Guten Abend,
ich hoffe mal, hier gibt's ein paar Sicherheitsprofis. Eigentlich bin ich mir relativ sicher, dass ich hier keinen Mist gebaut hab. Wär aber schön, wenn ich mal ein paar zusätzliche Anregungen bekomm.
Ausgangslage/-konfiguration:
Ich hab bei Noez seit ein paar Monaten einen VServer gemietet.
Noez hat mir heute eine Mail über eine Traffic-Warnung geschrieben:
Wie ist das Ding abgesichert:
Jetzt hab ich aufgerüstet und iftop, nethog, dstat installiert. Bei dstat werden mir nur die erwarteten Prozesse angezeigt. rkhunter hat nichts Verdächtiges gefunden. Allerdings zeigen iftop und nethog:
Das für mich Interessante daran ist, dass keine IP (5.230.x.x) der meines V-Servers entspricht. Ich kann die Verbindungen auch nicht mit ss oder netstat anzeigen lassen.
Zusätzlich zu rkhunter hab ich noch die Cronjobs* und den Systemstart überprüft. Es gibt keine verdächtigen Dienste und keinerlei Cronjobs. "w" zeigt mir nur meine Nutzer an. Die Liste von ps ist sehr übersichtlich (26 Einträge). top langweilt sich. Mail (postfix) ist deinstalliert. /var/log/mail zeigt ein paar wenige Einträge vom Juli an, als ich den Server mal reinstallieren musste.
Fazit:
Kann es sein, dass
Wie krieg ich ansonsten raus, ob auf dem V-Server nicht irgendwas läuft, was bisher vor meinen Augen verborgen geblieben ist?
ich hoffe mal, hier gibt's ein paar Sicherheitsprofis. Eigentlich bin ich mir relativ sicher, dass ich hier keinen Mist gebaut hab. Wär aber schön, wenn ich mal ein paar zusätzliche Anregungen bekomm.
Ausgangslage/-konfiguration:
Ich hab bei Noez seit ein paar Monaten einen VServer gemietet.
- OS: Debian 11
- LX-Container (LXC)
- Preis: 1,29€/Monat
- Einsatzzweck: Wireguard-Server zwischen IPv6-Netz (Deutsche Glasfaser) + IPv4-Netz (Smartphones + Netz meiner Eltern). Ab und zu mal VNC für die Fernwartung. Ansonsten sind keine Datenschleudern dabei.
- Unbound DNS-Server: für interne DNS-Namen in den unterschiedlichen Netzen. Aufgrund der Firewall nicht von außen erreichbar (kein Public DNS-Resolver).
Noez hat mir heute eine Mail über eine Traffic-Warnung geschrieben:
In der Weboberfläche steht dazu:wir schreiben Dir bezüglich deines vServers mit der ID xxxxx & der primären IP-Adresse 5.230.72.xxx. Wir haben festgestellt, dass Du deinen Server ausgiebig nutzt, was auch toll ist! Derzeit hat Dein Server ein Traffic-Volumen von 75% verbraucht.
Die Zahl ist mir unerklärlich.Trafficverbrauch: 759.11 GB/1000 GB
Wie ist das Ding abgesichert:
- SSH-Port ist auf 222 gelegt. Login nur per Root mit SSH-Key. SSH per Login+Passwort ist deaktiviert. Einen anderen User mit Login-Shell gibt es nicht auf dem Server.
- Fail2ban steht unter Dauerattacke. Nach jedem 3. Fehlversuch landet die IP in einer Blacklist. Je nach Uptime stehen da gern mal ein paar Tausend IPs drin. Aus dem Log geht hervor, dass kaum eine attackierende IP mehrfach vorkommt.
- Wireguard läuft auf Port 580xx/UDP. Für das Wireguard-Device sind logischerweise alle Ports offen.
- Firewall ist NFTables: Alle eingehenden Verbindungen außer auf den Ports 580xx/UDP und SSH/222 sind dicht für eth0. (nmap bestätigt mir das für IPv4 + IPv6)
Jetzt hab ich aufgerüstet und iftop, nethog, dstat installiert. Bei dstat werden mir nur die erwarteten Prozesse angezeigt. rkhunter hat nichts Verdächtiges gefunden. Allerdings zeigen iftop und nethog:
Code:
NetHogs version 0.8.5-2+b1
PID USER PROGRAM DEV SENT RECEIVED
? root 5.230.73.78:50875-103.161.34.96:5422 0.000 585.387 KB/sec
? root 5.230.73.78:54614-103.161.34.96:5422 0.000 187.732 KB/sec
? root 5.230.71.28:8128-94.242.53.42:51925 0.000 7.080 KB/sec
? root 5.230.67.240:40470-93.123.102.185:443 0.000 0.587 KB/sec
? root 5.230.67.240:443-172.71.250.27:10816 0.000 0.552 KB/sec
? root 5.230.67.240:41876-93.123.102.189:443 0.000 0.523 KB/sec
Zusätzlich zu rkhunter hab ich noch die Cronjobs* und den Systemstart überprüft. Es gibt keine verdächtigen Dienste und keinerlei Cronjobs. "w" zeigt mir nur meine Nutzer an. Die Liste von ps ist sehr übersichtlich (26 Einträge). top langweilt sich. Mail (postfix) ist deinstalliert. /var/log/mail zeigt ein paar wenige Einträge vom Juli an, als ich den Server mal reinstallieren musste.
Code:
for i in $(cut -f1 -d: /etc/passwd); do crontab -l -u $i; done
Fazit:
Kann es sein, dass
- ich mit nethogs die Netz-Verbindungen der anderen LXC seh, die da auf dem Server noch laufen?
- eventuell die Traffic-Berechnung durch noez nicht ganz korrekt funktioniert?
Wie krieg ich ansonsten raus, ob auf dem V-Server nicht irgendwas läuft, was bisher vor meinen Augen verborgen geblieben ist?
Zuletzt bearbeitet: