rpcbind Offene Portmapper-Dienste | CERT-Bund-Reports
Der Portmapperdienst portmap oder rpcbind übernimmt die Zuordnung von RPC-Anfragen (Remote Procedure Calls) zu Netzwerkdiensten. Wird von NFS Benötigt!
Sehr geehrte Damen und Herren,
der Portmapper-Dienst (portmap, rpcbind) wird benötigt, um RPC-Anfragen einem Dienst zuzuordnen. Der Portmapper-Dienst wird u.a. für Netzwerkfreigaben über das Network File System (NFS) benötigt. Der Portmapper-Dienst verwendet Port 111 tcp/udp. Ein offen aus dem Internet erreichbarer offener Portmapper-Dienst kann von einem Angreifer zur Durchführung von DDoS-Reflection-Angriffen missbraucht werden. Weiterhin kann ein Angreifer darüber Informationen über das Netzwerk erlangen, wie z.B. laufende RPC-Dienste oder vorhandene Netzwerkfreigaben.
In den letzten Monaten wurden Systeme, welche Anfragen aus dem Internet an den Portmapper-Dienst beantworten, zunehmend zur Durchführung von DDoS-Reflection-Angriffen gegen IT-Systeme Dritter missbraucht.
Nachfolgend senden wir Ihnen eine Liste betroffener Systeme in Ihrem Netzbereich. Der Zeitstempel (Zeitzone UTC) gibt an, wann auf dem System ein offener Portmapper-Dienst identifiziert wurde. Wir möchten Sie bitten, den Sachverhalt zu prüfen und Maßnahmen zur Absicherung der Portmapper-Dienste auf den betroffenen Systemen zu ergreifen bzw. Ihre Kunden entsprechend zu informieren.
Test:
rpcinfo -T udp -p 193.25.201.48Gibt bei laufendem Portmapperdienst folgenden Output zurück:
Alles anzeigenprogram vers proto port service
100000 4 tcp 111 portmapper
100000 3 tcp 111 portmapper
100000 2 tcp 111 portmapper
100000 4 udp 111 portmapper
100000 3 udp 111 portmapper
100000 2 udp 111 portmapper
100024 1 udp 48035 status
100024 1 tcp 52605 status
Bei geschlossenem Dienst sieht der Output so, oder so ähnlich aus:
rpcinfo: can't contact portmapper: RPC: Remote system error - Connection timed out
Kann folgendermaßen vom Debian System aus getestet werden:
rpcinfo -p
netstat -ntupl | grep 111Was ist zu tun?
Wenn NFS genutzt werden soll muss es aktiv bleiben!
Einfacher Weg, rpcbind Deinstallieren:
apt-get remove rpcbindEMPFOHLEN, Proxmox wird rpcbind neu Installieren!
RPCbind Daemon stoppen, masken und deaktivieren:
systemctl stop rpcbind
systemctl disable rpcbind
systemctl mask rpcbind
systemctl stop rpcbind.socket
systemctl disable rpcbind.socketTesting ob wirklich deaktiviert: systemctl status rpcbind
● rpcbind.service
Loaded: masked (Reason: Unit rpcbind.service is masked.)
Active: inactive (dead)
netstat -ntupl | grep 111
... leere Ausgabe ...
Mehr lesen:
