Anleitung: Abuse BSI-Cert Portmapper Dienst Debian Systeme

    • Official Post

    rpcbind Offene Portmapper-Dienste | CERT-Bund-Reports

    Der Portmapperdienst portmap oder rpcbind übernimmt die Zuordnung von RPC-Anfragen (Remote Procedure Calls) zu Netzwerkdiensten. Wird von NFS Benötigt!

    Quote from Nerdscave Docs

    Sehr geehrte Damen und Herren,

    der Portmapper-Dienst (portmap, rpcbind) wird benötigt, um RPC-Anfragen einem Dienst zuzuordnen. Der Portmapper-Dienst wird u.a. für Netzwerkfreigaben über das Network File System (NFS) benötigt. Der Portmapper-Dienst verwendet Port 111 tcp/udp. Ein offen aus dem Internet erreichbarer offener Portmapper-Dienst kann von einem Angreifer zur Durchführung von DDoS-Reflection-Angriffen missbraucht werden. Weiterhin kann ein Angreifer darüber Informationen über das Netzwerk erlangen, wie z.B. laufende RPC-Dienste oder vorhandene Netzwerkfreigaben.

    In den letzten Monaten wurden Systeme, welche Anfragen aus dem Internet an den Portmapper-Dienst beantworten, zunehmend zur Durchführung von DDoS-Reflection-Angriffen gegen IT-Systeme Dritter missbraucht.

    Nachfolgend senden wir Ihnen eine Liste betroffener Systeme in Ihrem Netzbereich. Der Zeitstempel (Zeitzone UTC) gibt an, wann auf dem System ein offener Portmapper-Dienst identifiziert wurde. Wir möchten Sie bitten, den Sachverhalt zu prüfen und Maßnahmen zur Absicherung der Portmapper-Dienste auf den betroffenen Systemen zu ergreifen bzw. Ihre Kunden entsprechend zu informieren.


    Test:

    Code: /bin/bash
    rpcinfo -T udp -p 193.25.201.48

    Gibt bei laufendem Portmapperdienst folgenden Output zurück:

    Bei geschlossenem Dienst sieht der Output so, oder so ähnlich aus:

    Quote from Nerdscave Docs

    rpcinfo: can't contact portmapper: RPC: Remote system error - Connection timed out

    Kann folgendermaßen vom Debian System aus getestet werden:

    Code: /bin/bash
    rpcinfo -p 
netstat -ntupl | grep 111


    Was ist zu tun?

    Wenn NFS genutzt werden soll muss es aktiv bleiben!


    Einfacher Weg, rpcbind Deinstallieren:

    Code: /bin/bash
    apt-get remove rpcbind

    EMPFOHLEN, Proxmox wird rpcbind neu Installieren!

    RPCbind Daemon stoppen, masken und deaktivieren:

    Code: /bin/bash
    systemctl stop rpcbind
systemctl disable rpcbind
systemctl mask rpcbind
systemctl stop rpcbind.socket
systemctl disable rpcbind.socket

    Testing ob wirklich deaktiviert: systemctl status rpcbind

    Quote from Nerdscave Docs

    ● rpcbind.service

    Loaded: masked (Reason: Unit rpcbind.service is masked.)

    Active: inactive (dead)

    netstat -ntupl | grep 111

    ... leere Ausgabe ...


    Mehr lesen:

    https://docs.nerdscave.de/books/allgemeine-maintanace/page/abuse-bsi-cert-portmapper-dienst-debian-system

    CERT-Bund Reports:
    German version
    www.bsi.bund.de

    Abuse-Meldung des BSI zum Thema RPC und NFS
    Self-Hosting hat sehr viele Ecken und Kanten, doch sollte es niemanden abhalten sich aktiv mit den damit verbunden Vor- und Nachteilen zu beschäftigen. Das…
    www.klonmaschine.de

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login