Vodafone Sicherheitswarnung - offener Dienst

[Crys]

Hallo miteinander,

ich habe eine Mail von Vodafone bekommen, ist kein Spam. Einmal zu FTP-, als auch zu MySQL-Dienst.

Sicherheitsinformation zu Ihrem Internetanschluss
[...]

Wichtiger Sicherheitshinweis vom Vodafone-Sicherheitsteam zu Ihrem Produkt vom 23.02.2025.
[...]

Es liegen uns Hinweise vor, dass an Ihrem Internetanschluss ein offener FTP Dienst aktiv ist. Diese Funktion ist für Dritte aus dem Internet öffentlich erreichbar und stellt für Sie ein Sicherheitsrisiko dar.
[...]

Weiter unten kann man noch "detaillierten Hinweise die uns zu Ihrem Anschluss vorliegen" anzeigen lassen. Leider steht da nicht mehr drin, als schon in der Mail selbst.

Ich habe einen FTP- und MySQL-Server am Laufen und hierfür auch je eine Portfreigabe eingerichtet, da aus dem Internet darauf zugegriffen werden muss. Soweit alles gut ... aber was bedeutet hier offener Dienst?

Auf beide Server kann man nur per User + PW zugreifen. Deshalb sind diese aus meiner Sicht nicht offen, sondern nur aus dem Internet frei erreichbar (wie ja im zweiten Satz der Mail). Oder?
Hier wäre der Zugriff über ein VPN natürlich "sicherer", aber nicht nötig.

Für http habe ich verschiedene vHosts eingerichtet. Dies sollte aber für ftp oder MySQL nicht der Fall sein.
Wie kann ich schnell und einfach testen, ob es (auf ftp und MySQL) keine offene Zugänge gibt?
Nicht nur für die IP, sondern auch die CNAMEs, die auf die IP verweisen.

Zum Server: Debian 12, alle Dienste sind in Docker.

Mir geht es nur darum, dass ich doch nichts vergessen oder übersehen habe.

Vielen Dank!
Chris

 

[gaym0r]

Mit offenem Dienst meinen die einfach nur, dass die Dienste aus dem Internet erreichbar sind, unabhängig davon ob mit oder ohne Credentials.
Ich frag mich wofür du einen öffentlich zugänglichen MySQL-Server benötigst...?

 

[up.whatever]

Warum benutzt man heutzutage noch FTP? Was spricht gegen ein modernes, sicheres Protokoll wie das auf SSH aufbauende SFTP?
Und warum sollte man eine Datenbank aus dem ganzen Internet erreichbar machen?

 

[dms]

Ich habe einen FTP- und MySQL-Server am Laufen und hierfür auch je eine Portfreigabe eingerichtet, da aus dem Internet darauf zugegriffen werden muss.

offener FTP Dienst aktiv ist.

du bist dir Sicher was du und warum du etwas tust?

Dein Provider hat genau das Login deines FTP Server "gefunden" und hält das erstmal für ungewollt im Privathaushalt.

Finde ich Nett

 

[madmax2010]

Hier wäre der Zugriff über ein VPN natürlich "sicherer", aber nicht nötig.

doch.
Sobald du einen dienst nackt errecihbar im Internet betreibst ist er Angreifbar.

Die gehen ohne account, einfach nur gegen den erreichbaren dienst:
https://www.rapid7.com/blog/post/20...-vulnerabilities-in-ws-ftp-server/?utm_source
https://cert.be/en/advisory/warning...erflow-vulnerability-xlight-ftp-servers-patch
https://www.tenable.com/blog/cve-20...ss-control-vulnerability-in-proftpd-disclosed
https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-20180307-wsa.html

Was spricht gegen ein modernes, sicheres Protokoll wie das auf SSH aufbauende SFTP?

Kann man gar nicht oft genug sagen

Warum ist der MySQL Server oeffentlich? Bei FTP sehe ich ja noch warum man auf die Idee kommt, bei Datenbanek nicht mehr. Ist da auch noch ein phpmyadmin dran?

 

[rezzler]

Ich habe einen FTP- und MySQL-Server am Laufen und hierfür auch je eine Portfreigabe eingerichtet, da aus dem Internet darauf zugegriffen werden muss. Soweit alles gut ... aber was bedeutet hier offener Dienst?

Das da ein Programm auf Eingaben wartet. Jeder Port, hinter dem ein Programm auf Eingaben wartet, ist offen.

Auf beide Server kann man nur per User + PW zugreifen. Deshalb sind diese aus meiner Sicht nicht offen, sondern nur aus dem Internet frei erreichbar (wie ja im zweiten Satz der Mail). Oder?

Vodafone wird nicht versuchen, sich bei den Diensten anzumelden.

Hier wäre der Zugriff über ein VPN natürlich "sicherer", aber nicht nötig.

