Wie rette ich mich bloß davor???

  • Thread starter Thread starter server4downs
  • Start date Start date
S

server4downs

Guest
Hallo nochmals,

ich stehe vor einem riesen Problem. Unser Server scheint als Proxy-Server misbraucht zu werden.
Der Server ist von ngz-server (nicht losmaulen jetzt :D).
Ich hatte mich gewundert, was so die täglichen ~2gig Traffic denn so mit sich bringen, die ich/wir gar nicht verursacht haben können. Erstmal logs gecheckt.. nichts besonderes.
Dann habe ich mal mittels iptraf nachgeschaut.. und siehe da:
per TCP sind immer ein paar Hosts da und per UDP nimmts auf Port 137/138 überhaupt kein Ende.
Zum Spaß hab ich mal die Susefirewall aktiviert. Kein Erfolg!
Was kann ich denn jetzt noch machen.... mein Versuch Port 137 z.B. zu sperren scheint wohl nicht Wurzeln geschlagen zu haben.
Außerdem ändern die host-ips immer bei UDP und bei TCP auch noch immer verschiedene Ports. Macht euch ein Bild davon (see attachment).
Schade... nie kann man sich mal zurücklehnen.
Muss ich den Provider auf dieses Problem aufmerksam machen?
Ich rufe den Support sehr ungern an, nachdem man dort nur gedutst und komisch angemacht wird (und im Hintergrund werden laut andere Kunden am Telefon zusammengeschrien --> ich übertreibe nicht).

Vielen Dank für konstruktive Vorschläge.
 

Attachments

  • ssf.jpg
    ssf.jpg
    150.6 KB · Views: 384
Hallo!
Was bringt dich zu deiner Proxy Theorie? Port 137/138 ist doch erstmal NetBIOS. Eventuell Script Kiddies die mit einem Scanner experimentieren?

mfG
Thorsten
 
weiß auch nicht.. hab ich irgendwie im "Gefühl" ;)
TCP macht mich bissle unruhig. UDP ist nicht so wild, da schauts halt nur so aus, als ob das gesamte Gamer-RZ was von uns will.
Aber TCP macht mir mit sajas.org und ählichen Scherzen echt Sorgen.
Ständig andere IPs und andere Ports.
Gibts da keine Lösung?
 
Unglücklicherweise arbeitet ngz-server (wie S4U derzeit auch), noch mit Class-C Subnetzen auf Layer 2 Basis. Die von mir bereits in einem anderen Thread angesprochene Gefahr von ARP-Spoofing usw. besteht somit ebenfalls bei NGZ.. Wäre interessant was die Jungs von NGZ dazu sagen. Insbesondere durch die gerade bekannt gewordene Lücke im SMB-Protokoll liesse sich jeder ungepatchte Windows-Server in diesem Subnetz völlig easy übernehmen.

Aber ich werde off-Topic: Bei NGZ werden wohl verhältnismässig viele Windowskisten rumstehen. Und die scannen natürlich munter nach NetBIOS-Hosts (wunderbar im IPtraf daran zu erkennen, dass als Destination-IP jeweils eine Broadcastadresse angegeben ist.. Allerdings frage ich mich, woher die "Subnetzfremden" Broadcastpakete kommen.. Die werden doch ihre Router keine Broadcasts über Subnetze hinweg routen lassen? [geht das überhaupt? *gg*]). Daher die vielen UDP-Anfragen . Die TCP-Anfragen kommen teils ebenfalls von intern. Ich würd einfach mal nen Dump des Traffics auf den betroffenen TCP-Ports machen und den Inhalt analysieren. Dabei solltest Du relativ schnell zu einem Ergebnis kommen was da passiert. Bei den TCP-Requests würde ich auf Viren & sonstiges virtuelles Gesocks tippen. Die Proxy-Theorie unterstütze ich nicht, da über die jeweiligen Verbindungen nur ne Handvoll TCP-Pakete gesendet werden. Würde da n Proxy laufen, sähe die Anzeige ganz anders aus.

Lösung (oder so ähnlich *gg*): iptables -A INPUT -p tcp -i eth0 --dport 137:139 -j DROP

Dieser Sajas.org sieht aus wie ein Windows-Server der ebenfalls bei NGZ steht.. Ich vermute auch hier Viren oder irgendwelche verwirrten Windowsaktivitäten..

