Portmapper Dienst - Warnung des BSI

bernie

Member
Guten Morgen
Wir erhalten momentan Warnmeldungen des BSI betr. allfälligen Portmapper DDoS Attacken"
der Portmapper-Dienst (portmap, rpcbind) wird bentigt, um RPC-Anfragen
(Remote Procedure Calls) dem korrekten Dienst zuzuordnen. Der Portmapper-
Dienst wird u.a. fr Netzwerkfreigaben ber das Network File System (NFS)
bentigt. Der Portmapper-Dienst verwendet Port 111 tcp/udp [1].

Ein aus dem Internet erreichbarer offener Portmapper-Dienst kann von einem
Angreifer zur Durchfhrung von DDoS-Reflection/Amplification-Angriffen
missbraucht werden. Weiterhin kann ein Angreifer darber Informationen
ber das Netzwerk erlangen, wie z.B. laufende RPC-Dienste oder vorhandene
Netzwerkfreigaben.

In den letzten Monaten wurden Systeme, welche Anfragen aus dem Internet
an den Portmapper-Dienst beantworten, zunehmend zur Durchfhrung von
DDoS-Reflection/Amplification-Angriffen missbraucht [2].

Im Rahmen des Shadowserver 'Open Portmapper Scanning Projects' werden
Systeme identifiziert, welche Anfragen an den Portmapper-Dienst aus dem
Internet beantworten. Diese Systeme knnen fr DDoS-Angriffe missbraucht
werden, sofern keine anderen Gegenmanahmen implementiert wurden.
Habt Ihr dazu irgendwelche Empfehlungen?
Vielen Dank.
Gruss
Bernie
 
Ja, Hetzner verteilt diese Mails gerade.
Ich denke im ersten Schritt die Firewall einrichten. So wird es in den Links der Mail empfohlen.
 

suther

Member
Ja, hab heute auch eine bekommen.
Soweit ich weiß, benötigt man rpcbind nur für NFS, oder? Von Haus aus sollte ispconfig das demnach nicht benötigen?!
Reicht es da, einfach den rpcbind zu stoppen:
Code:
service rpcbind stop
und gegen wiedereinschalten beim Startup zu sichern:
Code:
chkconfig rpcbind off

Oder würdet Ihr den laufen lassen, und einfach via IPTABLES den Port 111 von außerhalb abweisen?
So wie es hier beschrieben ist: https://access.redhat.com/documenta...nux/3/html/Security_Guide/s1-server-port.html
 

Till

Administrator
ISPConfig braucht den nicht, ich würde ihn einfach stoppen wenn Du keinen anderen Dienst wie NFS laufen hast, der ihn benötigt.
 

florian030

Well-Known Member
Ich finde solche Mails vom BSI ziemlich frech. Es kann durchaus Gründe geben, warum ein portmapper laufen muss.
 
Naja, sie schreiben ja, dass es eine generelle Überprüfung war und nur ggf. Tätig werden sollte.
Hattest du eine der Mails gesehen?
 

nowayback

Well-Known Member
ich weiß nicht, aber frech finde ich die mails nicht. ich stimme dir schon zu @florian030 dass es gründe geben kann warum ein portmapper laufen muss, aber muss der auf der internet ip laufen?
wäre es da nicht sinnvoller einfach ein vpn aufzubauen und die entsprechenden dienste einfach durch den tunnel zu schicken? ich persönlich würde das auf jeden fall bevorzugen und mir ist bis heute noch kein fall untergekommen, in dem rpc via internet erreichbar sein musste.

davon abgesehen sollte man das schon als warnung verstehen, denn wenn der entsprechende server tatsächlich für einen angriff mitgenutzt wird, hat man warscheinlich mehr stress an der backe als einmal nen tunnel aufzusetzen.
 

Till

Administrator
Ein Kunde von mir hatte auch die Email bekommen und der Portmapper der dort lief war garnicht notwendig, von daher finde ich sowas durchaus OK, denn ich denke es gibt nicht so viele Setups die wirklich den portmapper Dienst auf einer öffentlichen IP benötigen.
 

bloody_noob

New Member
Das Hauptproblem sind doch nicht die Endanwender auf deren Rechnern rpcbind an 0.0.0.0 gebunden wurde, das Problem sind schlechte Defaulteinstellungen einiger Upstream-Pakete oder in den Bundles von Distributioen. Gibt es Zahlen oder Informationen dazu ob das BSI sich beim Upstream-Entwickler über schlechte Defaults beschweren oder gar beim Distributor?

Da das für mich intransparent ist behaupte ich: Hier werden Symptome bekämpft aber nicht deren Ursache!

Habe die Mail heute auch erhalten, auf dem betroffenem System läuft Ubuntu-Server und ich gehe jede Wette ein: portmapper/rpcbind wurde von einer Abhängigkeit oder einem empfohlenem Paket installiert welches in der Default Einstellung rpcbind an 0.0.0.0 bindet statt an localhost...
 

pgloor

New Member
Der Thread ist zwar nicht mehr ganz neu, aber ich antworte hier, weil es gerade wieder mal aktuell ist. Ich habe vorgestern auch so eine Mail bekommen und war zuerst erstaunt, da ich mir ganz sicher war, die Ports erst vor kurzem überprüft zu haben. Und in der Tat war rcbind an 0.0.0.0 statt an localhost gebunden. Ich denke, ich weiss bereits wie das zustande gekommen ist und falls meine Vermutung stimmt, dann werde ich das Problem als Fehler an geeigneter Stelle rapportieren.

Im Übrigen finde ich es eine gute Sache, wenn man auf solche "Löcher" aufmerksam gemacht wird. Ich empfinde das keinesfalls als Frechheit oder Schikane.
 

Werbung

Top