cezary188 40 Zgłoś post Napisano Wrzesień 8, 2016 (edytowany) Witajcie dostalem dzisiaj maila z tematem abuse o takiej tresci: We have received a security alert from the German Federal Office for Information Security (BSI).This is an information email only and does not require any further action on your part.It is your choice whether or not to investigate the complaint. Dear Sir or Madam, >> Multicast DNS (mDNS) is used for resolving host names to IP addresses> within small networks that do not include a local DNS server. It is> implemented for example by the Apple 'Bonjour' and Linux/BSD 'Avahi'> (nss-mdns) services. mDNS uses port 5353/udp [1].>> In addition to disclosing information about the system/network, openly> accessible mDNS services can be abused for DDoS reflection/amplification> attacks against third parties [2][3].>> The Shadowserver 'Open mDNS Scanning Project' identifies systems> responding to mDNS requests from the Internet which can be abused> for DDoS reflection/amplification attacks.>> Shadowserver provides CERT-Bund with the test results for IP addresses> hosted in Germany for notifying the owners of the affected systems.> Futher information on the tests run by Shadowserver is available at [4].>> Please find below a list of affected systems hosted on your network.> The timestamp (timezone UTC) indicates when the system was tested> and responded to mDNS requests from the Internet.>> We would like to ask you to check this issue and take appropriate> steps to close the openly accessible mDNS services on the affected> systems or notify your customers accordingly.>> If you have recently solved the issue but received this notification> again, please note the timestamp included below. You should not> receive any further notifications with timestamps after the issue> has been solved. Affected systems on your network: >> Format: ASN | IP address | Timestamp (UTC) | Services> 24940 | 5.xx.31.xxx | 2016-09-06 08:23:45 | _workstation._tcp.local.; _udisks-ssh._tcp.local.;>> Kind regards> Team CERT-Bund (usunelem tylko IP) Co to ma byc? Czy to jest jakas zaplanowana czesc inwigilacji czy moze cos przeskrobalem ? Ktos wie jak do tego podejsc ? Edytowano Wrzesień 8, 2016 przez cezary188 (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
devon 50 Zgłoś post Napisano Wrzesień 8, 2016 (edytowany) Całe informacje masz na stronie: https://mdns.shadowserver.org/, ciekawa sprawa. To duży projekt skanera (raczej cała fundacja - https://www.shadowserver.org/wiki/pmwiki.php/Shadowserver/Mission) który poszukuje dziur w celu poinformowania właścicieli (raczej dostawców a oni ciebie) - na ich stronie badają znacznie więcej zagrożeń. Nie jest wykorzystywany do ataku. Pewnie ten niemiecki odpowiednik naszego CERT dostaje raporty i informuje właścicieli. Z jakiego maila dostałeś abuse ? Sprawdź nagłówki maila czy wiadomość jest wiarygodna - tak dla pewności.Ich metotologia: We are querying all computers with routable IPv4 addresses that are not firewalled from the internet on port 5353/udp with a dns query for "_services._dns-sd._udp.local" and parsing the response. Tak z ciekawości jaką odpowiedź daje ci: dig @[iP] -p 5353 -t ptr _services._dns-sd._udp.local ? Edytowano Wrzesień 8, 2016 przez devon (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
cezary188 40 Zgłoś post Napisano Wrzesień 9, 2016 Zrodlo maila oficjalne z hetznera. Mhm czyli w sumie tak na szybko poczytalem to wychodzi ze taka dobre duszki ? W sensie skanuja port 5353 i jezeli otrzymaja odpowiedz tzn ze serwer jest niezabezpieczony jakos szczegolnie i wysylaja powiadomienie do serwerowni a ona do mnie ze mam nie zabezpieczony serwer i zebym sie pilnowal. Dobrze zrozumialem ? Tylko po co to German Federal Office tam mieszac? Oni jakos biora udzial w projekcie ? BTW fakt ze serwer nie zabezpieczony ale nie musi byc bo sluzy mi tylko do przezucania plikow wiec nic tam nie ma Udostępnij ten post Link to postu Udostępnij na innych stronach
devon 50 Zgłoś post Napisano Wrzesień 9, 2016 (edytowany) Serwer jest w Niemczech więc logicznie że niemiecki CERT informuje o zagrożeniach. Pewnie jakieś raporty dostają od tej fundacji albo współpracują. Polski CERT również reaguje jak na polskich (nie tylko - ale głównie) serwerach jest duży ruch botnetów czy z tego co pamiętam wspierali zespół bezpieczeństwa Orange przy tej "aferze" z niezabezpieczonymi ruterami (chociaż mogę się mylić). Nawet prowadzą własne projekty: https://www.cert.pl/projekty. To bardzo dobrze że informują cię o ew lukach bezpieczeństwa ponieważ ty odpowiadasz za zawartość serwera. Jeżeli zostanie jakoś wykorzystany to ty będziesz musiał udowodnić że to nie twoja wina. Brzmi to absurdalnie ale to praktyka godna pochwały aby instytucje publiczne reagowały na takie luki - po co źródło botnetu ma wychodzić z xxx Edytowano Wrzesień 9, 2016 przez devon (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
cezary188 40 Zgłoś post Napisano Wrzesień 9, 2016 Hmm czyli wszystko dobrze, nic tylko sie cieszyc ze mnie poinformowali ? No tak jakby cieszyc bo wkoncu mam luke Udostępnij ten post Link to postu Udostępnij na innych stronach
devon 50 Zgłoś post Napisano Wrzesień 10, 2016 (edytowany) do skasowania Edytowano Wrzesień 10, 2016 przez devon (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
komarrrro 0 Zgłoś post Napisano Październik 15, 2016 To wygląda jak standardowy mail - widziałem coś takiego u jednego klienta, muszą rozesłać coś takiego a czy Ty to zabezpieczysz czy nie to już Twoja sprawa, oni umywają ręce Udostępnij ten post Link to postu Udostępnij na innych stronach
