Hetzner-Server gesperrt - benötige Hilfe

[opportunist]

Guten Abend,

ich war mir nicht sicher ob dies das richtige Forum ist. Aber ich nehme es einfach mal.

Ich hoffe, dass mir jemand einen Wink geben kann:

Gestern Abend erhielt ich eine Email vom Hetzner-Support.
Folgendes ist der Inhalt:

Sehr geehrte Damen und Herren,


wir sind darauf aufmerksam geworden, dass Sie neben Ihrer im Betreff genannten Haupt-IP
noch weitere IP's aus dem selben Subnetz verwenden.


Da dies nicht gestattet ist, wurde Ihr Server deaktiviert.

Hierzu sei gesagt: ich verwende wirklich weitere IPs dieses Subnetzes. Allerdings nur diese, die ich hinzugebucht habe. In der Email wurde eine IP genannt, welche gar nichts mit mir und dem Server zutun hat. Eigentlich.

Als ich heute bei Hetzner telefonisch nahfragte, teilte man mir mit, dass mein Server sämtliche IPs des Subnetzes abgreifen würde. Dies müsste abgestellt werden.

Kann mir jemand sagen, was genau hier gemeint ist bzw. wie ich dies unterbinden kann? Bei Hetzner sagte man einfach es sei eine softwareseitige Einstellung die bspw. in den Standardinstallationen vorhanden sei.

Ich bin dankbar für jeden Hinweis.

Viele Grüße,
Oliver

 

[d4f]

Je nach Betriebssystem unterschiedlich, unter Debian beispielsweise ueber /etc/network/interfaces
Wird aber oft, zb von Verwaltungspanels, zur Laufzeit ergaenzt oder veraendert.

 

[Artimis]

Falls meine (naheliegende) Theorie zutrifft:


Befass dich mal mit Linux, Serversicherheit, den managed Angeboten diverser Provider, Honorarkräften für Serverbetreuung und rein onformativ auch mit IP-Spoofing.

Da hat wohl jemand deinen Server gecrackt und mittels IP-Spoofing Angriffe abgesetzt. Da die meisten Netze ausgehende IPs, die sie nicht verwalten, verwerfen, war das Spoofing auf das Subnetz beschränkt.

Sei froh, dass du nicht / noch nicht eine 4-stellige Schadensersatzklage am Hals hast und kündige den Server

 

[CentY]

Hast du für deine IPs beim Eintragen auf deinem Server eventuell die falschen Subnetzmasken verwendet?

 

[Artimis]

Och nö, ich habe da eben nicht wirklich aufgepasst, sorry!

Cool wäre es, wenn du bei Hetzner ein Backup deines Server bekommen könntest. Dann könnte man in den Logs und den Config-Files, insbesondere der ifconfig mal nachsehen, wo da der Hase im Pfeffer liegt.

 

[d4f]

Du kannst den Server, meist gegen eine Unterlassungserklaerung nach Anruf beim Support, zurueckkriegen (nicht wie OVH die idR eine Neuinstallation verlangen). Einfach beim Support anfragen dass der Reboot zur Korrektur im Rescue getaetigt wird.

 

[cosimo.de]

Es gibt auch Honeypotsoftware die automatisch nach nicht verwendeten IP's im Subnetz sucht und diese dann "an sich zieht".

Hast du evtl. mit sowas experimentiert ?

 

[opportunist]

Hallo,

es gab keinerlei unbefugte Zugriffe auf den Server. Es gab auch keine weiteren Probleme. Das einzig bestehende Problem ist, dass der Server wohl sämtliche Adressen des Subnetzes abgreift. Dies verhindert Hetzner standardmäßig in seiner Installation - allerdings wird eine Alternative Debian-Installation genutzt.

Hetzner unterbindet die Nutzung fremder IP im Subnetz, in dem es vorgaukelt, der Server befinde sich in einem /32 Subnetz. Somit werden auch nur solche Pakete entgegen genommen.

Ich stehe momentan nur auf dem Schlauch, weshalb alle Pakete entgegen genommen werden. Denn m.E. nach ist die Konfiguration der interfaces korrekt.


