Skocz do zawartości
cezary188

Dziwny mail z Hetznera

Polecane posty

Witajcie dostalem dzisiaj maila z tematem abuse o takiej tresci:

 

 

We have received a security alert from the German Federal Office for Information Security (BSI).

This is an information email only and does not require any further action on your part.
It is your choice whether or not to investigate the complaint.

 

 

Dear Sir or Madam,

>
> Multicast DNS (mDNS) is used for resolving host names to IP addresses
> within small networks that do not include a local DNS server. It is
> implemented for example by the Apple 'Bonjour' and Linux/BSD 'Avahi'
> (nss-mdns) services. mDNS uses port 5353/udp [1].
>
> In addition to disclosing information about the system/network, openly
> accessible mDNS services can be abused for DDoS reflection/amplification
> attacks against third parties [2][3].
>
> The Shadowserver 'Open mDNS Scanning Project' identifies systems
> responding to mDNS requests from the Internet which can be abused
> for DDoS reflection/amplification attacks.
>
> Shadowserver provides CERT-Bund with the test results for IP addresses
> hosted in Germany for notifying the owners of the affected systems.
> Futher information on the tests run by Shadowserver is available at [4].
>
> Please find below a list of affected systems hosted on your network.
> The timestamp (timezone UTC) indicates when the system was tested
> and responded to mDNS requests from the Internet.
>
> We would like to ask you to check this issue and take appropriate
> steps to close the openly accessible mDNS services on the affected
> systems or notify your customers accordingly.
>
> If you have recently solved the issue but received this notification
> again, please note the timestamp included below. You should not
> receive any further notifications with timestamps after the issue
> has been solved.

 

 

Affected systems on your network:

>
> Format: ASN | IP address | Timestamp (UTC) | Services
> 24940 | 5.xx.31.xxx | 2016-09-06 08:23:45 | _workstation._tcp.local.; _udisks-ssh._tcp.local.;
>
> Kind regards
> Team CERT-Bund

 

 

 

(usunelem tylko IP)

 

Co to ma byc? Czy to jest jakas zaplanowana czesc inwigilacji czy moze cos przeskrobalem ?

 

Ktos wie jak do tego podejsc ?

Edytowano przez cezary188 (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Całe informacje masz na stronie: https://mdns.shadowserver.org/, ciekawa sprawa. To duży projekt skanera (raczej cała fundacja - https://www.shadowserver.org/wiki/pmwiki.php/Shadowserver/Mission) który poszukuje dziur w celu poinformowania właścicieli (raczej dostawców a oni ciebie) - na ich stronie badają znacznie więcej zagrożeń. Nie jest wykorzystywany do ataku. Pewnie ten niemiecki odpowiednik naszego CERT dostaje raporty i informuje właścicieli. Z jakiego maila dostałeś abuse ? Sprawdź nagłówki maila czy wiadomość jest wiarygodna - tak dla pewności.

Ich metotologia:

We are querying all computers with routable IPv4 addresses that are not firewalled from the internet on port 5353/udp with a dns query for "_services._dns-sd._udp.local" and parsing the response.

 

Tak z ciekawości jaką odpowiedź daje ci: dig @[iP] -p 5353 -t ptr _services._dns-sd._udp.local ?

Edytowano przez devon (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zrodlo maila oficjalne z hetznera. Mhm czyli w sumie tak na szybko poczytalem to wychodzi ze taka dobre duszki ? W sensie skanuja port 5353 i jezeli otrzymaja odpowiedz tzn ze serwer jest niezabezpieczony jakos szczegolnie i wysylaja powiadomienie do serwerowni a ona do mnie ze mam nie zabezpieczony serwer i zebym sie pilnowal. Dobrze zrozumialem ?

 

Tylko po co to German Federal Office tam mieszac? Oni jakos biora udzial w projekcie ?

 

 

BTW fakt ze serwer nie zabezpieczony ale nie musi byc bo sluzy mi tylko do przezucania plikow wiec nic tam nie ma :P

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Serwer jest w Niemczech więc logicznie że niemiecki CERT informuje o zagrożeniach. Pewnie jakieś raporty dostają od tej fundacji albo współpracują. Polski CERT również reaguje jak na polskich (nie tylko - ale głównie) serwerach jest duży ruch botnetów czy z tego co pamiętam wspierali zespół bezpieczeństwa Orange przy tej "aferze" z niezabezpieczonymi ruterami (chociaż mogę się mylić). Nawet prowadzą własne projekty: https://www.cert.pl/projekty. To bardzo dobrze że informują cię o ew lukach bezpieczeństwa ponieważ ty odpowiadasz za zawartość serwera. Jeżeli zostanie jakoś wykorzystany to ty będziesz musiał udowodnić że to nie twoja wina. Brzmi to absurdalnie ale to praktyka godna pochwały aby instytucje publiczne reagowały na takie luki - po co źródło botnetu ma wychodzić z xxx :)

Edytowano przez devon (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

To wygląda jak standardowy mail - widziałem coś takiego u jednego klienta, muszą rozesłać coś takiego a czy Ty to zabezpieczysz czy nie to już Twoja sprawa, oni umywają ręce

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×