weblog.christoph-probst.com     Willkommen bei Christophs Weblog    
16.03.2010, 03:36 Uhr    

Kategorien

Neuigkeiten

ARTIKEL

Keine neuen Artikel

KOMMENTARE letzte 2 Tage

Keine neuen Kommentare

Links

Atom 1.0-Feed 
RSS2-Feed
Meine Homepage
Mein Fotoalbum
 
  • Mitmachen
  • Statistik
    		•

    DoS nach Windowsupdate

    		     
    02.04.2009, 17:07 Uhr - Beitrag von: chris
    Angezeigt: 444
    Heute morgen erreicht mich eine E-Mail unseres Providers, dass einer unserer Server vom Netz genommen wurde: Von ihm sei eine Denial-of-Service-Attacke ausgegangen.

    Hackerangriff? Einbruch? Sicherheitsloch? Nun, eigentlich spricht diese Linux-Kiste nach außen nur ssh und VPN, es gibt keine unsicheren User-Passwörter und VPN-Zertifikate werden grundsätzlich nur auf sicherem Weg ausgegeben. Also wohl eher kein Sicherheitsproblem, auch wenn gleich alle zusammengezuckt sind und eines vermutet haben ...

    In der Nachricht des Providers fanden wir folgenden Logfile-Auszug[1]:

    22:18:57.807103 IP 87.100.100.100.49689 > 224.0.1.24.42: UDP, length 20
    22:18:57.807104 IP 87.100.100.374.49689 > 224.0.1.24.42: UDP, length 20
    22:18:57.807223 IP 87.100.117.374.49689 > 224.0.1.24.42: UDP, length 20
    22:18:57.807224 IP 87.100.117.374.49689 > 224.0.1.24.42: UDP, length 20
    22:18:57.807342 IP 87.100.117.374.49689 > 224.0.1.24.42: UDP, length 20
    22:18:57.807456 IP 87.100.117.374.49689 > 224.0.1.24.42: UDP, length 20
    22:18:57.807457 IP 87.100.117.374.49689 > 224.0.1.24.42: UDP, length 20
    22:18:57.807573 IP 87.100.117.374.49689 > 224.0.1.24.42: UDP, length 20
    22:18:57.807574 IP 87.100.117.374.49689 > 224.0.1.24.42: UDP, length 20
    22:18:57.807691 IP 87.100.117.374.49689 > 224.0.1.24.42: UDP, length 20
    22:18:57.807808 IP 87.100.117.374.49689 > 224.0.1.24.42: UDP, length 20
    22:18:57.807809 IP 87.100.117.374.49689 > 224.0.1.24.42: UDP, length 20
    22:18:57.807933 IP 87.100.117.374.49689 > 224.0.1.24.42: UDP, length 20
    22:18:57.808044 IP 87.100.117.374.49689 > 224.0.1.24.42: UDP, length 20

    Ziel war also die Multicast-Adresse 224.0.1.24 auf Port 42 (genutzt für Kontaktaufnahmen eines Microsoft WINS Servers) und ja: es wurden wirklich ungewöhnlich viele Pakete verschickt ...

    Von einem Kollegen erfuhr ich, dass er auf einem Virtuellen Windows Server innerhalb einer VMware auf dem Server am Abend zuvor einige Windowsupdates eingespielt hatte. Aber wieso sollte das zu einem derartigen Aussetzer führen?

    Viele Berichte zu diesem Thema scheint es im Internet noch nicht zu geben, lediglich auf [2] beschreibt ein Artikel vom 31.03. ziemlich genau den gleichen Fall "After patching a Server 2003 R2 Domain Controller and rebooting the DC essentially runs a DoS on the LAN.". Auch die Lösung wird geliefert "After a reboot the problem clears again.", Hinweise auf die Ursache fehlen jedoch.

    Unser freundlicher Provider wertete dieses Verhalten aber dennoch als "Angriff" unsererseits und forderte eine schriftliche Unterlassungserklärung. Darin räumte er sich - falls sowas nochmal passiert - ein sofortiges Kündigungsrecht ein. Diskussionen mit dem Support, dass das ja gar kein "Angriff" war, endeten regelmäßig in der Aussage "Aber Ihr Server wurde gehackt und solange Sie sich darum nicht gekümmert haben ...". Argl.

    Mal wieder wurde der Nachteil eines Massenproviders deutlich, bei dem weder First- noch Second-Level-Support soviel Sachverstand hatten, um diese Situation kundenfreundlich und zügig zu lösen. Mehrfach hieß es: "Wir haben unsere Prozesse und müssen uns daran halten. Ausnahmen können wir leider keine machen."

    Selbst nachdem wir die UE verschickt hatten, war nach einigen Stunden ein weiterer Anruf notwendig, um den Switchport des Servers endlich wieder freischalten zu lassen. Und die mehrfache explizite Bitte den Server doch nicht hart zu resetten und in den Rescue-Modus zu booten wurde - es war nicht anders zu erwarten - ebenfalls ignoriert. Da half auch kein Hinweis darauf, dass man via Serieller Konsole bereits alle Dienste überprüft habe und auch zur Sicherheit die interne Firewall entsprechend angepasst habe.

    Auch nett: Die Info-E-Mail unseres Providers, dass der Server gesperrt sei, traf am 02.04. um 10:14 Uhr ein. Laut Server-Logfile wurde der Server aber bereits 12 Stunden früher, am 01.04. um 22:19 Uhr vom Netz genommen ("eth0: link down"). Wer seine Server also einigermaßen dauerhaft online haben will, der sollte also auf ein externes Monitoring nicht verzichten.


    [1] Quell-Adresse natürlich geändert ... :-)
    [2] http://www.jlaforums.com/viewtopic.php?p=19539522

    Weiterführende Links

    Optionen

    DoS nach Windowsupdate | 0 Kommentar(e) | Neuen Account anlegen
    Die folgenden Kommentare geben Meinungen von Lesern wieder und entsprechen nicht notwendigerweise der Meinung der Betreiber dieser Site. Die Betreiber behalten sich die Löschung von Kommentaren vor.

     Copyright © 2010 Christophs Weblog
     All trademarks and copyrights on this page are owned by their respective owners.     		Powered by Geeklog 
    Seite erzeugt in 0.19 Sekunden