Ich kann hier ja ein mal den Inhalt zur Verfügung stellen:

# network interfaces settings

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static

adress 78.46.83.100
netmask 255.255.255.255
gateway 78.46.83.97
pointtopoint 78.46.83.97


auto vmbr0
iface vmbr0 inet static
adress 78.46.83.122
netmask 255.255.255.255
gateway 78.46.83.100
pointtopoint 78.46.83.100
bridge_ports none
bridge_stp off
bridge_fd 0


auto vmbr1
iface vmbr1 inet static
adress 192.168.0.15
netmask 255.255.255.0
bridge_ports none
bridge_stp off
bridge_fd 0
post-up iptables -t nat -A POSTROUTING -s '192.168.0.0/24' -o eth0 -j MASQUERADE
post-down iptables -t nat -D POSTROUTING -s '192.168.0.0/24' -o eth0 -j MASQUERADE

So sieht meine "interfaces" aus.

Wie schon mal gesagt: ich bin für jeden Wink der mir weiterhelfen kann dankbar. Tipps auf irgendwelche Ausweichangebote und die standardmäßigen Klugheiten wie "befass dich mit Sicherheitsaspekten von Linux" gehören nicht zur Hilfestellung.

Vielen Dank schon ein mal,
Oliver

 

[cosimo.de]

Hallo Oliver,

Die Honeypotgeschichte kannst du ausschließen ?
Kann ja auch in einer VM laufen.

Wie ist der jetzige Stand der Maschine ? Lara dran / Netz ab ?

Was sagt den netstat -an? An was "hängen" die "bösen" IP's.

/LG Rene

 

[spiderman]

Ich stehe momentan nur auf dem Schlauch, weshalb alle Pakete entgegen genommen werden. Denn m.E. nach ist die Konfiguration der interfaces korrekt.

Wie schon mal gesagt: ich bin für jeden Wink der mir weiterhelfen kann dankbar.

Was sagt denn:

cat /proc/sys/net/ipv4/conf/all/proxy_arp

Würde mir jetzt spontan noch einfallen...

 

[d4f]

ies verhindert Hetzner standardmäßig in seiner Installation

Das waere mir neu Du kannst dem Server theoretisch auch die IP's von Google geben allerdings wird in dem Fall kein Routing zu dir gurchgestellt...

in dem es vorgaukelt, der Server befinde sich in einem /32 Subnetz

Ich kann es jetzt nicht garantieren, aber afaik setzt Hetzner wie die meisten Anbieter auf VLAN in welche mehrere Server zusammen gefasst werden, somit koenntest du die IP's der anderen im Subnet befindlichen Server 'uebernehmen'.

Ich stehe momentan nur auf dem Schlauch, weshalb alle Pakete entgegen genommen werden

Kann dir der Suppport eine Liste der IP's die du abgegriffen hast liefern?
Dann koenntest du die Logs und Konfig-Dateien automatisiert und rekursiv nach dieser Zeichenkette durchsuchen lassen was eventuell schneller den Grund ans Licht bringt.

 

[opportunist]

Hallo,

ich möchte euch erst ein mal für die zahlreichen Antworten danken.
Ich habe mich auf die Suche in den Logs gemacht und nach Problemquellen gesucht. Parallel hatte ich natürlich auch Kontakt zum Hetzner-Support, der die Problemsuche rasch zum Ende bringen konnte.

Offenbar ist das Problem der "promiscuous Modus" der aktiv ist. Dieser ist ja bekanntlich nur zum debuggen - oder eben Sniffen aktiv.
ICh habe viel mit dem Hetzner Support gesprochen und konnte klären, dass mein Server lediglich reagiert hat, weil ein anderer offline war. Die Pakete für den Fremden Server nahm meiner dann an.

Ich werde nun den promiscuous-modus ein mal versuchen abzuschalten und dann ein mal prüfen. Ich werde mich noch mal melden was die genaue Ursache war und wie ich sie letztendlich behebe.

An dieser Stelle kann ich nur mal wieder den hervorragenden Hetzner-Support loben, der sich besonders stark engagiert hat, obwohl es nicht deren Aufgabe ist.

Grüße,
Oliver

 

[Huschi]

Nur so als Frage nebenbei:
In welchem RZ von Hetzner steht Dein Server?

huschi.

 

[opportunist]

Nabend Huschi,

Server steht in RZ 12.

Grüße,
Oliver

 

[Huschi]

Bist Du erst neulich aus dem 5er oder 9er RZ dorthin umgezogen worden?
Denn die neuen EQ-Server bekommen ja kein Subnetz mehr. Daher müsstest Du noch einen älteren Vertrag haben. Und zwar einen aus Zeiten als das RZ10 noch gar nicht existierte, oder?

huschi.

 

[reallumpi]

Naja die neuen bekommen per default kein Subnet mehr, dazukaufen kannst du es ja immer noch