[erledigt] Massive Attacken von multiplen IP-Adressen

[TomL]

Seit gestern Mittag Punk 12:00 Uhr ist Schluss... ... als wenn da jemand das Licht ausgeknipst hat, die Heftigkeit und die für meine Verhältnisse extrem hohe Anzahl von Zugriffen war mit einem Schlag vorbei. Was ist das für ein Scheiss? Seit gestern Highnoon sind es nur noch die paar obligatorischen Versuche, die immer reinkommen und die ich schon in der Vergangenheit auch nicht weiter beachtet habe.

Der Sinn der Aktion ist, den Dienst der auf dem Port 443 lauscht zu überlasten, damit dieser nicht mehr genutzt werden kann bzw. nicht mehr erreichbar ist. Das ist kein Angriff um in dein System einzudringen.

Wenn das die Erklärung wäre, dann verstehe ich die Welt überhaupt nicht mehr. Wieso suchen die sich nen völlig unbedeutenden privaten und vor allem unbekannten Server aus, von dem sie nicht mal wissen, wer auf diesem Server wann, was womit wofür nutzt? Das hat ja den gleichen Charakter, als würden spät in der Nacht ein paar Besoffene in fremder Stadt auf dem Rückweg ins Hotel wahllos Autoantennen- und Scheibenwischer abbrechen. Das können doch unmöglich Leute sein (die Drahtzieher dahinter), intelligente Spezialisten, die imstande sind, hocheffektiven Code zu schreiben, wie Wanne das angedeutet hat.

[mat6937]

Wieso suchen die sich nen völlig unbedeutenden privaten und vor allem unbekannten Server aus, von dem sie nicht mal wissen, wer auf diesem Server wann, was womit wofür nutzt?

Naja, wenn man mutmaßt, dass es evtl. einen Zusammenhang mit deinem MF-Account gibt und was weiß ich wie viele der MF-Account-Inhaber (... %?) den Port 443 weitergeleitet/geöffnet haben, dann könnte das schon die Ursache sein.

Das können doch unmöglich Leute sein (die Drahtzieher dahinter), intelligente Spezialisten, die imstande sind, hocheffektiven Code zu schreiben, ...

Die Leute die diesen Code benutzen, müssen ja nicht die Leute sein, die diesen Code geschrieben haben.

[TomL]

Naja, wenn man mutmaßt, dass es evtl. einen Zusammenhang mit deinem MF-Account gibt und was weiß ich wie viele der MF-Account-Inhaber (... %?) den Port 443 weitergeleitet/geöffnet haben, dann könnte das schon die Ursache sein.

Ja, richtig, das stimmt wohl. Wenn man mal drüber nachdenkt, kann man ja durchaus davon ausgehen, dass nur die "Leute" einen MF-DynDNS-Account haben, die auch einen offenen Port bzw. einen vom Internet erreichbaren Service am Laufen haben. Mannomann... was ne verquere Welt... ich selber denke ja anscheinend nur viel zu sehr in den Grenzen meiner eigenen kleinen Welt, die anderen nix böses will... da sind solche Interessen und Motivationen zu solchen Vorfällen einfach inkompatibel. Naja, mal abwarten, wie es weitergeht.

[TRex]

Seit gestern Mittag Punk 12:00 Uhr ist Schluss... ... als wenn da jemand das Licht ausgeknipst hat, die Heftigkeit und die für meine Verhältnisse extrem hohe Anzahl von Zugriffen war mit einem Schlag vorbei. Was ist das für ein Scheiss? Seit gestern Highnoon sind es nur noch die paar obligatorischen Versuche, die immer reinkommen und die ich schon in der Vergangenheit auch nicht weiter beachtet habe.

"Ups, falsches Haus, sorry!"

[TomL]

"Ups, falsches Haus, sorry!"

Ja, das scheint auch eine plausible Erklärung zu sein.

Ich habe mir jetzt gerade noch mal die jetzt aktuellen Logs angesehen, die leider nicht mehr den ganzen Zeitraum umfassen.
40823

Am Vergleich der beiden großen Pakete "letzte Tage" und "letzte 24 Stunden" ist der Rückgang deutlich erkennbar. Was ich aber interessant (resp. bedenklich) finde, worauf auch Wanne schon hingewiesen hat, dass die anscheinend etliche verschiedene SADDR-IPs auf einem System verwenden. Die Subnetze /24 und teilweise /16 sind auffällig oft gleichbleibend...

[wanne]

Was ist denn dann überhaupt der Sinn der Aktion, wenn die einfach nur feuern, ohne zu gucken, ob die was getroffen haben? Was passiert denn mit Zufallsteffern, von denen die ja dann gar nix mitkriegen?

Na zwei Möglichkeiten: Kunde ist zufrieden und zahlt weiter. Dann gehts weiter oder halt nicht, dann ist, wie bei dir, halt 12 Schluss. Ob man da jetzt den falschen getroffen hat oder nicht genug ressourcen hatte ist dem DDOS-Anbieter Wurst.
Das erklärt btw. auch warum die wenig Interesse an Monitoring haben. Das ist "Aufgabe" vom Kunden, der das meist eher spärlich tut.

[TomL]

Na zwei Möglichkeiten: Kunde ist zufrieden und zahlt weiter. Dann gehts weiter oder halt nicht, dann ist, wie bei dir, halt 12 Schluss. Ob man da jetzt den falschen getroffen hat oder nicht genug ressourcen hatte ist dem DDOS-Anbieter Wurst. Das erklärt btw. auch warum die wenig Interesse an Monitoring haben. Das ist "Aufgabe" vom Kunden, der das meist eher spärlich tut.

Wie meinst Du das "Kunde ist zufrieden und zahlt weiter". Wie fliesst denn das Geld in Richtung derer, die Attackieren? Wo ist denn da überhaupt ein Abgleich, ein Austausch, irgendwas... wenn doch sowohl Opfer als auch Täter gar nix voneinander wissen. Ich verstehe das nicht.

Aber um das Thema jetzt mal technisch abzuschließen... die Normalität ist zunächst mal zurückgekehrt: @mat6937, dieser eher geringe Umfang war auch bisher der Grund, warum ich die Logs beibehalten will... ich sehe mit einem Blick zusammengefasst, ob mir irgendwas kopfzerbrechen bereiten sollte.

Code: Alles auswählen

Netfilter Blacklisted:
5.188.0.0/16
71.6.0.0/16
84.95.0.0/16
106.75.0.0/16
139.162.0.0/16
184.105.0.0/16
185.53.0.0/16
191.96.0.0/16
191.101.0.0/16
198.108.0.0/16
208.93.0.0/16
216.218.0.0/16

Journal accumulation blacklisted IPs with connection attempts yesterday:
      8 SRC=84.95.214.222
      1 SRC=71.6.232.7
      1 SRC=216.218.206.84
      1 SRC=208.93.152.20

Journal accumulation blacklisted IPs with connection attempts at last few days:
      8 SRC=84.95.214.222
      1 SRC=71.6.232.7
      1 SRC=216.218.206.84
      1 SRC=208.93.152.20
      1 SRC=208.93.152.17
      1 SRC=198.108.66.70
      1 SRC=185.53.91.150
      1 SRC=139.162.125.159

Journal accumulation temporarily banned IPs with connection attempts yesterday:
      2 SRC=110.249.212.46

Journal accumulation temporarily banned IPs with connection attempts at last few days:
      3 SRC=172.247.55.148
      2 SRC=110.249.212.46

Connection attempts yesterday:
E6320/2.247.242.220             19. Aug. 2019   Mon  15:47:15
35.195.84.222                   19. Aug. 2019   Mon  05:17:52
110.249.212.46                  19. Aug. 2019   Mon  05:48:29
110.249.212.46                  19. Aug. 2019   Mon  05:48:29
146.88.240.25                   19. Aug. 2019   Mon  08:02:23
169.197.108.6                   19. Aug. 2019   Mon  23:36:35
185.101.33.134                  19. Aug. 2019   Mon  04:42:58

Connection attempts summary at last few days:
E6320/2.247.242.220             19. Aug. 2019   Mon  15:47:15
E6320/2.247.242.248             17. Aug. 2019   Sat  18:16:04
E6320/2.247.242.248             17. Aug. 2019   Sat  18:17:58
18.136.107.20                   15. Aug. 2019   Thu  06:36:29
35.195.84.222                   19. Aug. 2019   Mon  05:17:52
37.49.231.15                    18. Aug. 2019   Sun  17:03:42
45.83.65.2                      17. Aug. 2019   Sat  10:12:16
45.83.66.128                    17. Aug. 2019   Sat  05:34:46
49.234.186.188                  17. Aug. 2019   Sat  13:19:57
54.153.119.60                   17. Aug. 2019   Sat  13:36:50
54.198.159.218                  15. Aug. 2019   Thu  05:33:18
60.191.38.77                    15. Aug. 2019   Thu  06:31:27
61.219.11.153                   15. Aug. 2019   Thu  14:43:27
66.240.205.34                   16. Aug. 2019   Fri  05:29:16
66.240.205.34                   18. Aug. 2019   Sun  01:39:36
77.247.108.77                   16. Aug. 2019   Fri  18:17:09
77.247.108.77                   17. Aug. 2019   Sat  08:41:42
77.247.108.77                   18. Aug. 2019   Sun  01:17:25
78.39.67.210                    16. Aug. 2019   Fri  07:26:50
80.82.70.118                    18. Aug. 2019   Sun  02:54:01
103.93.76.52                    15. Aug. 2019   Thu  15:01:07
104.200.24.128                  15. Aug. 2019   Thu  01:45:52
107.170.200.63                  18. Aug. 2019   Sun  01:26:16
110.249.212.46                  17. Aug. 2019   Sat  00:27:33
110.249.212.46                  19. Aug. 2019   Mon  05:48:29
110.249.212.46                  19. Aug. 2019   Mon  05:48:29
113.96.223.207                  17. Aug. 2019   Sat  07:55:56
145.239.205.42                  16. Aug. 2019   Fri  10:25:44
145.239.205.42                  16. Aug. 2019   Fri  10:25:44
146.88.240.20                   17. Aug. 2019   Sat  03:00:52
146.88.240.25                   19. Aug. 2019   Mon  08:02:23
146.88.240.37                   16. Aug. 2019   Fri  06:13:38
162.209.181.236                 16. Aug. 2019   Fri  06:18:06
162.209.181.236                 16. Aug. 2019   Fri  06:18:06
162.243.137.229                 18. Aug. 2019   Sun  04:24:19
162.243.150.58                  16. Aug. 2019   Fri  17:57:13
164.52.24.162                   18. Aug. 2019   Sun  00:16:59
167.71.10.167                   17. Aug. 2019   Sat  20:03:48
167.71.10.167                   18. Aug. 2019   Sun  14:24:49
169.197.108.6                   19. Aug. 2019   Mon  23:36:35
172.104.242.173                 15. Aug. 2019   Thu  15:17:55
172.105.86.120                  17. Aug. 2019   Sat  17:38:41
172.247.55.148                  18. Aug. 2019   Sun  09:27:44
172.247.55.148                  18. Aug. 2019   Sun  09:27:45
180.179.20.251                  16. Aug. 2019   Fri  09:24:38
185.101.33.134                  19. Aug. 2019   Mon  04:42:58
193.106.29.210                  16. Aug. 2019   Fri  14:27:29
193.106.29.210                  18. Aug. 2019   Sun  20:38:41
195.142.115.111                 16. Aug. 2019   Fri  18:43:31
209.17.97.90                    16. Aug. 2019   Fri  01:25:00

Connections accept summary at last few days:
2.247.242.220                   19. Aug. 2019   Mon  15:44:33
2.247.242.248                   17. Aug. 2019   Sat  18:15:58
2.247.242.248                   17. Aug. 2019   Sat  18:17:02


VPN-Access - Festgestellt:  Di 20. Aug 00:01:02 CEST 2019

[mat6937]

@mat6937, dieser eher geringe Umfang war auch bisher der Grund, warum ich die Logs beibehalten will...

