Demnach ist der NTP-Fehler wohl fehlerhaft konfiguriert und das müsste wohl als erstes "repariert" werden. Aber wie? Hab von NTP-Servern keine Ahnung ... ;-( Das System ist ein Debian Stable, Stand ca. Oktober 2013.Sehr geehrter Herr xxx,
hiermit informieren wir Sie darüber, dass Ihr Server (xx.xxx.xxx.xxx) mit dem Hostnamen yyy.stratoserver.net für DoS-Attacken missbraucht werden kann. Hierauf hat uns das BSI aufmerksam gemacht.
Folgende Infos liegen uns dazu vor:
[CERT-Bund#20140708xxxxxxxxx]
Sehr geehrte Damen und Herren,
in den letzten Monaten haben DDoS-Angriffe mittels NTP-Amplification weiter zugenommen. Auch eine große Anzahl in Deutschland gehosteter NTP-Server wird regelmäßig für derartige Angriffe missbraucht.
Die Angreifer nutzen dabei die 'monlist'-Funktion der NTP-Server, welche in älteren Versionen standardmäßig aktiviert war. Weitere Informationen hierzu finden Sie in den unten aufgeführten Quellen.
Im Rahmen des Shadowserver 'Open NTP Monitor Scanning Projects'
Werden NTP-Server identifiziert, welche aktuell noch eine Anfrage mittels des 'monlist'-Kommandos beantworten. Diese NTP-Server können potenziell für DDoS-Angriffe mittels NTP-Amplification missbraucht werden, sofern keine anderen Gegenmaßnahmen implementiert wurden.
Nachfolgend senden wir Ihnen eine Liste der betroffenen NTP-Server in Ihrem Netzbereich. Der Zeitstempel gibt an, wann der NTP-Server geprüft wurde und das 'monlist'-Kommando beantwortet hat.
Wir möchten Sie bitten, den Sachverhalt zu prüfen und Maßnahmen zur Absicherung der NTP-Server zu ergreifen.
Quellen:
[1] CERT-Bund: NTP: Missbrauch des monlist Kommandos ermöglicht einen
Denial-of-Service-Angriff
<https://www.cert-bund.de/advisoryshort/CB-K14-0020>
[2] CERT.org: NTP can be abused to amplify denial-of-service attack traffic
<http://www.kb.cert.org/vuls/id/348126>
[3] US-CERT: NTP Amplification Attacks Using CVE-2013-5211
<https://www.us-cert.gov/ncas/alerts/TA14-013A>
[4] NTP.org Security Notice
<http://support.ntp.org/bin/view/Main/SecurityNotice>
[5] BSI: Maßnahmen gegen Reflection Angriffe
<https://www.allianz-fuer-cybersicherhei ... downloads/
Anwender/dienste/BSI-CS_096.pdf>
[6] Shadowserver: Open NTP Monitor (Mode 7) Scanning Project
<https://ntpmonitorscan.shadowserver.org/>
Beachten Sie bitte, dass Sie für Ihren Server verantwortlich sind und erhöhter Handlungsbedarf in der Erledigung dieses Vorfalls besteht.
Wir fordern Sie hiermit auf, Ihren Server zu untersuchen, Gegenmaßnahmen zu ergreifen und uns über diese per E-Mail zu informieren.
Als spätesten Termin haben wir uns hierfür den 17.07.2014 notiert. Sollten wir bis zum Ablauf der Frist keine ausreichende Reaktion haben, müssten wir den Server zur Vermeidung weiteren Schadens spätestens sperren.
Um Ihren Server wieder abzusichern und diesen Vorgang erfolgreich zu beenden, empfehlen wir Ihnen, Ihre persönlichen Daten zu sichern und dann über Ihren gesicherten Kundenservicebereich eine Neu-Installation zu beauftragen. Anschließend sollten Sie Ihre gesicherten Daten auf Manipulationen von außen untersuchen, bevor Sie diese wieder aufspielen. Achten Sie hierbei speziell auf Veränderungen Ihrer Skripte und HTML-Dateien.
Beachten Sie auch bitte, dass Back-Ups mit großer Sicherheit bereits infiziert sind und sich daher nicht für eine Behebung dieser Ursache eignen. Es ist auch sehr wichtig, dass Sie alle verwendeten Passwörter ändern.
Für Ihre Mitarbeit zur Klärung des Sachverhalts bedanken wir uns im Voraus bei Ihnen.
Mit freundlichen Grüßen
STRATO AG | Abuse
Für Hinweise bin ich dankbar.
Gruß
Frankieboy
