В чем смысл абузы?

Question

[Александр Маджугин]

Есть дедик у Hetzner.
Периодически приходят абузы вида:

24940 | наш.ip.шни.к | 2020-07-21 05:46:00 | 100000 4 111/udp; 100000 3 111/udp; 100000 2 111/udp; 100000 4 111/udp; 100000 3 111/udp; 100000 2 111/udp; 100005 1 45736/udp; 100005 1 57373/udp; 100005 2 56575/udp; 100005 2 48537/udp; 100005 3 35945/udp; 100005 3 44941/udp; 100003 3 2049/udp; 100003 4 2049/udp; 100227 3 2049/udp; 100003 3 2049/udp; 100227 3 2049/udp; 100021 1 38104/udp; 100021 3 38104/udp; 100021 4 38104/udp; 100021 1 37263/udp; 100021 3 37263/udp; 100021 4 37263/udp;

скрин абузы

Собственно это вся содержательная часть.
Всё остальное содержимое письма сводится к "мы получили предупреждение от BSI и пересылаем его вам - вот оно".

И все. В чем проблема? Чего они хотят?

Comments

[Модератор]

Дорогой пользователь, настоятельно рекомендуем еще раз обратить самое пристальное внимание на п. 3.1 регламента работы сервиса (и, в особенности, на его последний абзац).
В противном случае, ваши вопросы будут удаляться по причине тег-спама, а систематические нарушения приведут к блокировке учетной записи.

[Александр Маджугин]

Модератор, верните теги нормальные. Вы сами всё сделали для тэг спама.
Где теги хостинг/hosting, сервер/server или vds/vps?
Данный вопрос касается не только Hetzner но и любого практических хостинга. Мне всех хостеров перечислить в тегах? Есть ограничение на 5.
А удалять вопросы - это решение, да. Может вообще площадку закрыть? Никакого тег-спама, никаких вопросов.

[DevMan]

Александр Маджугин, отсутствие подходящего тега - повод лепить пучок неподходящих?
л - логика!

[Александр Маджугин]

DevMan, конечно - так будет заметна проблема, а то скоро останется два тега Laravel и 3D-принтеры и будем выбирать какой из них повесить на вопрос про js.

[Сергей Горностаев]

Александр Маджугин, обычно отсутствие тега означает, что вопрос вне тематики ресурса. В частности 99.99% вопросов с тегом "хостинг" были такими, что их надо было задавать поддержке хостинга.

[DevMan]

Александр Маджугин, с такой логикой вашим вопросам тут будет неуютно.

[Александр Маджугин]

Сергей Горностаев, предположим. Тогда почему есть тег Hetzner? (который кстати уже выпилил из вопроса - ну да к Hetzner вопроса не относится)
Ведь он же фактически подмножество тега Хостинг. Выходит что множество вне "тематики ресурса", но некоторые подмножества вполне в тематике?

[DevMan]

Александр Маджугин, потому что тег Hetzner вполне конкретный, а тег хостинг/впс – нет.

Answer 1

[Saboteur]

У вас открыт portmapper наружу, 111 порт tcp/udp

Косвенно это уязвимость, которая позволяет злоумышленникам пользоваться этим для DDOS аттак.

Обычно он нужен для NFS или RPD, но крайне редко кому-либо нужно это делать прямо через интернет. Через инет чаще делают ssh или уже включают VPN и уже внутри шарят.

Если вы не пользуетесь такими сервисами, просто закройте портмаппер наружу.

Answer 2

[Alexey Dmitriev]

Удалите portmapper, он ставится по умолчанию вместе с NFS - если вы не пользуетесь NFS, просто удалите пакет.
Пользуетесь - закройте порт 111 наружу.

Comments

[Александр Маджугин]

У меня это называлось rpcbind (то что слушало 111 порт) и действительно это зависимость nfs - спасибо, снес (NFS в итоге никто не пользуется - даже я юзаю sftp).
Спасибо вобщем - похоже это оно.

Answer 3

[Андрей Гаврилов]

Hetzner хочет, чтобы все у себя поправили

Comments

[Александр Маджугин]

Поправили что?

[Андрей Гаврилов]

Александр Маджугин, убрали причину абузу

[Александр Маджугин]

Андрей Гаврилов, а в чем причина абузы?
Я не понимаю на что они жалуются. Или ты намекаешь, что они тоже не понимают?

[Андрей Гаврилов]

Александр Маджугин, лучше бы вы абузу заскриншотили или на пастебин залить, так ничего не понятно

[Александр Маджугин]

Андрей Гаврилов, добавил в вопрос: https://i.imgur.com/FNwkkVU.png

[АртемЪ]

Александр Маджугин,

Я не понимаю на что они жалуются. Или ты намекаешь, что они тоже не понимают?

Конечно не понимают. Вы реально думаете они их читают и разбираются?
Да у них народу не хватит все абузы читать.

Answer 4

[Karpion]

Запретите на пакетном уровне весь трафик, кроме реально нужного.

Answer 5

[Владимир]

Исходя из абузы обнаружен подозрительный трафик - на мой предвзятый взгляд это похоже на активность мембера ботнета.
Соответственно вам нужно найти какой процесс на вашем сервере генерирует трафик на который вам указывает хостер, и либо это процесс ботнета и вам нужно его убирать и разбираться как вас взломали, либо обьяснять хостеру что это по вашему мнению нормальная активность, обьяснение должно быть максимально подробным.

Comments

[Александр Маджугин]

Что значит "подозрительный трафик"?
В смысле что искать и чем он отличается от неподозрительного?
Как декодировать эти повторяющиеся строки:

100021 1 37263/udp

?
С udp - понятно. Что такое 37263? Судя по диапазону, я могу робко предположить что это порт.
Ок. Трафик UDP на эти портах, уже хорошо. А что таакое 100021 и 1 здесь? Как я могу, по мнению хостера догадаться о значении этих чисел?
Нужно ли полагать что они любой udp трафик полагают подозрительным? Или только какой-то особый?
(в числе прочего на серваке работает корпоративный VPN, поэтому в принципе UDP трафик там вполне ожидаемый)

[АртемЪ]

Александр Маджугин,

Что значит "подозрительный трафик"?

Это значит что такой трафик показался кому-то подозрительным.

Нужно ли полагать что они любой udp трафик полагают подозрительным? Или только какой-то особый?

Только тот который им показался подозрительным.

Как я могу, по мнению хостера догадаться о значении этих чисел?

А хостеру то какая печаль от этого? Ему прислали абузу, он вам переслал. Дальше ему не интересно.
Ему главное чтобы проблем не было.

[Владимир]

Подозрительный трафик - любой трафик не связанный с жизнедейтельностью сервисов которые работают на сервере, например у вас на сервере только сайт с вордпресом - стоит апач, пхп, постгрес - ожидаемый внещний удп трафик - только 53ий порт. Поэтому какой трафик у вас нормальный а какой нет - вам видней.
Итерпретация цифр выше - я не понимаю почему вы это спрашиваете здесь до того как спросили у техподдержки Хетзнера.

[alfss]

Александр Маджугин, Вы пробовали хостеру вопрос задавать? Напишите, что указанный формат вам не ясен, дайте расшифровку , с нашей стороны мы считаем что все ок.

[alfss]

Александр Маджугин, епрст, там же написано куда обращаться за подробной информацией.