OK.

Wie war das im Zeitraum bzw- während der massiven Attacken, ... hat dein Router (als border device) und/oder deine Geräte (inkl. der Server) noch Zugang ins Internet (d. h. nach außen), ... oder war das auch beeinträchtigt durch diese massiven Attacken?

[TomL]

Nee, leider... ob es Beeinträchtigungen gab, konnte ich nicht genau feststellen.... ich habe zumindest nichts vordergründiges bemerkt. Was ich mir allerdings schon vorstellen kann, dass systemd-journald auf dem Server stark belastet war... es wurden ja in relativ kurzer Zeit quasi in Dauer-Feuer-Manier Logeinträge geschrieben. Aber auch da hätte ich das nur bemerkt, wenn ich vielleicht gerade selber bezgl. der angreifenden CPU-Last konkurrierende Jobs gestartet hätte, vielleicht mit viel Schreiben und Lesen von der Platte z.B. beim Kopieren. Aber das macht man ja auch nicht ständig. Von meinem Backup-Konzept habe ich auch keine Fehlermeldung bekommen - ich will mal sehen, ob ich noch die Lauf-Zeiten vergleichen kann.Und der ganze Kleinkram wie Mail, cups, Samba ist da wohl mehr oder weniger unbehelligt durchmarschiert. Ich vermute mal, meine DSL-Verbindung hatte dabei sogar durchaus auch noch Reserven... aber auch dabei kann ich nur raten oder schätzen. Ich glaube, der größte Stress lag wohl bei mir und weniger im Netzwerk weil ich erst mal mit einer Einschätzung der Situation einigermaßen überfordert war. Dieses Ausmaß war für mich tatsächlich eine neue Erfahrung.

[mat6937]

Und der ganze Kleinkram wie Mail, cups, Samba ist da wohl mehr oder weniger unbehelligt durchmarschiert. Ich vermute mal, meine DSL-Verbindung hatte dabei sogar durchaus auch noch Reserven...

OK, das meinte ich (... und nicht wegen einer evtl. Belastung der Geräte durch das Loggen bzw. das Abwehren des Angriffs). D. h. ein Upload von dir irgendwohin ins Internet oder ein Download über einen anderen Port von einem deiner Geräte in Richtung Internet, hätte weiterhin funktioniert.
Ich frage deshalb, weil ich einen Server direkt im Internet (ohne Router) habe und der ist so eingerichtet/konfiguriert, dass wenn er aus irgendeinem Grund für >/= 30 Minuten keinen Zugang ins Internet hat, herunter fährt. Bis jetzt stimmen die Down-Zeiten mit den wenigen nächtlichen Wartungszeiten (> 30 min) meines ISP, überein.

[TomL]

Diese verdammten Mist-Bots.... ... jetzt geht das schon wieder los.....

Code: Alles auswählen

Netfilter Blacklisted:
5.188.0.0/16
71.6.0.0/16
84.95.0.0/16
106.75.0.0/16
139.162.0.0/16
184.105.0.0/16
185.53.0.0/16
191.96.0.0/16
191.101.0.0/16
198.108.0.0/16
208.93.0.0/16
216.218.0.0/16

Journal accumulation blacklisted IPs with connection attempts yesterday:
      1 SRC=185.53.91.150

Journal accumulation blacklisted IPs with connection attempts at last few days:
      1 SRC=185.53.91.150

Journal accumulation temporarily banned IPs with connection attempts yesterday:
   1006 SRC=34.204.127.143
    792 SRC=54.84.236.184
    671 SRC=35.153.29.228
    647 SRC=34.236.210.142
    623 SRC=18.233.252.8
    425 SRC=35.168.86.183
    424 SRC=3.210.226.246
      5 SRC=110.249.212.46

[debianuser4782]

Ich kam die letzten Tage und heute ab 22 Uhr nur mit Unterbrechungen ins Internet.
Ich habe heute aus Neugier mal in den gufw-Bericht geschaut und mir ist folgendes aufgefallen:

Protokoll: UDP
Anschluss (Port?): Hat andauernd gewechselt 44389, 35296, 4033965, 41378, 48427, 59312 ...usw
Adresse: 169.254.9.76
Anwendung: systemd-timesyncd

Anschließend habe ich im terminal den Befehl "ip monitor" eingegeben und dann nach ein paar Minuten das hier gesehen:40961
Nach einem Profilreset in gufw und Neustart des Systems war der Spuk erstmal vorbei. Ist das eine DDos-Attacke? Oder sind das nur Anfragen von einem falsch beendeten openvpn- / Tor-Daemon? Hätte es Einfluss auf einen Angriff, wenn man in den Firewalleinstellungen vorübergehend "verwerfen" oder "ablehnen" auswählt?

[TomL]

Hast Du im DSL-Router für vom Internet kommende Verbindungsanfragen offene Ports eingestellt und eine Weiterleitung auf den PC eingerichetet? Welche Ports für welche IP-Protokolle sind das?

[debianuser4782]

Es handelt sich um ein von vodafone bereitgestelltes neues Kabel-Modem von "cbn".
Modell: CH7466CE (https://kabel.vodafone.de/static/media/ ... 7466CE.pdf)
Firmware Version: CH7466CE-4.50.20.3-NOSH
Ich benutze ausschließlich LAN.
Die Einstellungsmöglichkeiten bei diesem Modem sind gering. Ich überlege mir daher eine fritzbox zu kaufen:
40962
---------------------
selbst installierte pakete auf meinem System (debian buster ohne unfreie firmware):
xorg openbox slim feh tint2 lxrandr mousepad pcmanfm gufwn macchanger apt-transport-tor tor apparmor-profiles apparmor-profiles-extra pulseaudio openvpn dnscrypt-proxy qemu-kvm libvirt-clients libvirt-daemon-system virt-manager

ipv6 hab ich im OS deaktiviert.
Ich gehe über 2 Tails VMs udn eine debian testing VM (ggf mit kommerziellem) VPN ins Internet
Auf dem Host habe ich einen komerziellen VPN-Anbieter über openvpn laufen. Ich gehe davon aus, dass der Verkehr der Tails-VMs durch den VPN tunnel - jedenfalls aber der nicht torifizierte Traffic aus den VM (bei Tails der "unsafe browser" und in der debian VM der normale Browser) - geleitet wird.
Ich benutze oft den suspend-Modus anstatt über Nacht nach den Laptop auszuschalten. Am Tag starte ich alle Verbindungen manuell neu, da ich hierfür noch keine Automatisierung basteln konnte.
Bei dnscrypt-proxy gehe ich davon aus, dass das Programm nach dem Installieren automatisch funktioniert.
Bei gufw habe ich "Zuhause" aktiviert (eingehend: Verweigern ausgehend: erlauben)
Bei den komerziellen VPNs und gufw weiß ich, dass du diese lieber entfernt hättest. Ich will das aber im Moment so, soweit es nicht (potentiell) schadet.
--------------------------------
Eine Weiterleitung auf dem PC habe ich meines Wissens nicht eingerichtet. Was ist eine Weiterleitung genau?
Um für vom Internet kommende Verbindungsanfragen offene Ports einzustellen reichen obige Einstellungsoptionen meines Routers aus? (https://kabel.vodafone.de/static/media/ ... 7466CE.pdf)
Ich kann frühestens heute abend oder morgen wieder antworten.
Vielleich relevant: Aktuelle Gefährdungsmeldung aus den IT-Bereich hinischtlich Kabel-Modems:
https://www.heise.de/security/meldung/C ... 39967.html

[TomL]

Eine Weiterleitung auf dem PC habe ich meines Wissens nicht eingerichtet. Was ist eine Weiterleitung genau?
Um für vom Internet kommende Verbindungsanfragen offene Ports einzustellen reichen obige Einstellungsoptionen meines Routers aus?

Wenn vom Internet eine TCP- oder UDP-Anfrage am Router ankommt, kann der damit eigentlich nix anfangen... solche Pakete haben immer ein durch ein Protokoll festgelegtes standardisiertes Ziel, z.B. Port 80 für HTTP, Port 443/HTTPS, 22/SSH, 21/FTP, 1194/VPN, 445/CIFS, usw.... da gibts unzählige. Auf dem Router existieren dafür üblicherweise keine für unsere Ansprüche passenden Programme, also muss der Router das Paket an ein Ziel im LAN weiterleiten, also auf irgendeinen Server, der für dieses Paket und dieses Protokoll eine entsprechende Anwendung (Daemon) laufen hat und auf dem entsprechenden Port am Netzwerkinterface lauscht.
Ich würde erwarten, dass jeder DSL-Router im Regelfall solche Möglichkeiten hat. Und wenn man diese Port-Freigaben nicht bewusst und vorsätzlich im Router freischaltet, sollte der Router solcherart infrage kommenden Pakete einfach verwerfen... was er vermutlich täglich millionenfach auch erfolgreich tut. Man kann das durchaus als rudimentäre Firmware-Firewall des Routers bezeichnen.

Also, kurz gesagt, hast Du da nix freigegeben, sind das mit ziemlicher Sicherheit auch keine Attacken aus dem Internet, sondern lokaler Traffic, der von innerhalb des LAN initiiert wurde, wobei der aber eben auch ins Internet gehen kann und anschließend mit irgendwas als Response auch wieder zurückkommt.

Bei den komerziellen VPNs und gufw weiß ich, dass du diese lieber entfernt hättest. Ich will das aber im Moment so, soweit es nicht (potentiell) schadet.

Tja, das kann die Ursache sein...es muss nicht, aber es kann. Wenn Du also eine unfreie proprietäre Software eines quasi anonymen VPN-Providers installiert hast (als Binary), dessen wahre Absichten Du gar nicht kennst, weisst Du auch nicht, was diese Software tut. Du hast keinerlei Kontrolle darüber, ob sie Verbindungen ins Internet aufbaut und möglicherweise auch lokale Ressource irgendwem zur Verfügung stellt.

Wie Deine UFW da jetzt reinspielt und ob die da irgendwas blockiert hat, weiss ich nicht... oder anders gesagt, sie hat ja was blockiert, man weiss aber nicht, wie viel sie nicht blockiert hat, weil sie es nicht bemerkt hat, wenn Verbindungen von innen heraus established wurden.

Ich persönlich bin an der Stelle wohl eher kompromisslos und rigoros eingestellt... ich würde einen solchen PC als kompromittiert betrachten und vermutlich komplett neu aufsetzen. Aber wie gesagt, das muss man nicht unbedingt ernst nehmen... ist halt nur meine Meinung.

[debianuser4782]

Die debianfremde VPN-Software habe ich nur in der debian-testing-VM installiert. Es handelte sich um eine run-datei, die ich mit sudo installieren musste. Sudo habe ich anschließend wieder deinstalliert. Der bekanntere VPN Anbieter wirbt zudem damit, dass die Software seit 2018 open-source ist. Inwieweit das stimmt, kann ich nicht nachprüfen.

Auf dem Host würde ich sowas nicht machen. Ich benutzer hier das Paket openvpn, welches im Ordner /etc/openvpn auf die vom VPN-Abieter bereitgestellten und von mir dort hineinkopierten Dateien zugreift. Dabei handelt es sich um eine Datei mit dem Namen ca.rsa.4096.crt + crl.rsa.4096.pem (Zertifikat, Schlüssel, Verbindungsart) und den ovpn-Dateien für die verschiednen Locations. In diesen Dateien sehe ich keine Gefährdung für das System, auch wenn openvpn auf diese zugreift.

Ich sehe es aber genauso wie Du und werde das System bei Gelegeheit mal neu aufsetzen, da es jetzt schon etwas betagter ist. Dass mein System kompromittiert ist, kann ich mir nicht denken. Aber in der Tat erschienen im terminal nach wie vor die vielen IPs auch nachdem ich meine 3 VMs ausgeschaltet habe. Bleibt also nur noch Tor und openvpn auf dem Host, wo was passiert sein könnte. Vielleicht war es nur ein Konflikt zwischen gufw und Tor durch falsches reboot/shutdown des PCs.

Ich habe noch folgende Tests durchgeführt:

Code: Alles auswählen

debsums -a -c

40963

Code: Alles auswählen

rkhunter -c

40964

Vielen Dank für Deine Hilfe soweit. Aber weiteres Herumsuchen wäre wohl verlorene Mühe.

[TomL]

Der bekanntere VPN Anbieter wirbt zudem damit, dass die Software seit 2018 open-source ist.

Das ist manchmal eine völlig bedeutungslose Aussage, ebenso bedeutungslos wie die, dass man mit einem VPN seine Privatsphäre im Internet schützen kann, was ja auch gelogen ist. Deswegen bedeutungslos, weil die Aussage keine Erklärung über den Umfang Open Source enthält. Das kann sich auf einen bestimmten Teil des Gesamtpakets Software beziehen, wie Verbindungs-Scripte oder anderes belangloses Zeugs. Die Aussage enthält keine Zusicherung, dass nicht auch trotzdem und zusätzlich proprietäre Binaries werkeln.

Dein VM-VPN ist doch eigentlich nur ein Client-System, welches keine Verbindungen von außen annehmen sollte, also sollte das auch kein Ziel sein können. TOR auf dem Host hat damit imho auch nichts zu tun. Wenn auf dem Host allerdings ein OpenVPN-Server läuft, kann der durchaus das Ziel sein, wenn er z.B. den Default-Port 1194 verwendet, oder wenn es sich um eine m.E. ehe schwächere Installationen wie z.B. durch PiVPN handelt.

Schau doch mal in das OpenVPN-Log rein:

Code: Alles auswählen

su -
cd /ort/des/vpnlogs
grep -i "connection reset" openvpn.log

Die Kernfrage bleibt, welcher Dienst ist Ziel der Angriffe...?... das findet Du über die Logs der Dienste heraus. Auf welches System sind geöffnete Ports im DSL-Router weitergeleitet. Du wirst ja wissen, welches Dienste Du diesem System dafür eingerichtet hast.

[debianuser4782]

openvpn scheint aus meiner Sicht in keinem Ordner eine log-Datei abzulegen. Weder in /etc/openvpn noch in /var/log konnte ich was finden. Ist das so die default-Einstellung? Ich meine damals openvpn mit --no-recommends --no-suggests installiert zu haben, falls das von Relevanz sein sollte.
Im syslog vom 18.1.20 habe ich nach der IP 169.254.9.76 gesucht und das hier gefunden: 40965 (Reicht das aus, oder wird mehr vom syslog benötigt?)
Das sieht meiner Meinung nach Tor aus.
Eine wichtige Information habe ich vielleicht vergessen in meinem Beitrag vom 19.1.20 zu erwähnen: Im Bericht erschien häufiger ganz kurz "openvpn" als Anwendung neben "systemd-timesyncd" "dnsmasq" und "dhclient".

[TomL]

Eine wichtige Information habe ich vielleicht vergessen in meinem Beitrag vom 19.1.20 zu erwähnen: Im Bericht erschien häufiger ganz kurz "openvpn" als Anwendung neben "systemd-timesyncd" "dnsmasq" und "dhclient".

Im Moment ist das für mich alles erdrückend unklar... weil ich überhaupt keine Vorstellung davon habe, wie der Rechner aufgestellt ist und welche Aufgaben er hat.

Deshalb nur ein paar Hinweise:
Den Ort des OpenVPN-Logs sollte man in der server.conf des Programms finden, ein Eintrag wie:
log-append /var/log/openvpn/openvpn_udp.log
Mein weiß leider auch nicht, mit welchem Tutorial Du das eingerichtet hast und wie der Zugang über den DSL-Router reguliert ist.

systemd-timesyncd ist normalerweise kein Verbindungen annehmender Server, der Daemon holt sich eigentlich nur die Uhrzeit von einem der definierten Timeserver. Sinnvollerweise sollte man das auf den Clients auf den eigenen DSL-Router einstellen, sofern der das unterstützt

Das Duo TOR und dnsmasq kann ich nicht einschätzen. Das heißt, ich weiß nicht, ob Du Dein TOR nur als Browser nutzt oder ob Du das auch als TOR-Relay für fremde User eingerichtet hast. Das könnte beispielsweise eine Erklärung für die vielen fremden IPs sein, die da auflaufen. Ich weiß auch nicht, welche Aufgabe dnsmasq auf diesem System hat.... ist diese Kiste auch noch dhcp-Server für irgendwas oder wen?

An der Stelle wäre mal spannend, was da überhaupt an Services auf irgendwelchen Ports lauscht:

Code: Alles auswählen

# ss -tulpn
oder 
# netstat -tulpn

ggf. auch mal

Code: Alles auswählen

ss -tpn

um aktive Verbindungen zu sehen.

[debianuser4782]

Auf dem Host läuft kein Browser. Surfen und alles andere mache ich über die VMs (Videos, PDFs, Mail usw). Tor ist auf dem Host installiert, um über apt-transport-tor updates über das Tor-Netzwerk einzuspielten und Pakete über das Tor-Netzwerk herunterladen zu können. Aus diesem Grund habe ich meine sources.list torifiziert. Eine andere Aufgabe hat Tor auf dem Host bei mir nicht.
Ein Tor-Relay läuft bei mir derzeit nicht. Sollte ich soetwas mal machen, werde ich das über einen Raspberry-Pi machen, den ich an einen freien Port an den Kabel-Router hänge.
dnscrypt-proxy habe ich auf dem Host blind installiert, in der Hoffnung es gib ein Plus an Sicherheit und Anonymität (vielleicht einfach mal deinstallieren um die Sache zu vereinfachen?)
openvpn habe ich auf dem Host ganz schlicht nach dieser Anleitung installiert: https://www.privateinternetaccess.com/h ... e-terminal
(Dass der Traffic meiner Tails-VMs (=Tor-Traffic) durch den VPN-Tunnel des Host geleitet werden, ist glaube ich Wunschdenken meinerseits. Tatsächlich werden sie wohl am Tunnel vorbei geleitet. Das ist eine Baustelle von mir. Was aber funktioniert, ist dass der Traffic derjenigen Browser in den VMs durch den VPN-Tunnel des Host laufen, die nicht torifiziert sind.)
Die Bedeutung von dnsmasq erschließt sich mir nicht.
Wie man an die Log-Datei von openvpn herankommt, bin ich noch am suchen.

Code: Alles auswählen

n6e0@m8h3:~$ su -
Passwort: 
root@m8h3:~# ss -tulpn
Netid   State    Recv-Q   Send-Q      Local Address:Port     Peer Address:Port                                                                                  
udp     UNCONN   0        0           192.168.122.1:53            0.0.0.0:*      users:(("dnsmasq",pid=1139,fd=5))                                              
udp     UNCONN   0        0                10.0.2.2:53            0.0.0.0:*      users:(("dnsmasq",pid=1105,fd=4))                                              
udp     UNCONN   0        0               127.0.2.1:53            0.0.0.0:*      users:(("dnscrypt-proxy",pid=697,fd=3),("systemd",pid=1,fd=127))               
udp     UNCONN   0        0          0.0.0.0%virbr0:67            0.0.0.0:*      users:(("dnsmasq",pid=1139,fd=3))                                              
udp     UNCONN   0        0                 0.0.0.0:68            0.0.0.0:*      users:(("dhclient",pid=622,fd=7))                                              
tcp     LISTEN   0        128             127.0.0.1:5900          0.0.0.0:*      users:(("qemu-system-x86",pid=1823,fd=15))                                     
tcp     LISTEN   0        128             127.0.0.1:5901          0.0.0.0:*      users:(("qemu-system-x86",pid=1857,fd=15))                                     
tcp     LISTEN   0        128             127.0.0.1:5902          0.0.0.0:*      users:(("qemu-system-x86",pid=1897,fd=15))                                     
tcp     LISTEN   0        32          192.168.122.1:53            0.0.0.0:*      users:(("dnsmasq",pid=1139,fd=6))                                              
tcp     LISTEN   0        32               10.0.2.2:53            0.0.0.0:*      users:(("dnsmasq",pid=1105,fd=5))                                              
tcp     LISTEN   0        128             127.0.2.1:53            0.0.0.0:*      users:(("dnscrypt-proxy",pid=697,fd=7),("systemd",pid=1,fd=126))               
tcp     LISTEN   0        128             127.0.0.1:9050          0.0.0.0:*      users:(("tor",pid=967,fd=6))                                                   
root@m8h3:~# netstat -tulpn
Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 127.0.0.1:5900          0.0.0.0:*               LISTEN      1823/qemu-system-x8 
tcp        0      0 127.0.0.1:5901          0.0.0.0:*               LISTEN      1857/qemu-system-x8 
tcp        0      0 127.0.0.1:5902          0.0.0.0:*               LISTEN      1897/qemu-system-x8 
tcp        0      0 192.168.122.1:53        0.0.0.0:*               LISTEN      1139/dnsmasq        
tcp        0      0 10.0.2.2:53             0.0.0.0:*               LISTEN      1105/dnsmasq        
tcp        0      0 127.0.2.1:53            0.0.0.0:*               LISTEN      1/init              
tcp        0      0 127.0.0.1:9050          0.0.0.0:*               LISTEN      967/tor             
udp        0      0 192.168.122.1:53        0.0.0.0:*                           1139/dnsmasq        
udp        0      0 10.0.2.2:53             0.0.0.0:*                           1105/dnsmasq        
udp        0      0 127.0.2.1:53            0.0.0.0:*                           1/init              
udp        0      0 0.0.0.0:67              0.0.0.0:*                           1139/dnsmasq        
udp        0      0 0.0.0.0:68              0.0.0.0:*                           622/dhclient        
root@m8h3:~# ss -tpn
State   Recv-Q    Send-Q       Local Address:Port           Peer Address:Port                                                                                   
ESTAB   0         0               10.31.1.14:34744        217.182.196.65:443     users:(("tor",pid=967,fd=11))                                                  
ESTAB   0         0              192.168.0.2:37388       185.212.170.179:501     users:(("openvpn",pid=1739,fd=3))                                              
root@m8h3:~# 

[TomL]

Die Bedeutung von dnsmasq erschließt sich mir nicht.

Das kann ich vermutlich anhand der letzten Ausgaben auflösen. Ich nehme jetzt mal an, dass die qemu-VMs keine eigenständigen LAN-Clients sind, sondern i.ü.S. im Modus "isolated network" werkeln. Das bedeutet, die VMs haben keine LAN-IP, sondern arbeiten in einem eigenem Subnet, mit einem eigenen IP-Range, für das das auf dem physischen Host laufende dnsmasq der DHCP-Server ist. Der Traffic ins LAN oder ins Internet wird dann via Paketfilter auf dem Host genattet. Für mich besteht hier der Nachteil, dass man sie via SSH nur über den Umweg Host erreichen kann, hätten sie eine eigene LAN-IP, verhalten sie sich im Netz wie normale andere PCs, sind also auch direkt via SSH (oder VNC) erreichbar.

Der Zugriff auf die VMs erfolgt über den Qemu-internen VNC-Treiber, also gehe ich mal davon aus, dass das ganze Paket headless auf einem PC ohne Bildschirm und Keyboard läuft, aber weil das auf Localhost lauscht, sieht es aus, als wäre es eine lokale Installation mit Bildschirm und Tastatur. Schwierig, eine fremde Maschine richtig zu interpretieren, noch schwieriger ist es mit fremden Absichten.

Bei einer lokalen Installation mit Bildschirm und Keyboard/Mouse wäre statt VNC-Treiber allerdings der Spice-Treiber plus lokalen Virtviewer die bessere Wahl, das braucht dann keinen Lauscher auf offenen Ports. Aber das kann ich jetzt von hier nicht einschätzen....

