntu-Server und ich gehe jede Wette ein: portmapper/rpcbind wurde von einer Abhängigkeit oder einem empfohlenem Paket installiert welches in der Default Einstellung rpcbind an 0.0.0.0 bindet statt an localhost...
     
  10. pgloor

    pgloor New Member

    Der Thread ist zwar nicht mehr ganz neu, aber ich antworte hier, weil es gerade wieder mal aktuell ist. Ich habe vorgestern auch so eine Mail bekommen und war zuerst erstaunt, da ich mir ganz sicher war, die Ports erst vor kurzem überprüft zu haben. Und in der Tat war rcbind an 0.0.0.0 statt an localhost gebunden. Ich denke, ich weiss bereits wie das zustande gekommen ist und falls meine Vermutung stimmt, dann werde ich das Problem als Fehler an geeigneter Stelle rapportieren.

    Im Übrigen finde ich es eine gute Sache, wenn man auf solche "Löcher" aufmerksam gemacht wird. Ich empfinde das keinesfalls als Frechheit oder Schikane.
     

Diese Seite empfehlen