Gehackter 1&1 Server attackiert mich?

[mmj]

Hi!

Mal ne frage:
Hat noch jemand sowas in seinen Logs?

Jan 6 13:28:45 mmj kernel: 217.160.188.183 sent an invalid ICMP error to a broadcast.
Jan 6 13:28:54 mmj last message repeated 10 times

wiederholt sich einige male bis

Jan 6 14:18:02 mmj kernel: NET: 4 messages suppressed.
Jan 6 14:18:02 mmj kernel: 217.160.188.183 sent an invalid ICMP error to a broadcast.


Hat da zwischen 13:28 Uhr und 14:18 ein anderer 1&1 Server versucht meinen Server mit ungültigen ICMP Paketen abzuschießen?

Mein Server ist übrigens im selben Subnetz, hat noch jemand diese Attacken bekommen?

Sollte mans an 1&1 melden?

Thanks

Malte

[oxygen]

Naja, Fehlerhafte ICMP Packete sind wohl kaum ein Versuch einen Server abzuschießen. Eher eine Fehlkonfiguration...
Jedoch hast du wahrscheinlich deinen Server auch falsch konfiguriert und zwar läuft deine Netzwerkkarte wohl promiscuous Modus, sonst würdest du die Paket nicht emfangen. (Sehr gefährlich)

[dodolin]

Hat noch jemand sowas in seinen Logs?

Die Forensuche sollte dir ausspucken, dass das erst vor wenigen Tagen bereits von einem anderen User bemerkt wurde.

Jedoch hast du wahrscheinlich deinen Server auch falsch konfiguriert und zwar läuft deine Netzwerkkarte wohl promiscuous Modus, sonst würdest du die Paket nicht emfangen. (Sehr gefährlich)

?!

Wenn der besagte Server etwas an die Broadcast-Adresse schickt, erhält das sein Rechner auch ohne promiscous mode. Außerdem sehe ich momentan nicht, warum das gefährlich sein sollte (kannst du mich aufklären?), höchstens unnötig, weil man mit bzw. ohne promiscous mode zumindest im Setup von 1&1 wohl eh die gleichen Pakete sehen wird.

[oxygen]

Bei einer NetMask von 255.255.255.255 gibt es keine Broadcast Domain im eigentlichen Sinne, denn dann würde Broadcast Pakete nur die eigene IP erreichen. siehe z.B. :

Code: Select all

        inet addr:217.160.168.62  Bcast:217.160.168.62  Mask:255.255.255.255

Das Problem am promiscuous mode bei 1&1 ist, das der Server auf Magic Reboot Pakets reagiert, die für andere Server bestimmt sind. Steht auch irgendwo in der 1&1 faq.

[deckel]

aha danke oxygen die meldungen habe ich auch zeit lurzem gestern um 18:25 bis 18:32 und gestern nacht noch mal auch wieder 7 minuten lang.

mfg deckel

[streicher]

Hi!

Mal ne frage:
Hat noch jemand sowas in seinen Logs?

Jan 6 13:28:45 mmj kernel: 217.160.188.183 sent an invalid ICMP error to a broadcast.
Jan 6 13:28:54 mmj last message repeated 10 times

wiederholt sich einige male bis

Jan 6 14:18:02 mmj kernel: NET: 4 messages suppressed.
Jan 6 14:18:02 mmj kernel: 217.160.188.183 sent an invalid ICMP error to a broadcast.


Hat da zwischen 13:28 Uhr und 14:18 ein anderer 1&1 Server versucht meinen Server mit ungültigen ICMP Paketen abzuschießen?

Mein Server ist übrigens im selben Subnetz, hat noch jemand diese Attacken bekommen?

Sollte mans an 1&1 melden?

Thanks

Malte

Ich habe ähnliche Einträge in meinen Logs gefunden. Gleicher Beginn, aber noch gut eine halbe Stunde länger.

Code: Select all

Jan  6 13:28:21 pxxxxx kernel: 217.xxx.xxx.xxx sent an invalid ICMP type 3, code 3 error to a broadcast: 0.0.0.0 on eth0
Jan  6 13:28:21 pxxxxx kernel: klogd 1.4.1, ---------- state change ---------- 
Jan  6 13:28:21 pxxxxx kernel: Inspecting /boot/System.map-2.4.23-xfs-031204
Jan  6 13:28:22 pxxxxx kernel: Loaded 18977 symbols from /boot/System.map-2.4.23-xfs-031204.
Jan  6 13:28:22 pxxxxx kernel: Symbols match kernel version 2.4.23.
Jan  6 13:28:22 pxxxxx kernel: Loaded 51 symbols from 4 modules.

Ich kann mit diesen Einträgen wenig anfangen. Außer daß die angezeigte IP in meinem Log, die von meinem Server ist und es anscheind (?) um eine Kommunikation mit der Ethernetkarte geht. Hatte einen solche Eintrag bisher noch nicht. Meine IP ist nicht die aus dem Log von mmj.