Anschließend habe ich im terminal den Befehl "ip monitor" eingegeben und dann nach ein paar Minuten das hier gesehen:40961

Aber egal, dieses Listing oberhalb kann ich nicht erklären. Ich habe keine Idee, von wo bzw. aus welchem Log bzw. von welchem Daemon bzw. von welchem Programm bzw. von welcher Verbindung diese IPs herkommen. Ich habe keine Ahnung, ob das besuchte Adressen sind oder vielleicht sogar auch Besucher. Wenn sich dazu hier niemand anders äußern kann und 'ne Idee hat, muss ich passen.

[debianuser4782]

Ich bedanke mich für Deine Hilfe!

[TomL]

Monate lang war gar nix, und gestern geht wieder die Post ab... gesamtdauer etwa 24 Stunden.
Die Zahl vor der IP ist die Anzahl der Zugriffsversuche, die an meinem Paketfilter auf dem Server gescheitert sind.
Die unteren beiden Pakete "Connection attempts" zeigen, wann welche IP wirklich beim Service angekommen ist.

Code: Alles auswählen

Netfilter Blacklisted:
5.188.0.0/16
23.225.0.0/16
71.6.0.0/16
84.95.0.0/16
106.75.0.0/16
139.162.0.0/16
184.105.0.0/16
185.53.0.0/16
191.96.0.0/16
191.101.0.0/16
198.108.0.0/16
208.93.0.0/16
216.218.0.0/16

Journal accumulation blacklisted IPs with connection attempts yesterday:
      1 SRC=198.108.66.24
      1 SRC=185.53.91.28
      1 SRC=184.105.139.67

Journal accumulation blacklisted IPs with connection attempts at last few days:
     16 SRC=185.53.91.28
      2 SRC=71.6.232.7
      2 SRC=5.188.210.158
      2 SRC=208.93.153.177
      2 SRC=208.93.152.17
      2 SRC=139.162.125.159
      1 SRC=71.6.233.72
      1 SRC=71.6.233.195
      1 SRC=71.6.233.128
      1 SRC=216.218.206.68
      1 SRC=216.218.206.109
      1 SRC=198.108.67.20
      1 SRC=198.108.66.80
      1 SRC=198.108.66.69
      1 SRC=198.108.66.67
      1 SRC=198.108.66.66
      1 SRC=198.108.66.24
      1 SRC=198.108.66.236
      1 SRC=198.108.66.182
      1 SRC=198.108.66.165
      1 SRC=198.108.66.156
      1 SRC=198.108.66.104
      1 SRC=184.105.247.247
      1 SRC=184.105.247.238
      1 SRC=184.105.247.232
      1 SRC=184.105.247.227
      1 SRC=184.105.247.224
      1 SRC=184.105.247.212
      1 SRC=184.105.247.204
      1 SRC=184.105.139.67
      1 SRC=184.105.139.122

Journal accumulation temporarily banned IPs with connection attempts yesterday:
   6411 SRC=61.196.173.124
   2611 SRC=211.249.226.104
    206 SRC=66.116.104.214
    112 SRC=61.196.174.5
     65 SRC=110.249.212.46
     51 SRC=61.196.173.122
      1 SRC=104.27.181.209

Journal accumulation temporarily banned IPs with connection attempts at last few days:
   6411 SRC=61.196.173.124
   2611 SRC=211.249.226.104
    345 SRC=164.52.24.162
    206 SRC=66.116.104.214
    112 SRC=61.196.174.5
     65 SRC=110.249.212.46
     58 SRC=83.97.20.34
     51 SRC=61.196.173.122
     29 SRC=198.20.103.242
     29 SRC=107.6.171.130
     25 SRC=128.14.133.50
      3 SRC=104.27.181.209

Connection attempts yesterday:
61.219.11.153                   09. Mar. 2020   Mon  05:06:58
61.219.11.153                   09. Mar. 2020   Mon  14:06:02
89.163.143.8                    09. Mar. 2020   Mon  16:19:34
107.174.26.194                  09. Mar. 2020   Mon  14:15:44
107.174.26.194                  09. Mar. 2020   Mon  14:15:44
128.14.134.170                  09. Mar. 2020   Mon  06:52:48
162.247.74.74                   09. Mar. 2020   Mon  16:19:46
164.68.112.178                  09. Mar. 2020   Mon  17:08:48
169.197.108.6                   09. Mar. 2020   Mon  17:43:02
185.34.33.2                     09. Mar. 2020   Mon  16:22:18
192.241.218.19                  09. Mar. 2020   Mon  06:32:09
192.241.219.99                  09. Mar. 2020   Mon  17:03:04
192.241.225.141                 09. Mar. 2020   Mon  20:59:15
193.106.29.210                  09. Mar. 2020   Mon  19:15:27
195.142.115.111                 09. Mar. 2020   Mon  11:08:42

