iptables nur eigene Source-IP zulassen

C

CryOrDies

Member
Hallo.

Scheinbar wurde ich opfer eines Angriffs was mich wiederum zum Angreiffer gemacht hat. Es wurden mit 2 völlig fremden IPv4-Adressen aber mit meiner MAC-Adresse Angriffe verursacht.

Auf dem Root selbst habe ich nur 1 IPv4 und v6 Adresse

Ich habe einen Debian 7 Root, der Hoster fordert mich nun auf iptables so einzustellen das ausgehende Paket nur mit meiner IP erlaubt sind.
Sprich Source-IP nur meine.

Da ich kein iptables Profi bin bin ich da leicht Überfordert. Daher hoffe ich, ihr könnt mir helfen.

Danke.
 
Last edited by a moderator:
iptables -A OUTPUT -s (deineip) -j ACCEPT
iptables -P OUTPUT DROP

(ungetestet, keine Garantie. Pass auf damit, kann man sich einfach aussperren).

Vielleicht hat dein Server eine Attacke über einen UDP Port gefahren? Falls ja solltest Du den UDP Service genau anschauen.
 
Was ist denn das für ein Wald- und Wiesenhoster, der sowas überhaupt zulässt? Normal kommen Pakete mit einer Source-IP, die nicht dir gehört, gar nicht am Router vorbei.

Ich schätze mal, dass sich auf deinem Root Schadsoftware befindet, die kontinuirlich andere angreift. Ich würde erstmal in diese Richtung suchen und nicht versuchen die Wirkung zu bekämpfen.
 
DeaD_EyE said:
Was ist denn das für ein Wald- und Wiesenhoster, der sowas überhaupt zulässt? Normal kommen Pakete mit einer Source-IP, die nicht dir gehört, gar nicht am Router vorbei.

Ich schätze mal, dass sich auf deinem Root Schadsoftware befindet, die kontinuirlich andere angreift. Ich würde erstmal in diese Richtung suchen und nicht versuchen die Wirkung zu bekämpfen.
Click to expand...

Das ist richtig. Der Hoster hat mir aber den Server vom Netz genommen und will das ich iptables erst dahingehnd einstelle. Dann bekomm ich den Server erst wieder Online.
Der Hoster ist Hetzner.
 
Hier mal ein Auszug aus der dump:
13:43:05.391028 08:60:6e:69:5c:xx > 00:26:88:75:fd:xx, ethertype IPv4
(0x0800), length 1078: 88.198.xx.153.0 > 124.232.xx.122.7000: Flags ,
seq 0:1024, win 6000, length 1024

13:43:05.392285 08:60:6e:69:5c:xx > 00:26:88:75:fd:xx, ethertype IPv4
(0x0800), length 60: 198.148.xx.3.25467 > 124.222.xx.66.80: Flags , seq
0, win 6000, length 0
 
Komische Strategie. Hätte nicht erwartet, dass sowas von Hetzner kommt.
Also das vom Netz nehmen ist ja ok, aber eine Regel einzuführen, die nur etwas verhindert aber die Ursache nicht behebt, ist etwas eigenartig. Geht es um einen Gameserver? COD4 ist z.B. bekannt für UDP-Angriffe. Mir wäre es nur neu, dass der Server dann seine eigene IP spooft.
 
Ich würde stark empfehlen den Server in Rescue zu nehmen und erst dort zu überprüfen, aber keineswegs ihn normal starten zu lassen. Du musst von einer Root-Kompromitierung ausgehen (alle anderen Benutzer dürfen gar nicht erst die notwendigen RAW-Sockets öffnen um Spoofing zu betreiben) somit ist höchste Alarmstufe und du sollst eh alles platt machen.
Absender-Spoofing wird generell für DrDoS-Angriffe verwendet, du hast also vermutlich unwissentlich an Denial-of-Service teilgenommen.

Was ist denn das für ein Wald- und Wiesenhoster, der sowas überhaupt zulässt?
Click to expand...
Aus Kostengründen benutzen viele Massenhoster ein switched und nicht routed Netzwerk mit günstigen (teilweise unmanaged) Switches und überprüfen dann nur am Router die Plausibilität. Falls ein falsches Paket auftaucht wird dann der Server automatisch oder manuell gesperrt.
Es gibt andere recht große Hoster wo der Support das Einprasseln von gespooften Broadcast-Paketen als "normal" ansieht und darauf hinweist dass der Traffic doch eh kostenfrei ist. Na danke auch.
 
Last edited by a moderator:
DeaD_EyE said:
Komische Strategie. Hätte nicht erwartet, dass sowas von Hetzner kommt.
Also das vom Netz nehmen ist ja ok, aber eine Regel einzuführen, die nur etwas verhindert aber die Ursache nicht behebt, ist etwas eigenartig. Geht es um einen Gameserver? COD4 ist z.B. bekannt für UDP-Angriffe. Mir wäre es nur neu, dass der Server dann seine eigene IP spooft.
Click to expand...

Nein kein Game-Server. Es ist ein Backup-Server

Mal ein Ausschnitt der E-Mail von Hetzner:

Fakt ist, dass Ihr Server Pakete mit der genannten IP als Source-IP nach außen verschickt hat. Dagegen müssen Sie folglich etwas unternehmen.
Dies können Sie z.B. mittels Firewall bewerkstelligen, in der ausschließlich die von uns zugewiesenen IPs für ausgehende Kommunikation zugelassen wird.
Click to expand...
 
d4f:
Du hast wohl recht, dann mach ich das auch.
Schauen was die Ursache ist, System neu aufsetzten und die Ursache dann auszuschließen.
Damit es nicht nochmal passiert
 
Das Problem ist nur wie bekomm ich die Backups jetzt auf ein anderen Server?
Ich brauche dafür FTP und SSH.
FTP über die Shell funtkioniert in dem Fall leider nicht, das ist mit absicht ausgeschlossen.

D.h. ich muss iptables so Regeln das FTP (Port 20,21) und SSH (Port 22) rein und raus können und der Rest gedropt wird.
Nur dafür wird es schwer Regeln zu definieren
 
Das Problem ist nur wie bekomm ich die Backups jetzt auf ein anderen Server? Ich brauche dafür FTP und SSH.
Click to expand...
Im Hetzner Rescue-Modus, ein RAM-basiertes minimales Debian, ist SSH vorhanden und FTP kann bei Bedarf nachinstalliert werden. Allerdings sollte alles mit SCP oder rsync (vorinstalliert) realisierbar sein - und auch generell sicherer.
Da das originale System dann auch gar nicht erst gestartet ist, brauchst du entsprechend auch keine Firewall-Konfiguration.

Generell sollte es möglich sein im Installer (über das Rescue aufrufbar) nur eine der beiden Festplatten zu verwenden (in Annahme eines Raid1) und auf diesem ein degraded RAID-1 zu bauen. Nach erfolgter Installation bootest du dann in diese und kannst bequem die Daten von der alten Platte rüberkopieren.
Sobald das geschehen ist kann sie dann geleert und ins RAID eingegliedert werden.
 
Zum Verschicken von Paketen mit falscher Source-IP braucht man Root-Rechte.
Mit Root-Rechten kann man auch IPTables-Regeln deaktivieren.
Deine Firewall bringt also nur vermeintliche Sicherheit, wärend weiterhin irgendjemand mit vollen Rechten auf deinem Rootserver rumspukt.

Dass Hetzner so etwas empfiehlt ist eigentlich traurig, zeigt aber die immer wieder kritisierte, nachlassende Qualität des Supports.
Zum Netz kann ich nicht viel sagen, nur, dass Sicherheitsmaßnahmen in die Richtung bestanden, mit der IPv6-Einführung aber stark verändert/entfernt wurden.
 
Jesaja said:
Zum Verschicken von Paketen mit falscher Source-IP braucht man Root-Rechte.
Mit Root-Rechten kann man auch IPTables-Regeln deaktivieren.
Deine Firewall bringt also nur vermeintliche Sicherheit, wärend weiterhin irgendjemand mit vollen Rechten auf deinem Rootserver rumspukt.

Dass Hetzner so etwas empfiehlt ist eigentlich traurig, zeigt aber die immer wieder kritisierte, nachlassende Qualität des Supports.
Zum Netz kann ich nicht viel sagen, nur, dass Sicherheitsmaßnahmen in die Richtung bestanden, mit der IPv6-Einführung aber stark verändert/entfernt wurden.
Click to expand...

Das heißt eine iptables Regel würde da auch nichts bringen, wenn der Schädling die Regel deaktivieren würde. Dann könnte er es trotzdem machen?

Ich habe die Logs per Hand komplett durch gesehen, die /usr/sbin und alle anderen Programm Verzeichnisse. Ich habe nichts gefunden. Habe den Server jetzt neu aufgesetzt. Dafür mach mein Hauptserver wieder Probleme...:mad: Aber dazu in einem anderen Thema.
 
Es könnte sein, dass du nen Schädling drauf hast, der zwar die Rechte hat, deine Iptables zu löschen, dafür aber zu dumm ist, weil er dafür nicht programmiert wurde und kein Mensch dahinter sitzt.

In den Logs findest du möglicherweise nichts, weil dein Syslog usw verändert wurden. Vielleicht auch dein cat/vim/more/...

CryOrDies said:
Habe den Server jetzt neu aufgesetzt.
Click to expand...
Sofern nicht das Know-How vorhanden ist, um vorher die ausgenutzte Lücke zu finden, ist das in meinen Augen die einzig richtige Lösung.
 
Jesaja said:
In den Logs findest du möglicherweise nichts, weil dein Syslog usw verändert wurden. Vielleicht auch dein cat/vim/more/...
Click to expand...
Oder, wie das 'mal bei mir war (man sichert sich ja weitgehend ab und falls doch noch ein Eindringling bei einem "sehr gut abgesicherten" System hineinkommt, dann schon richtig), wurde ein Layer zwischen den PTS's, PTY's und TTY's gepackt, das dann bestimmte Zeichen herausfilterte.
 
Fusl said:
Oder, wie das 'mal bei mir war (man sichert sich ja weitgehend ab und falls doch noch ein Eindringling bei einem "sehr gut abgesicherten" System hineinkommt, dann schon richtig), wurde ein Layer zwischen den PTS's, PTY's und TTY's gepackt, das dann bestimmte Zeichen herausfilterte.
Click to expand...

Wie hast du das Vieh gefunden?
 
Hat mich ca. 3 Wochen meiner wertvollen Freizeit gekostet, wo ich denn 'nen Symlink von /dev/ptsirgendwas auf /proc/bla/blub/pts gesehen habe, wo dann wiederrum ein Prozess lief, der da Daten rein und raus geschaufelt hat.
 
You must log in or register to reply here.
Back
Top