راهنمایی درباره abuse

[kiava]

سلام . امروز یک ایمیل اومده برای بنده از دیتاسنتر هتزنر.

سرور که از هتزنر تهیه کردم فقط جهت کار شخصیه ولی مشکلی داخلش ندیدم

ممنون میشم راهنمایی کنید


متن ایمیل :‌

Dear Mr kiava ,

We received a security alert from the German Federal Office for Information Security (BSI).
Please see the original report included below for details.

Please investigate and solve the reported issue.
It is not required that you reply to either us or the BSI.
If the issue has been fixed successfully, you should not receive any further notifications.

Additional information is provided with the HOWTOs referenced in the report.
In case of further questions, please contact certbund@bsi.bund.de and keep the
ticket number of the original report [CB-Report#...] in the subject line.
Do not reply <reports@reports.cert-bund.de> as this is just the sender address for the
reports and messages sent to this address will not be read.

Kind regards

Dear Sir or Madam,

the Portmapper service (portmap, rpcbind) is required for mapping RPC
requests to a network service. The Portmapper service is needed e.g.
for mounting network shares using the Network File System (NFS).
The Portmapper service runs on port 111 tcp/udp.

In addition to being abused for DDoS reflection attacks, the
Portmapper service can be used by attackers to obtain information
on the target network like available RPC services or network shares.

Over the past months, systems responding to Portmapper requests from
anywhere on the Internet have been increasingly abused DDoS reflection
attacks against third parties.

Please find below a list of affected systems hosted on your network.
The timestamp (timezone UTC) indicates when the openly accessible
Portmapper service was identified.

We would like to ask you to check this issue and take appropriate
steps to secure the Portmapper services on the affected systems or
notify your customers accordingly.

If you have recently solved the issue but received this notification
again, please note the timestamp included below. You should not
receive any further notifications with timestamps after the issue
has been solved.

Additional information on this notification, advice on how to fix
reported issues and answers to frequently asked questions:
<https://reports.cert-bund.de/en/>

This message is digitally signed using PGP. Information on the
signature key is available at the aforementioned URL.

Please note:
This is an automatically generated message. Replies to the
sender address <reports@reports.cert-bund.de> will NOT be read
but silently be discarded. In case of questions, please contact
<certbund@bsi.bund.de> and keep the ticket number [CB-Report#...]
of this message in the subject line.

!! Please make sure to consult our HOWTOs and FAQ available at
!! <https://reports.cert-bund.de/en/> first.

================================================== ====================

Betroffene Systeme in Ihrem Netzbereich:
Affected systems on your network:

Format: ASN | IP address | Timestamp (UTC)
24940 | 88.99.***.221 | 2017-04-27 04:45:40
24940 | 88.99.***.97 | 2017-04-27 05:07:52

Mit freundlichen Gren / Kind regards
Team CERT-Bund

Bundesamt fr Sicherheit in der Informationstechnik (BSI)
Federal Office for Information Security
Referat CK22 - CERT-Bund
Godesberger Allee 185-189, D-53175 Bonn, Germany

[ertebat7]

سلام
دو ایمیل امده؟
ایمیل اولی مربوط به
Information Security (BSI)
که فقط ایمیل جهت اطلاع هست می باشد و نیازی به پاسخ به دیتاسنتر ندارد
و معمولا در سرورهای ویندوزی مشاهده می شود
وی ام ویر استفاده می کنید ؟ و وی پی هاس های ویندوزی به احتمال زیاد
به راحتی با بستن پورت 137 UDP میتونید جلوی این ایمیل را بگیرید

[kiava]

سلام
دو ایمیل امده؟
ایمیل اولی مربوط به
Information Security (BSI)
که فقط ایمیل جهت اطلاع هست می باشد و نیازی به پاسخ به دیتاسنتر ندارد
و معمولا در سرورهای ویندوزی مشاهده می شود
وی ام ویر استفاده می کنید ؟ و وی پی هاس های ویندوزی به احتمال زیاد
به راحتی با بستن پورت 137 UDP میتونید جلوی این ایمیل را بگیرید

خیر داخل یک ایمیل اومده و kvm مجازی سازیش کردم مشکل خاصی نمیبینم ولی اگر مهم نیست کاری نکنم؟

[ertebat7]

خیر داخل یک ایمیل اومده و kvm مجازی سازیش کردم مشکل خاصی نمیبینم ولی اگر مهم نیست کاری نکنم؟

اینها ایمیل هایی فقط جهت اطلاع می باشند
This is an information email only and does not require any further action on your part.
و هیچ نیازی به پاسخ به دیتاسنتر ندارند

[kiava]

اینها ایمیل هایی فقط جهت اطلاع می باشند
This is an information email only and does not require any further action on your part.
و هیچ نیازی به پاسخ به دیتاسنتر ندارند

تشکر

[masteryi]

درود
بیشتر حالت اطلاع رسانی داره تا ابیوز
میتونید از داخل خود پنل هتزنر این پورت رو به کل ببندید تا دیگه مشکلی نداشته باشید

[kiava]

درود
بیشتر حالت اطلاع رسانی داره تا ابیوز
میتونید از داخل خود پنل هتزنر این پورت رو به کل ببندید تا دیگه مشکلی نداشته باشید

تشکر از پاسخ گوییتون

[J4vad]

با سلام ،

از کاربران گرامی خواهشمندم اگر اطلاعاتی در خصوص یک Abuse ندارند نظر ندهند چون هم کسی که سوال می کند به دردسر خواهد افتاد و هم IP مذکور به زودی بلاک خواهد شد در صورت عدم اقدام در هیچ کجای Abuse ایشان چیزی با مضمون This is an information email only and does not require any further action on your part. نمی بینم و دلیل اینکه فرمودید مهم نیست رو متوجه نمی شم ! اتفاقا مهم هست در یکی از ایمیل ها Attack گزارش شده و Hetzner بسیار به این موضوع حساس هست و عدم اقدام شما باعث بلاک شدن IP خواهد شد در هتزنر وقتی یک IP بلاک یا Null Route شود به این راحتی ها باز نخواهد شد .