Vorschlag: Mit netstat prüfen, dass die Ports 137-139 wirklich geschlossen sind. IPtraf so einstellen, dass er lediglich die Ports 137-139 monitort, am besten noch dazu, dass er ausschliesslich Broadcast-Adressen (213.202.*.255) monitort (kA ob das überhaupt geht) und dann mal die detailled interface statistics von eth0 nen Tag lang laufen lassen (das ganze natürlich bevor du mit dem obigen iptables-Befehl die Ports blockst). Damit hast Du eine Zusammenfassung, was Dein Server allein durch die evtl. lückenhafte Netzwerkkonfiguration bei NGZ an Traffic verbrät (denn Broadcasts haben in diesem Bereich imho nix zu suchen, insbesondere keine Broadcasts von fremden Subnetzen *schauder*). NGZ ist zwar mit seinem Traffic recht grosszügig und ich weiss nicht ob rechenzentrumsinterner Traffic mit auf die Abrechnung geschlagen wird.. Wenn da aber wie Du sagst täglich ~2gb Trafficmüll zusammenkommen, dann ist das scho n harter Brocken.

Andere Frage: Hat Dein Server evtl. mehrere IP-Adressen in verschiedenen Subnetzen zugewiesen? Dann hätten wir nämlich ne Erklärung für die Broadcastpakete der unterschiedlichen Subnetze und meine Übelkeit könnte schlagartig nachlassen.

So ich geh etz ins Bett. Ich denke du hast erstmal genug zu tun.
 
Last edited by a moderator:
Ich hab spasseshalber mal nen Trafficdump mit ethereal gemacht..

Jede Menge NetBIOS Broadcasts und ARP-Anfragen über Subnetze hinweg. Die Subnetze von denen die Pakete kommen sind aber auf eine relativ geringe Zahl einschränkbar.

Sieht so aus als würden mehrere Class-C Subnetze innerhalb eines Layer2-Netzwerkes betrieben werden.

Da ngz auf den Betrieb von Gameservern spezialisiert ist mag das noch nicht so schwerwiegend sein. Sicherheitsrelevante Daten würde ich darüber nur mit größter Vorsicht übertragen. Wer weiss wer sonst noch mitliest.

Kurz zu Deinem Ursprungspost: Da Du erstmal nicht verhindern kannst, dass der Switch die von Dir ungewollten Anfragen auf den Ports 137-139 & 445 an Deinen Server sendet, kannst Du sie nur über iptables ausfiltern lassen - idealerweise natürlich TCP und UDP. Dann sollte ruhe sein.
 
Last edited by a moderator:
Vielen Dank Tscherni für die ausführlichen Antworten.
Ich werde morgen entsprechende Tests durchführen und den Provider kontaktieren... (ich freue mich schon auf die freundliche Stimme :P).
Werde über eventuelle Lösungsmöglichkeiten Seitens NGZ berichten.
 
Das Du von NGZ eine schnelle Lösung präsentiert bekommst bezweifle ich. Die müssten ihr komplettes Netzwerk von derzeit Layer2 auf Layer3 bzw. VLANs umrüsten um die Broadcasts in den Griff zu bekommen.

Das Kostet nen haufen Geld für die neu anzuschaffenden Hardware, ausserdem verursacht es nen riesen Personalaufwand.

Filtere die Pakete einfach mit iptables raus, dann is ruhe auf Deiner Kiste. Die unnötigen 2GB Traffic am Tag werden dir deshalb zwar weiterhin berechnet, da könnte aber Deine Chance liegen: Handel 100GB Traffic pro Monat extra über den Support raus ;)

Code: 
Iptables-Befehle zum Filtern:

iptables -A INPUT -i eth0 -p tcp --dport 137:139 -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 445 -j DROP
iptables -A INPUT -i eth0 -p udp --dport 137:139 -j DROP
iptables -A INPUT -i eth0 -p udp --dport 445 -j DROP

Wenn das funktioniert am besten über ein Startup-Script ausführen lassen, 
iptables ist leicht vergesslich.

Solltest Du leicht paranoid sein, kannst Du noch einen statischen ARP-Eintrag zum Router erstellen, an dem Dein Server angeschlossen ist. Damit hast Du das Risiko von ARP-Spoofing ausgeschlossen. Nachteil: Wenn ngz den Router wechselt (und sich damit die MAC-Adresse ändert) wird Dein Server nicht mehr erreichbar sein, bis der statische ARP-Eintrag entweder entfernt oder korrigiert wurde.

Viel Erfolg :)
 
Last edited by a moderator:
Tscherni said:
Das Du von NGZ eine schnelle Lösung präsentiert bekommst bezweifle ich. Die müssten ihr komplettes Netzwerk von derzeit Layer2 auf Layer3 bzw. VLANs umrüsten um die Broadcasts in den Griff zu bekommen.
Click to expand...
Hallo Tscherni,

der Support von Server4You hat mir soeben mitgeteilt, dass das S4Y-RZ auch auf Layer3 basiert. Wollte das nur mal so als Info an alle rausgeben.
Wer weiß... vielleicht gibts ja jetzt nicht mehr so gravierende Lücken bei S4Y :rolleyes:

Vielen Dank dir nochmals für deine Tipps!
 