Naja, so offene Login-Prompts können ja auch schon gefährlich werden. Irgendwann gibt's da mal ne Sicherheitslücke oder Username/Passwort werden bekannt oder so.

Wie kann ich schnell und einfach testen, ob es (auf ftp und MySQL) keine offene Zugänge gibt?

Einfach mit einem FTP- und SQL-Programm versuchen zu verbinden. Wenn du ohne Angabe von Benutzername/Passwort was erreichst ist es völlig offen.

 

[dms]

Wie kann ich schnell und einfach testen

In die Logfiles schauen, Anoyme/DEFAULT Accounts entfernen

Gegen Dienste daheim spricht per se ja nixx

Habe zB auch schonmal wegen BBB und JAMULUS zum testen daheim solches gemacht .. da wollte ich kein extra VPN im Testbetrieb ausrollen

 

[BFF]

Wie kann ich schnell und einfach testen, ob es (auf ftp und MySQL) keine offene Zugänge gibt?
Nicht nur für die IP, sondern auch die CNAMEs, die auf die IP verweisen.

Aus einem anderen Netz z.B. per nmap.

Soweit alles gut ... aber was bedeutet hier offener Dienst?

Das sie erreichbar sind, sprich ein Dienst bereit ist Anmeldungen/Anfragen anzunehmen und zu beantworten.
Das da ein Login noetig ist spielt keine Rolle.

 

[Crys]

Danke euch!
Ich gehe mal nur auf die Antworten meiner Fragen ein ...

Finde ich Nett

Definitiv! Gut, dass es so ernst gemeinte Sicherheits-Mails gibt.

Vodafone wird nicht versuchen, sich bei den Diensten anzumelden.

Das stimmt, wie sollten die das dann auch wissen.
Btw.: die Informationen kommen nicht direkt von Vodafone selbst, sondern wurden von shadowserver.org an den ISP mitgeteilt (steht weiter unten in der Mail).

In die Logfiles schauen, Anoyme/DEFAULT Accounts entfernen

Logs sind nicht auffällig und anonyme oder default Anmeldedaten gibt es grundsätzlich nicht.

Aus einem anderen Netz z.B. per nmap.

Danke, dass war auch das Einzige, was mir eingefallen ist. Hier wird auch nur die beiden gewollten Dienste angezeigt. Dann passt ja alles.

Soweit alles gut ... aber was bedeutet hier offener Dienst?

Das sie erreichbar sind, sprich ein Dienst bereit ist Anmeldungen/Anfragen anzunehmen und zu beantworten.
Das da ein Login noetig ist spielt keine Rolle.

Wenn hier das auch alle so sehen, dann hat sich von meiner Seite das Thema erledigt. Danke!

 

[BFF]

die Informationen kommen nicht direkt von Vodafone selbst, sondern wurden von shadowserver.org an den ISP mitgeteilt

Wenn shadowserver das weiss ist Shodan nicht weit weg. Und wenn man bekannt ist in deren Datenbanken wird sich ein anderweitig Interessierter auch einfinden.

Demzufolge würde ich die Logfiles sehr im Auge behalten und die Angelegenheit nicht als beendet sondern als wertvollen Hinweis betrachten.

 

[Bob.Dig]

Mir geht es nur darum, dass ich doch nichts vergessen oder übersehen habe.

Ich frag mich wofür du einen öffentlich zugänglichen MySQL-Server benötigst...?

 

[JumpingCat]

Wie kann ich schnell und einfach testen, ob es (auf ftp und MySQL) keine offene Zugänge gibt?
Nicht nur für die IP, sondern auch die CNAMEs, die auf die IP verweisen

Admin fragen....?
Aber ein CNAME (oder auch andere DNS Einträge wie A/AAAA) bieten keine Dienste an. Dienste sind immer per IP und Port erreichbar. Mitunter reicht schon ein einzelnes IP Packet ohne Login/Username und die Katastrophe nimmt seine Lauf: https://de.wikipedia.org/wiki/SQL_Slammer

Aus welchen Gründen ist da vor allem ein SQL Server bei dir am Netz? Das macht keinen Sinn, weil es keinen Client für normale Enduser gibt welche das nutzen könnten. Die Software für SQL ist auch nicht extra dafür ausgelegt sich gegen Logonversuche aus z.B. Russland/China sich zu wehren. Das ist nicht als öffentlicher Dienst entworfen wurden. Seit Jahren sieht man https://de.wikipedia.org/wiki/Zero_Trust_Security vor. Wieviele IP Adressen aus dem Internet können dem FTP/SQL Server IP Pakete schicken und welcher Prozentsatz ist berechtigt? Idealerweise sollte die Zahl gleich gross sein.

 

[dms]

https://de.wikipedia.org/wiki/SQL_Slammer

Oh Ja .. da wurde ich Opfer im Intranet mit einer im CMS inkludierten SQL-Server DB - "Shame on Me"