در خصوص عکس العمل نیز پورت 137 که دوستان فرمودند و مربوط به Net BIOS هست درست هست خیلی موارد رو حل می کند ولی در خصوص این اخطار شما عکس العملی قطعی نیست و البته پورت 138 و 139 هم برای Net BIOS می باشد ، نسخه ویندوز شما چیست ؟ ، آیا از ویندوز کرک شده استفاده می کنید ؟ آپدیت در ویندوز فعال است ؟ آیا از فایروال یا Anti Virus خاصی در سرور استفاده می کنید ؟ پاسخ سوالات را بفرمایید تا بتوانم شما را راهنمایی کنم .

موفق باشید .

[ertebat7]

با سلام ،

از کاربران گرامی خواهشمندم اگر اطلاعاتی در خصوص یک Abuse ندارند نظر ندهند چون هم کسی که سوال می کند به دردسر خواهد افتاد و هم IP مذکور به زودی بلاک خواهد شد در صورت عدم اقدام در هیچ کجای Abuse ایشان چیزی با مضمون This is an information email only and does not require any further action on your part. نمی بینم و دلیل اینکه فرمودید مهم نیست رو متوجه نمی شم ! اتفاقا مهم هست در یکی از ایمیل ها Attack گزارش شده و Hetzner بسیار به این موضوع حساس هست و عدم اقدام شما باعث بلاک شدن IP خواهد شد در هتزنر وقتی یک IP بلاک یا Null Route شود به این راحتی ها باز نخواهد شد .

در خصوص عکس العمل نیز پورت 137 که دوستان فرمودند و مربوط به Net BIOS هست درست هست خیلی موارد رو حل می کند ولی در خصوص این اخطار شما عکس العملی قطعی نیست و البته پورت 138 و 139 هم برای Net BIOS می باشد ، نسخه ویندوز شما چیست ؟ ، آیا از ویندوز کرک شده استفاده می کنید ؟ آپدیت در ویندوز فعال است ؟ آیا از فایروال یا Anti Virus خاصی در سرور استفاده می کنید ؟ پاسخ سوالات را بفرمایید تا بتوانم شما را راهنمایی کنم .

موفق باشید .

سلام و وقت شما بخیر
اگر به متن ابیوز دقت بفرمایید

It is not required that you reply to either us or the BSI.
متن بسیار ساده و مشخص هست
و تقریبا این پیام برای افرادی که در هتزنر تعداد زیادی سرور در پنل دارند هر روز ارسال میگردد
ابیوزهای هتزنر چند دسته هستند :
ابیوزهایی که منجر به بستن ای پی می شوند دیتاسنتر ساعتی را مشخص میکند یا 24 ساعت فرصت میدهد تا مشکل رفع و حتما از طریق ایمیل و لینکی که ارسال می کنند پاسخ داده شود که علت ابیوز چه بوده و چگونه حل شده است
همانطور که در متن استارتر می بینید دیتاسنتر گفته نیازی به پاسخ به ما نیست
پس در این مورد یک اطلاع رسانی فقط بوده و ای پی بسته نخواد شد

پ.ن: هیچکس در این تاپیک نگفته مهم نیست!

[J4vad]

سلام و وقت شما بخیر
اگر به متن ابیوز دقت بفرمایید

It is not required that you reply to either us or the BSI.
متن بسیار ساده و مشخص هست
و تقریبا این پیام برای افرادی که در هتزنر تعداد زیادی سرور در پنل دارند هر روز ارسال میگردد
ابیوزهای هتزنر چند دسته هستند :
ابیوزهایی که منجر به بستن ای پی می شوند دیتاسنتر ساعتی را مشخص میکند یا 24 ساعت فرصت میدهد تا مشکل رفع و حتما از طریق ایمیل و لینکی که ارسال می کنند پاسخ داده شود که علت ابیوز چه بوده و چگونه حل شده است
همانطور که در متن استارتر می بینید دیتاسنتر گفته نیازی به پاسخ به ما نیست
پس در این مورد یک اطلاع رسانی فقط بوده و ای پی بسته نخواد شد

پ.ن: هیچکس در این تاپیک نگفته مهم نیست!

با سلام ،

بنده چندین سرور در دیتاسنتر هتزنر دارم و هر روز چنین پیام هایی دریافت نمی کنم اگر سرور Secure باشد چنین پیام هایی دریافت نخواهد شد ، بله در هتزنر دو نوع Abuse هست آن هایی که نیاز به پاسخ دارند که باید روش رفع مشکل Abuse رو برای Hetzner در قالب فرم و ایمیل ارسال کنید و یک Abuse هم نیازی به پاسخ ندارد اما باید رفع شود در غیر این صورت IP بلاک لیست خواهد شد و مشکلات دیگری رخ خواهد داد و در نهایت به مسدودیت IP منجر خواهد شد ، برداشت من از صحبت شما عدم اهمیت این Abuse بود که احتمالا سوء تفاهم بوده است .

موفق باشید .