MAC Spoofing

[dmstender]

Hallo allerseits,

ich habe seit langem einen Rootserver bei 1&1 (Confixx; ja, das neuste Update ist auch drauf). In den letzten Monaten hat mir 1&1 mehrfach den Switchport dicht gemacht, weil angeblich ein Paket mit einer falschen Absender-MAC (aka MAC Spoofing attempt) empfangen wurde. Ich habe zu den Zeitpunkten überhaupt keine Anhaltspunkte für externe Zugriffe gefunden, keine SSH-Logins, keine verdächtigen Webseitenaufrufe etc. Hat jemand irgendeine Erklärung, wie es zu sowas kommen kann oder wie man dem Problem auf den Grund gehen kann? Oder irgendwelche Fingerprints von Tools, die mir vielleicht aufs System gekommen sein könnten? VMWare oder sonstige Virtualisierungstools sind auch nicht drauf.

Auf dem Server läuft zwar noch Suse 9.2, aber ich halte den Rechner manuell so weit wie möglich auf dem aktuellen Stand. Die nach außen erreichbaren Dienste habe ich sowieso selber kompiliert und nicht als altes Suse-RPM installiert, die neueren Kernel eingespielt usw., so dass ich mich was Sicherheitslücken betrifft relativ sicher gefühlt habe. (Schon klar, das kann immer täuschen).

Seht ihr eine andere Möglichkeit als das System zu reinitialisieren? Klar, ein Update auf eine neuere Distribution wird sich mittelfristig nicht umgehen lassen. Das möchte ich eigentlich zumindest in nächster Zeit vermeiden, weil nicht auf Plesk umsteigen möchte. Außerdem möchte ich schon das Problem analyisieren und wissen, was das schief gelaufen ist.

Viele Grüße,
Dennis

[Joe User]

Gab es nicht mal ähnliche Probleme mit der VIA-Rhine?

Code: Select all

lspci
ifconfig

[dmstender]

Danke, wollte schon "Treffer" sagen, aber die Netzwerkkarte ist dann doch eine Intel:

Code: Select all

0000:00:00.0 Host bridge: VIA Technologies, Inc. VT82C693A/694x [Apollo PRO133x] (rev c4)
0000:00:01.0 PCI bridge: VIA Technologies, Inc. VT82C598/694x [Apollo MVP3/Pro133x AGP]
0000:00:07.0 ISA bridge: VIA Technologies, Inc. VT82C686 [Apollo Super South] (rev 40)
0000:00:07.1 IDE interface: VIA Technologies, Inc. VT82C586A/B/VT82C686/A/B/VT823x/A/C PIPC Bus Master IDE (rev 06)
0000:00:07.4 Bridge: VIA Technologies, Inc. VT82C686 [Apollo Super ACPI] (rev 40)
0000:00:0e.0 Ethernet controller: Intel Corp. 82557/8/9 [Ethernet Pro 100] (rev 08)
0000:01:00.0 VGA compatible controller: ATI Technologies Inc Rage XL AGP 2X (rev 27)

ifconfig:

Code: Select all

eth0      Link encap:Ethernet  HWaddr 00:20:ED:3B:C9:6D
          inet addr:XXX.XXX.XX.XX  Bcast:XXX.XXX.XX.XX  Mask:255.255.255.255
          UP BROADCAST NOTRAILERS RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2035856 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2082458 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:498157393 (475.0 Mb)  TX bytes:1250752304 (1192.8 Mb)

Dennis

[dmstender]

Hallo allerseits,

gerade heute hat mir 1&1 mal wieder den Server gesperrt, anders als sonst aber sogar mal selbstständig eine Mail dazu geschrieben:

am 30.08.2007 wurde Ihr Server von unserem automatischen
Sicherheitssystem gesperrt.

Dies kann in folgenden Fällen vorkommen:

a) Sie verwenden IPs aus den in RfC1918 angegebenen Bereichen
(10.x.y.z ...).
b) Sie haben versucht, die MAC-Adresse Ihrer Netzwerkkarte zu ändern.
c) Sie betreiben Multicastdienste auf Ihrem Server.

Oben genannte Dinge sind in unseren Netzen untersagt. Bitte stellen Sie
sicher, dass ein derartiger Vorgang in Zukunft unterbleibt.

Bis auf Weiteres haben wir Ihren Server entsperrt, er ist nun wieder im
Netz erreichbar.

Ich habe auf der Kiste einen Teamspeak-Server laufen. Könnte der evtl. die Sperrung verursachen (Multicast-Dienst?)

Viele Grüße,
Dennis

[gierig]

Hatte ich damals bei den auch. Das Problem war weg nachdem ich nur noch
Kernel ohne Multicast Support benutzt habe. Allerdings damals mit den Via Netzwerkarten.