Was ist der promiscous mode? Hat es Vorteile diesen abzustellen?

[dodolin]

Das Problem am promiscuous mode bei 1&1 ist, das der Server auf Magic Reboot Pakets reagiert, die für andere Server bestimmt sind. Steht auch irgendwo in der 1&1 faq.

Also auch nach Suche konnte ich zumindest unter http://server.1und1.com/root_server/index.html nichts dazu finden. Ich habe zwar auch hier im Forum mal davon gelesen (IIRC), aber irgendwie kann ich mir nur schwer vorstellen, dass sich ein Server remote durch bestimme Pakete runterfahren lässt - das wäre ja ein gefundener DoS-Angriff. Was für Pakete sollen das genau sein? Google war da irgendwie auch nicht so wirklich hilfreich. Gibt es dazu ein Stichwort, wie sich dieses Protokoll zum Remote-Runterfahren nennt?

[floschi]

Das Recovery-System beruht imho darauf, d.h. wenn jemand in deinem Subnetz (gibt es das bei so einer Netmask?) einen Reset durchführt, ist jeder Rechner im promiscous Mode auch betroffen. Wurde zumindest vor gut 1,5 Jahren mal festgestellt, evtl. mittlerweile geändert.

[dodolin]

Das Recovery-System beruht imho darauf

Nö. Da gehen zu jeder Kiste separate Leitungen zum Resetknopf, die eben remote aktiviert werden können, das geht nicht über die normale Netzwerkkarte. Ich habe die Leitungen auch gesehen. ;)

Kannst du mir erklären, wie das überhaupt funktionieren sollte, wenn auf der Kiste mein eigener Kernel + Software und sonst nichts weiter läuft? Wie sollte er dann auf irgendwelche bestimmten Pakete reagieren, wenn ich nichts derartiges konfiguriert habe?

[floschi]

Das Recovery-System beruht imho darauf

Nö. Da gehen zu jeder Kiste separate Leitungen zum Resetknopf, die eben remote aktiviert werden können, das geht nicht über die normale Netzwerkkarte. Ich habe die Leitungen auch gesehen.

Dann wäre es gut zu erfahren, warum diese Erklärung seit langem herum geistert... angeblich bereits zigmal verifiziert. Irgendwas muss doch dann dran sein.

[oxygen]

Das ist aber dann etwas seltsam, warum warnt 1&1 dann ausdrücklich davon die Netztreiber zu entladen.

Für die Netzwerkkarte wird das Modul 8139too geladen. Dieses Modul dürfen Sie NIEMALS entfernen, da Sie danach keine Möglichkeit mehr haben, über das Netzwerk auf den Server zuzugreifen. Zudem funktioniert dann das Rescue-System nicht mehr, welches Ihnen jede Möglichkeit nimmt, den Server über das Recovery-Tool im Konfigmenü neu zu starten. Es bleibt Ihnen dann nur der Weg, unsere Hotline anzurufen und einen Reset zu veranlassen.
...
Den DHCP-Client (Initskript "/etc/init.d/dhclient") dürfen Sie ebenfalls NICHT stoppen, da sonst der Rechner nicht mehr erreichbar ist und auch per Reset im Konfigurationsmenü nicht neu gestartet werden kann!

Ich muss dazu sagen, ich hatte schonmal so ein Fall wo das Rescue System / Reboot nicht mehr Tat (Route gelöscht...). Rebootauftrag per eMail half. Das war eine Root Server L mit Celi 1200.

[gierig]

Damlas damals war alles kein Problem.

Da wurden noch (gute) ROL-F Karten genommen.
Die hatten einen extra anschluss für die Reset leitung
und konnten per Magic-Paket angesprochen werden
das Reset ausgelöst hat.
Technik ist ähnlich dem Weak-On-Lan, blos das
da ein Hardware Reset ausgeführt wird.

hier ein Dicker Link

Code: Select all

http://www.peppercon.de/rolf0.html

lest selber.

Heutzutage wird es übr externe Gerätschaften gemacht.
Weil im endefekt billiger ist als spizielle Netzwerkarten zu verbauen.
Bei beiden Möglichkeiten ist es egal was auf dem server leuft oder
ob überhaubt was leuft. Der Hard Reset wird immer ausgeführt.

Wenn der Rescue Mode mal nicht leuft liegt es im übrigen nicht an
deinem Rechner oder weil irgentwelche Module nicht eingtragen sind.
Die Info ist einfach nur falsch (habe ich auch schonmal geschrieben)

Rescue mode ist ein System was über Bootover lan realisiert wird.
Das bootimage wird dir von DHCP server gestellt und dort mittels
Software aktiviert oder deaktiviert.
Die Bootreinfolge auf dem Server erledigt den Rest.
Wenn das image angeboten wird, wird über Netz gebootet wenn nicht
dann geht es halt weiter in der Bootreihenfolge mit der HDD.