Als erstes musst Du rausfinden, welche MAC-Adresse der Router hat

Code: 
arp -a

Sieht bei mir z.B. so aus:
lala123:~# arp -a
DUS_1_123.de.lambdanet.net (62.75.123.1) at 00:00:5E:00:31:DA [ether] on eth0
lala123:~#

Danach wird der statische ARP-Eintrag hinzugefügt:

Code: 
arp -i eth0 -s 62.75.123.1 00:00:5E:00:31:DA

Ergibt (man achte auf das hinzugekommene "PERM"):
lala123:~# arp -a
DUS_1_123.de.lambdanet.net (62.75.123.1) at 00:00:5E:00:31:DA [ether] PERM on eth0
lala123:~#

Diese Möglichkeiten sind unter Windows leider erst ab WindowsXP gegeben. Man kann zwar auch in den Vorgängerversionen statische ARP-Einträge erstellen, diese sind durch einen Angreifer aber leicht durch manipulierte ARP-Pakete zu überschreiben. Spart euch daher die Arbeit und das unten stehende Risiko, es bringt euch eh nix.

Nochmal der Hinweis: Sollte sich die MAC-Adresse eures Gateways aus irgend einem Grund ändern, so wird euer Server nicht mehr erreichbar sein, bis ihr den ARP-Eintrag korrigiert bzw. mit arp -d entfernt.
 
Wo wird denn das abgespeichert, dass man später per Recovery das wieder in Ordnung bringen kann?

edited:
manchmal sollte man doch die man-pages durchlesen ;)
FILES
/proc/net/arp,
/etc/networks
/etc/hosts
/etc/ethers
Click to expand...
 
Last edited by a moderator:
Hab' noch a bissi rumprobiert..

Nach einem Reboot ist der statische ARP-Eintrag wieder gelöscht.

Ein Eintrag in /etc/ethers hat keinerlei Wirkung, in /proc/net/arp kann man sowiso nix machen. Wenn man den ARP-Eintrag also dauerhaft möchte, sollte man das über ein Init-script erledigen lassen.

Wenn man den ARP-Eintrag von Hand setzt und auf das init-script verzichtet, so kann man den Server ganz einfach durch einen Reboot wieder zum Leben erwecken, sollte sich die MAC-Adresse des Gateways ändern.
 
der Support von Server4You hat mir soeben mitgeteilt, dass das S4Y-RZ auch auf Layer3 basiert. Wollte das nur mal so als Info an alle rausgeben.
Wer weiß... vielleicht gibts ja jetzt nicht mehr so gravierende Lücken bei S4Y
Click to expand...

Das hatte ich bisher ja ganz überlesen ;)

Das S4U-Netzwerk basiert nur bis zum Class-C Subnetz auf Layer3.. Innerhalb des Subnetzes - also immerhin bis zu 253 Server - wird Layer2 ohne VLANs oder ähnliche Sicherungsmaßnahmen verwendet. Zumindest ist das im Netz wo mein Server steht noch so konfiguriert (soeben mit Ettercap verifiziert).

In der C't wurde dieser Umstand schon vor längerer Zeit als Sicherheitskritisch bemängelt, S4U hat damals versprochen, etwas dagegen zu unternehmen. Kann gut sein das diese Umstellung in vollem Gange ist und mein Netzsegment einfach noch nicht umgestellt ist.

Ich dachte Dein Server wäre bei NGZ?!
 
yop, ist NGZ. War eh ein bisschen off-topic.
Ich mach das morgen einfach mal rein mit dem arp.
Danke fürs Testen ;)
 
Hi,

das ist normaler Traffic aus dem Netz und Scan Traffic aus dem Internet.

Wenn Sie sehen sind es zu meist Broadcast die verschcikt werden.


MFG Gulibert
Click to expand...
Interesting.... interesting.
Man man man. Schade dass man immer nur nonsense lesen muss :P
Das war NGZs Antwort auf unsere Anfrage. Lustig ist nur, dass "das Internet" sich zu 98% auf das eigene RZ beschränkt.
Bei solchen Hostern sollte man demnächst auf einen Testserver bestehen und sich nicht von billigen (im wahrsten Sinne des Wortes) Angeboten verleiten lassen!
Naja, jetzt kann man auch nicht mehr viel dran ändern.
 
hi,
also wenn ich das richtig mitbekommen habe, wird PRO TAG mindestens 2 Gig Traffic verursacht, wobei die Leute von NGZ tatsächlich behaupten, dass dieser allein durch "Scans" hervorgerufen werden soll? Das war deren ernsthafte Antwort?
Da ich überlegt habe, auf einen Server von denen umzusteigen, war es interessant, diesen Bericht zu lesen.
Wie sind denn insgesamt so die bisher gemachten Erfahrungen mit NGZ und vor allem deren Support?
Grüße

t.
 
