09:30
Sehr geehrte(r) Herr Fabian Freyer,
wir haben einen Sicherheitshinweis vom Bundesamt für Sicherheit in der Informationstechnik
(BSI) für (die IP-Adresse) eines Servers erhalten, den Sie bei uns betreiben. Diese
Meldung leiten wir automatisch an Sie weiter, zu Ihrer Information.
Die Originalmeldung ist unten angefügt. Zusätzliche Informationen finden Sie in den How-To
Anleitungen, auf die in dem Bericht verwiesen wird. Bitte beachten Sie, dass wir keine
weiteren Informationen zur Verfügung haben.
Diese Meldung bedeutet nicht, dass Ihr Server in Abuse Aktivitäten verwickelt war. Sie
weisen Sie lediglich auf ein potenzielles Problem auf Ihrem Server hin, das ausgenutzt
werden könnte und in der Regel recht einfach zu beheben ist.
Sie brauchen weder uns noch dem BSI eine Antwort zu schicken.
Bei weiteren Fragen wenden Sie sich bitte unter Beibehaltung der Ticketnummer der
Originalmeldung [CB-Report#...] in der Betreffzeile an certbund(a)bsi.bund.de. Antworten Sie
nicht an reports(a)reports.cert-bund.de, da diese Adresse nur zum Versand der Reports dient
und Nachrichten an diese Adresse nicht gelesen werden.
Mit freundlichen Grüßen
Abuse Team
Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen
Tel: +49 9831 5050
Fax: +49 9831 5053
www.hetzner.de
Registergericht Ansbach, HRB 6089
Geschäftsführer: Martin Hetzner, Stephan Konvickova, Günther Müller
Sie haben die Möglichkeit, gegen eine für Sie negative Entscheidung
Beschwerde einzulegen. Bitte antworten Sie hierzu auf dieses Ticket.
Bei einer endgültigen Entscheidung können Sie sich ebenfalls über
info(a)hetzner.com beschweren. Die Europäische Kommission stellt
darüber hinaus eine Plattform zur Online-Streitbeilegung (OS) bereit.
Die Plattform finden Sie unter http://ec.europa.eu/consumers/odr.
Wir sind weder bereit noch verpflichtet an einem
Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle
teilzunehmen.
Hinweise zur Verarbeitung Ihrer personenbezogenen Daten im
Rahmen der Kommunikation mit Ihnen finden Sie unter:
www.hetzner.de/datenschutzhinweis
> Sehr geehrte Damen und Herren,
>
> der Portmapper-Dienst (portmap, rpcbind) wird benötigt, um
> RPC-Anfragen einem Dienst zuzuordnen. Der Portmapper-Dienst wird
> u.a. für Netzwerkfreigaben über das Network File System (NFS)
> benötigt. Der Portmapper-Dienst verwendet Port 111 tcp/udp.
>
> Ein offen aus dem Internet erreichbarer offener Portmapper-Dienst kann
> von einem Angreifer zur Durchführung von DDoS-Reflection-Angriffen
> missbraucht werden. Weiterhin kann ein Angreifer darüber Informationen
> über das Netzwerk erlangen, wie z.B. laufende RPC-Dienste oder
> vorhandene Netzwerkfreigaben.
>
> In den letzten Monaten wurden Systeme, welche Anfragen aus dem
> Internet an den Portmapper-Dienst beantworten, zunehmend zur
> Durchführung von DDoS-Reflection-Angriffen gegen IT-Systeme Dritter
> missbraucht.
>
> Nachfolgend senden wir Ihnen eine Liste betroffener Systeme in Ihrem
> Netzbereich. Der Zeitstempel (Zeitzone UTC) gibt an, wann auf dem
> System ein offener Portmapper-Dienst identifiziert wurde.
>
> Wir möchten Sie bitten, den Sachverhalt zu prüfen und Maßnahmen zur
> Absicherung der Portmapper-Dienste auf den betroffenen Systemen zu
> ergreifen bzw. Ihre Kunden entsprechend zu informieren.
>
> Falls Sie kürzlich bereits Gegenmaßnahmen getroffen haben und diese
> Benachrichtigung erneut erhalten, beachten Sie bitten den angegebenen
> Zeitstempel. Wurde die Gegenmaßnahme erfolgreich umgesetzt, sollten
> Sie keine Benachrichtigung mit einem Zeitstempel nach der Umsetzung
> mehr erhalten.
>
> Weitere Informationen zu dieser Benachrichtigung, Hinweise zur
> Behebung gemeldeter Sicherheitsprobleme sowie Antworten auf häufig
> gestellte Fragen finden Sie unter:
> <https://reports.cert-bund.de/>
>
> Diese E-Mail ist mittels PGP digital signiert.
> Informationen zu dem verwendeten Schlüssel finden Sie unter:
> <https://reports.cert-bund.de/digitale-signatur>
>
> Bitte beachten Sie:
> Dies ist eine automatisch generierte Nachricht. Antworten an die
> Absenderadresse <reports(a)reports.cert-bund.de> werden NICHT gelesen
> und automatisch verworfen. Bei Rückfragen wenden Sie sich bitte
> unter Beibehaltung der Ticketnummer [CB-Report#...] in der
> Betreffzeile an <certbund(a)bsi.bund.de>.
>
> !! Bitte lesen Sie zunächst unsere HOWTOs und FAQ, welche unter
> !! <https://reports.cert-bund.de/> verfügbar sind.
>
> Betroffene Systeme in Ihrem Netzbereich:
>
> Format: ASN | IP | Timestamp (UTC) | RPC response
> 24940 | 116.202.37.55 | 2024-07-02 04:23:37 | 100000 4 111/udp; 100000 3 111/udp;
100000 2 111/udp; 100000 4 111/udp; 100000 3 111/udp; 100000 2 111/udp;
>
> Mit freundlichen Grüßen / Kind regards
> Team CERT-Bund
>
> Bundesamt für Sicherheit in der Informationstechnik
> Federal Office for Information Security (BSI)
> CERT-Bund
> Godesberger Allee 87, 53175 Bonn, Germany
>