Connection attempts summary at last few days:
5.101.0.209                     06. Mar. 2020   Fri  06:03:19
5.101.0.209                     06. Mar. 2020   Fri  06:06:03
5.101.0.209                     06. Mar. 2020   Fri  08:14:41
5.8.10.202                      06. Mar. 2020   Fri  09:32:32
5.8.10.202                      06. Mar. 2020   Fri  09:32:32
37.187.74.151                   07. Mar. 2020   Sat  02:13:45
37.49.226.9                     07. Mar. 2020   Sat  14:01:02
45.143.220.167                  06. Mar. 2020   Fri  13:16:27
45.143.220.167                  06. Mar. 2020   Fri  13:16:28
45.143.220.239                  06. Mar. 2020   Fri  05:04:46
45.148.10.72                    06. Mar. 2020   Fri  03:13:08
45.227.255.224                  05. Mar. 2020   Thu  21:09:19
45.33.80.76                     06. Mar. 2020   Fri  19:15:05
45.56.78.64                     06. Mar. 2020   Fri  09:10:51
45.56.78.64                     08. Mar. 2020   Sun  02:53:23
45.56.78.64                     08. Mar. 2020   Sun  15:24:25
50.116.7.184                    07. Mar. 2020   Sat  13:38:53
51.178.78.153                   07. Mar. 2020   Sat  01:41:50
51.91.212.80                    05. Mar. 2020   Thu  06:27:29
51.91.212.80                    08. Mar. 2020   Sun  11:27:57
54.242.67.153                   06. Mar. 2020   Fri  12:44:33
61.219.11.153                   06. Mar. 2020   Fri  10:18:23
61.219.11.153                   08. Mar. 2020   Sun  00:07:22
61.219.11.153                   08. Mar. 2020   Sun  02:27:56
61.219.11.153                   08. Mar. 2020   Sun  16:22:29
61.219.11.153                   09. Mar. 2020   Mon  05:06:58
61.219.11.153                   09. Mar. 2020   Mon  14:06:02
74.82.47.3                      05. Mar. 2020   Thu  01:25:52
89.163.143.8                    09. Mar. 2020   Mon  16:19:34
92.118.160.61                   06. Mar. 2020   Fri  23:40:39
92.118.161.13                   05. Mar. 2020   Thu  18:58:10
92.246.84.210                   06. Mar. 2020   Fri  15:37:31
92.246.84.210                   06. Mar. 2020   Fri  15:37:31
94.102.56.151                   05. Mar. 2020   Thu  06:24:56
107.174.26.194                  05. Mar. 2020   Thu  16:31:01
107.174.26.194                  05. Mar. 2020   Thu  16:31:01
107.174.26.194                  06. Mar. 2020   Fri  17:12:04
107.174.26.194                  06. Mar. 2020   Fri  17:12:05
107.174.26.194                  07. Mar. 2020   Sat  12:14:03
107.174.26.194                  07. Mar. 2020   Sat  12:14:07
107.174.26.194                  09. Mar. 2020   Mon  14:15:44
107.174.26.194                  09. Mar. 2020   Mon  14:15:44
110.249.212.46                  05. Mar. 2020   Thu  09:22:22
110.249.212.46                  05. Mar. 2020   Thu  09:22:23
110.249.212.46                  05. Mar. 2020   Thu  09:24:10
110.249.212.46                  05. Mar. 2020   Thu  09:24:10
110.249.212.46                  05. Mar. 2020   Thu  09:24:12
110.249.212.46                  07. Mar. 2020   Sat  12:37:07
110.249.212.46                  07. Mar. 2020   Sat  12:37:07
110.249.212.46                  07. Mar. 2020   Sat  12:37:07
110.249.212.46                  07. Mar. 2020   Sat  12:37:07
128.14.134.170                  09. Mar. 2020   Mon  06:52:48
144.91.126.71                   06. Mar. 2020   Fri  13:41:47
144.91.88.216                   07. Mar. 2020   Sat  17:23:10
146.88.240.25                   06. Mar. 2020   Fri  19:33:48
146.88.240.27                   05. Mar. 2020   Thu  18:25:51
162.247.74.74                   09. Mar. 2020   Mon  16:19:46
164.52.24.162                   07. Mar. 2020   Sat  16:39:30
164.52.24.162                   07. Mar. 2020   Sat  16:39:30
164.52.24.162                   07. Mar. 2020   Sat  16:39:30
164.52.24.162                   07. Mar. 2020   Sat  16:39:31
164.68.112.178                  09. Mar. 2020   Mon  17:08:48
169.197.108.6                   07. Mar. 2020   Sat  13:21:44
169.197.108.6                   09. Mar. 2020   Mon  17:43:02
172.104.242.173                 08. Mar. 2020   Sun  03:51:53
172.105.89.161                  05. Mar. 2020   Thu  05:58:19
185.107.47.215                  06. Mar. 2020   Fri  04:05:04
185.220.101.60                  06. Mar. 2020   Fri  04:05:06
185.34.33.2                     09. Mar. 2020   Mon  16:22:18
192.241.213.65                  08. Mar. 2020   Sun  16:30:28
192.241.218.19                  09. Mar. 2020   Mon  06:32:09
192.241.219.99                  09. Mar. 2020   Mon  17:03:04
192.241.220.219                 06. Mar. 2020   Fri  12:23:07
192.241.224.141                 07. Mar. 2020   Sat  12:26:31
192.241.225.141                 09. Mar. 2020   Mon  20:59:15
192.241.234.143                 05. Mar. 2020   Thu  12:09:15
193.106.29.210                  06. Mar. 2020   Fri  13:43:51
193.106.29.210                  09. Mar. 2020   Mon  19:15:27
193.202.44.194                  06. Mar. 2020   Fri  07:38:34
193.202.44.194                  06. Mar. 2020   Fri  07:38:34
193.202.44.194                  08. Mar. 2020   Sun  23:40:41
193.202.44.194                  08. Mar. 2020   Sun  23:40:42
195.142.115.111                 09. Mar. 2020   Mon  11:08:42
212.83.171.224                  08. Mar. 2020   Sun  22:17:25
212.83.171.224                  08. Mar. 2020   Sun  22:17:38
222.186.19.221                  06. Mar. 2020   Fri  17:38:07
222.186.19.221                  07. Mar. 2020   Sat  15:27:47
223.71.167.164                  07. Mar. 2020   Sat  20:23:04

VPN-Access - Festgestellt:  Di 10. Mär 14:43:48 CET 2020

[Meillo]

Nachdem lange Zeit Ruhe war, haben die Zugriffsversuche bei mir vor einer Weile wieder angefangen. Immer rund ein Dutzend Zugriffe von einer Adresse, dann die naechste. Aber immer nur 20-30 pro Stunde. Nicht ernsthaft, nicht erfolgsversprechend, ... sondern einfach nur nervig.

[TomL]

So 'ne Handvoll Versuche von einzelnen IPs habe ich ja ständig.... aber fast 6½ Tausend Versuche und dann die nächste IP mit 2600 innerhalb einiger Stunden find ich im Vergleich zu Normaltagen schon heftig.