Last edited by a moderator:
Hi,

dann meld ich mich als ebenfalls betroffener auch mal zu Wort. :)

Also 2 GB am Tag sind es nicht, aber im Normalfall so ca. 400 - 500 MB. Es gibt aber auch mal Ausreißer, da ist es dann mehr.

Ich war am Anfang auch sehr erschrocken, über das, was da abgerechnet wird. Die Antwort vom Support war ähnlich lapidar wie die, die server4downs zitiert hat.

In dem 1. angehängten Screenshots sieht man einmal das "normale" Traffikrauschen, was so bei ca. 400 - 500 MB liegt.

Der andere Screenshot zeigt so einen Ausreißer, der wenn er dann mal 12 oder 24 Stunden anhält schon mal 3 - 4 GB frisst.

Beide Screenshots aus dem Webinterface sind von einem Server auf dem nichts, aber auch rein gar nichts lief. Also kein Webserver, kein Gameserver, kein Mail, etc.. !! (blau ist eingehender Traffik, grün ausgehender)

@Thorsten: Ja, netzinterner Traffik wird abgerechnet.

Ich kenne einige Anbieter und muss sagen, NGZ ist ein Laden der extremen Gegensätze. Positiv sind meiner Meinung nach

- das wirklich sehr gute Webinterface mit möglichkeit zum Hard- und Soft-Reboot, Rescue-System, Einstellen von beliebigen auch mehreren Traffik-Limit-Grenzen mit Warnung per Mail oder Trennen des Servers vom Netz
- unschlagbarer Preis bei Sonderposten
- die konstante Anbindung ohne Ausfälle und Lags, wenn auch die Pings aufgrund der Lage ca. 5ms höher sind als in Frankfurt
- auf Anfragen wird meist sehr schnell reagiert (wie es bei Hardwaredefekten aussieht kann ich nicht beurteilen)

Als Nachteil sehe ich, dass der Anbieter für mich 0 Seriösität hat. Wenn z.B. Mails bezüglich des Traffiks lapidar mit "da ist kein Fehler" oder gar nicht beantwortet werden, anstatt eine vernünftige Antwort zu schicken, so ist das eine Mißachtung des Kunden.

Außerdem sollte man sich besser nicht das "Promotion-Video" ansehen. ;) Ich habe kein Problem damit, dass jemand im Jogging-Anzug im Serverraum steht, denn letztendlich kommt es darauf an, ob er einen guten Job macht. (Was nutzt mir ein gestrieglter Typ im Anzug der keine Ahnung hat.) Auch sieht der Serverraum zumindest im Video sehr ordentlich und korrekt aus. Ganz im krassen Gegensatz dazu dann die Büros und die Ecke wo scheinbar der Post Ein- oder Ausgang ist, wo dann leere Cola-Flaschen mitten im Raum auf dem Boden liegen.

NGZ ist scheinbar ein Unternehmen mit sehr jungen Angestellten, deren Kunden (meine Vermutung) zu 80% knapp oder noch nicht das 18. Lebensjahr vollendet haben. Das ist vielleicht auch der Grund, warum es nicht für nötig gehalten wird mit Kunden so zu kommunizieren wie es sich gehört. Nun ja, das ist der "Preis" den man halt zahlen muss, wenn man viel für wenig Geld haben will.

Ich habe mich inzwischen mit diesen täglichen 400 - 500 MB Traffik abgefunden, da sie bei 2000GB frei-Traffik wurscht sind. Trotzdem bleibt ein bitterer Beigeschmack, vor allem auch durch die unprofessionelle Kundenbehandlung.

Ich denke für private Projekte kann man nicht direkt abraten von NGZ, für ein professionelles Projekt, bei dem man evtl. selbst auch noch Kunden hat, die man zufriden stellen muss, würde ich dort eher nicht hingehen, zumal andere Anbieter inzwischen fast gleich günstige Angebote haben.

Gruß

Mike
 

Attachments

  • traffic_idle.jpg
    traffic_idle.jpg
    33.9 KB · Views: 136
  • traffic_strange.jpg
    traffic_strange.jpg
    30.3 KB · Views: 113
Last edited by a moderator:
You must log in or register to reply here.
Back
Top