Задать вопрос

В чем смысл абузы?

Есть дедик у Hetzner.
Периодически приходят абузы вида:
24940 | наш.ip.шни.к | 2020-07-21 05:46:00 | 100000 4 111/udp; 100000 3 111/udp; 100000 2 111/udp; 100000 4 111/udp; 100000 3 111/udp; 100000 2 111/udp; 100005 1 45736/udp; 100005 1 57373/udp; 100005 2 56575/udp; 100005 2 48537/udp; 100005 3 35945/udp; 100005 3 44941/udp; 100003 3 2049/udp; 100003 4 2049/udp; 100227 3 2049/udp; 100003 3 2049/udp; 100227 3 2049/udp; 100021 1 38104/udp; 100021 3 38104/udp; 100021 4 38104/udp; 100021 1 37263/udp; 100021 3 37263/udp; 100021 4 37263/udp;

скрин абузы
FNwkkVU.png


Собственно это вся содержательная часть.
Всё остальное содержимое письма сводится к "мы получили предупреждение от BSI и пересылаем его вам - вот оно".

И все. В чем проблема? Чего они хотят?
  • Вопрос задан
  • 497 просмотров
Подписаться 2 Средний 8 комментариев
Решения вопроса 2
saboteur_kiev
@saboteur_kiev Куратор тега Linux
software engineer
У вас открыт portmapper наружу, 111 порт tcp/udp

Косвенно это уязвимость, которая позволяет злоумышленникам пользоваться этим для DDOS аттак.

Обычно он нужен для NFS или RPD, но крайне редко кому-либо нужно это делать прямо через интернет. Через инет чаще делают ssh или уже включают VPN и уже внутри шарят.

Если вы не пользуетесь такими сервисами, просто закройте портмаппер наружу.
Ответ написан
Комментировать
SignFinder
@SignFinder
Wintel\Unix Engineer\DevOps
Удалите portmapper, он ставится по умолчанию вместе с NFS - если вы не пользуетесь NFS, просто удалите пакет.
Пользуетесь - закройте порт 111 наружу.
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
Hetzner хочет, чтобы все у себя поправили
Ответ написан
@Karpion
Запретите на пакетном уровне весь трафик, кроме реально нужного.
Ответ написан
Комментировать
@MechanID
Админ хостинг провайдера
Исходя из абузы обнаружен подозрительный трафик - на мой предвзятый взгляд это похоже на активность мембера ботнета.
Соответственно вам нужно найти какой процесс на вашем сервере генерирует трафик на который вам указывает хостер, и либо это процесс ботнета и вам нужно его убирать и разбираться как вас взломали, либо обьяснять хостеру что это по вашему мнению нормальная активность, обьяснение должно быть максимально подробным.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы