Als Serveradmin kann es nach einer Debian-Installation vorkommen, dass ihr Post vom BSI CERT-Bund bekommt. In dieser E-Mail wird geschrieben, dass der offene Port 111 für DDoS-Reflection Angriffe missbraucht werden könnte. Debian macht diesen Portmapper/RPC Port bei einer Standardinstallation leider automatisch für das gesamte Internet erreichbar.
Original Abuse E-Mail vom CERT-Bund:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 |
Sehr geehrte Damen und Herren, der Portmapper-Dienst (portmap, rpcbind) wird benötigt, um RPC-Anfragen einem Dienst zuzuordnen. Der Portmapper-Dienst wird u.a. für Netzwerkfreigaben über das Network File System (NFS) benötigt. Der Portmapper-Dienst verwendet Port 111 tcp/udp. Ein offen aus dem Internet erreichbarer offener Portmapper-Dienst kann von einem Angreifer zur Durchführung von DDoS-Reflection-Angriffen missbraucht werden. Weiterhin kann ein Angreifer darüber Informationen über das Netzwerk erlangen, wie z.B. laufende RPC-Dienste oder vorhandene Netzwerkfreigaben. In den letzten Monaten wurden Systeme, welche Anfragen aus dem Internet an den Portmapper-Dienst beantworten, zunehmend zur Durchführung von DDoS-Reflection-Angriffen gegen IT-Systeme Dritter missbraucht. Betroffene Systeme in Ihrem Netzbereich: Format: ASN | IP | Timestamp (UTC) | RPC response xxxxx | xxx.xxx.xxx.xxx | 2020-08-11 06:15:40 | 100000 4 111/udp; 100000 3 111/udp; 100000 2 111/udp; 100000 4 111/udp; 100000 3 111/udp; 100000 2 111/udp; 100005 1 32767/udp; 100005 1 32767/udp; 100005 2 32767/udp; 100005 2 32767/udp; 100005 3 32767/udp; 100005 3 32767/udp; 100003 3 2049/udp; 100003 4 2049/udp; 100227 3 2049/udp; 100003 3 2049/udp; 100227 3 2049/udp; 100021 1 34649/udp; 100021 3 34649/udp; 100021 4 34649/udp; 100021 1 21505/udp; 100021 3 21505/udp; 100021 4 21505/udp; Wir möchten Sie bitten, den Sachverhalt zu prüfen und Maßnahmen zur Absicherung der Portmapper-Dienste auf den betroffenen Systemen zu ergreifen bzw. Ihre Kunden entsprechend zu informieren. Falls Sie kürzlich bereits Gegenmaßnahmen getroffen haben und diese Benachrichtigung erneut erhalten, beachten Sie bitten den angegebenen Zeitstempel. Wurde die Gegenmaßnahme erfolgreich umgesetzt, sollten Sie keine Benachrichtigung mit einem Zeitstempel nach der Umsetzung mehr erhalten. Weitere Informationen zu dieser Benachrichtigung, Hinweise zur Behebung gemeldeter Sicherheitsprobleme sowie Antworten auf hufig gestellte Fragen finden Sie unter: <https://reports.cert-bund.de/> Diese E-Mail ist mittels PGP digital signiert. Informationen zu dem verwendeten Schlüssel finden Sie unter: <https://reports.cert-bund.de/digitale-signatur> Bitte beachten Sie: Dies ist eine automatisch generierte Nachricht. Antworten an die Absenderadresse <reports@reports.cert-bund.de> werden NICHT gelesen und automatisch verworfen. Bei Rückfragen wenden Sie sich bitte unter Beibehaltung der Ticketnummer [CB-Report#...] in der Betreffzeile an <certbund@bsi.bund.de>. !! Bitte lesen Sie zunächst unsere HOWTOs und FAQ, welche unter !! <https://reports.cert-bund.de/> verfügbar sind. Mit freundlichen Gren / Kind regards Team CERT-Bund Bundesamt fr Sicherheit in der Informationstechnik Federal Office for Information Security (BSI) Referat OC23 - CERT-Bund Godesberger Allee 185-189, 53175 Bonn, Germany |
Ich zeige euch wie ihr den Port mit nur wenigen Befehlen schließen könnt.
ACHTUNG: Wenn der Debian-Server als NFS-Server genutzt wird, darf der Port nicht geschlossen werden!
Punkt 1: Prüfen ob Port 111 offen ist
Mit rpcinfo -p prüfen wir ob der Portmapper Dienst läuft.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 |
rpcinfo -p program vers proto port service 100000 4 tcp 111 portmapper 100000 3 tcp 111 portmapper 100000 2 tcp 111 portmapper 100000 4 udp 111 portmapper 100000 3 udp 111 portmapper 100000 2 udp 111 portmapper 100024 1 udp 53272 status 100024 1 tcp 52179 status 100005 1 udp 20048 mountd 100005 1 tcp 20048 mountd 100005 2 udp 20048 mountd 100005 2 tcp 20048 mountd 100005 3 udp 20048 mountd 100005 3 tcp 20048 mountd 100003 3 tcp 2049 nfs 100003 4 tcp 2049 nfs 100227 3 tcp 2049 nfs_acl 100021 1 udp 53754 nlockmgr 100021 3 udp 53754 nlockmgr 100021 4 udp 53754 nlockmgr 100021 1 tcp 44609 nlockmgr 100021 3 tcp 44609 nlockmgr 100021 4 tcp 44609 nlockmgr |
Weiter prüfen wir ob der Dienst, wie Debian üblich, auf 0.0.0.0:111 lauscht.
|
1 2 3 4 5 |
netstat -ntupl | grep 111 tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1/init tcp6 0 0 :::111 :::* LISTEN 1/init udp 0 0 0.0.0.0:111 0.0.0.0:* 1/init udp6 0 0 :::111 :::* 1/init |
Punkt 2: RPC Port 111 schließen
Sollte man keinen NFS-Server betreiben, ist es am sinnvollsten den RPC Dienst zu stoppen und deaktivieren.
|
1 2 3 4 5 |
systemctl stop rpcbind systemctl disable rpcbind systemctl mask rpcbind systemctl stop rpcbind.socket systemctl disable rpcbind.socket |
Punkt 3: Prüfen ob Port 111 geschlossen ist
Wir prüfen ob der Dienst maskiert und deaktiviert wurde.
|
1 2 3 4 |
systemctl status rpcbind ● rpcbind.service Loaded: masked (Reason: Unit rpcbind.service is masked.) Active: inactive (dead) |
Jetzt prüfen wir noch ob der Port 111 wirklich geschlossen ist und kein Dienst mehr auf dem Port läuft.
|
1 2 |
netstat -ntupl | grep 111 ... leere Ausgabe ... |
Euer adminForge Team
 Unterstütze unsere Arbeit mit einer Spende. |
