Abuse Meldung für meinen Server (Windows Server 2016) erhalten

  • Hallo @red51
    Hallo Leute,


    habe heute eine Abuse-Meldung von meinem Anbieter erhalten und leider kann ich nicht sonderlich viel damit anfangen:
    (Es ist definitiv keine SPAM!)


    Was soll ich machen?

  • Die Meldung besagt, dass der LDAP auf Port 389 (UDP) unter der IP 193.31.25.214 öffentlich erreichbar sei. Die Meldung besagt auch, dass der Server an einem großangelegten DDoS Angriff teilgenommen hätte. Das heißt nicht unbedingt, dass der Server kompromitiert wurde, denn der offene Port kann für einen Reflection-Angriff verwendet worden sein.


    Wenn du das LDAP über diesen Port nicht benötigst ist es am einfachsten, wenn du ihn in der Firewall sperrst (wenn du ihn gar nicht benötigst am besten TCP und UDP). Auf dieser Webseite kannst du (vorher und nachher) prüfen, ob der Port von außen erreichbar ist: http://www.dnstools.ch/port-scanner.html


    Sobald der Port nicht mehr von außen erreichbar ist solltest du auf die Mail antworten, da ja ansonsten damit gedroht wird, den Server zu sperren.

  • Vielen Dank für die Antwort.


    Ich nutze aber ActiveDirectory mit dem Server.


    Wenn ich also den Port sperre, dann kann ich ActiveDirectory nicht mehr nutzen.


    Kann man irgendwie so einstellen, dass nur bestimmte PCs auf den Port zugreifen dürfen?

  • Naja, das kommt ein wenig darauf an, wie du Active Directory verwendest (intern oder extern). Auch spielt es eine Rolle, ob du evtl. mehrere Server verwaltest, oder nur diesen einen.
    Zugriff nur für einen spezifischen PC zu gewähren ist etwas komplizierter, da du ja regelmäßig eine neue IP erhälst (es sei denn, du hast eine statische IP Adresse). Hier wäre ein VPN eigentlich eine sinnvolle Lösung, also dass der Zugriff nur noch über das VPN möglich ist.

  • Eigentlich müsste doch sein Hoster, nachprüfen können, wer da angeklopft hat oder nicht ? bzw. wer den Port da benutzt hat oder soll.

    Da laut Mail der Server für einen größeren DDoS Angriff missbraucht wurde (vmtl. als Teil eines Reflection Angriffs, was über diesen Port lief), wird man den eigentlichen Drahtzieher niemals erwischen...

  • Ne Red, ich meinte das eigentlich anders, eher so das der Hoster sich selbst fragen müsste ob der Server von dem Kunden noch autark ist. Weil ich kann die Abusemeldung irgendwie nicht nachvollziehen oder ist das standardmässig vorgeschrieben ?

  • Ich habe inzwischen das Problem gelöst. Vielen Dank.


    Aber noch zum Thema:


    Nach weiterer Rücksprache mit dem Anbieter, habe ich erfahren, dass zwar die E-Mail von Anbieter kommt, aber die eigentliche Abusemeldung kommt von jemand anders. Mein Anbieter hat gar nichts davon gewusst, dass mein Server für ein DDoS Angriff genutzt worden ist. Sie haben eine E-Mail erhalten ( ist der Bereich der E-Mail, der auf Englisch ist) und die dann entsprechend weitergeleitet.

  • Ja sowas hab ich mir schon gedacht, weil das der Anbieter einfach so eine Mail an seinen Kunden schickt, wäre in meinen Augen doch sehr ungewöhnlich .. Wenn man da nicht einen guten Anbieter hat bzw. einen der nicht sogut auskennt, dann kann man da echt Probleme bekommen.


    Aber schön, das du das Problem gelöst hat ;D

Participate now!

Don’t have an account yet? Create a new account now and be part of our community!