Wir haben vor Kurzem festgestellt, dass viele Server durch ein NFS-Update oder veraltete Firewall-Einstellungen anfällig für eine sogenannte Reflection Attack sind. Hierbei werden die anfälligen Server durch Hacker für eine DDOS Attacke missbraucht.

Was können Sie tun:

1. Wenn NFS nicht genutzt wird, können Sie den Portmapper und NFS entfernen:

Unter Debian:

if [ ! -f /etc/exports ]; then if [ $(grep nfs /proc/mounts | wc -l) -eq 0 ]; then dpkg -P portmap nfs-common rpcbind; fi; fi


Unter CentOS, Fedora und Redhat:

chkconfig nfslock off
chkconfig rpcgssd off
chkconfig rpcidmapd off
chkconfig portmap off
chkconfig nfs off
yum remove portmap nfs-utils


2. Wenn NFS genutzt wird, per Firewall externe Zugriffe per UDP auf Port 111 blocken

iptables -A INPUT -p tcp -s! 192.168.0.0/24 --dport 111 -j DROP
iptables -A INPUT -p tcp -s 127.0.0.1  --dport 111 -j ACCEPT
iptables -A INPUT -p udp -s! 192.168.0.0/24 --dport 111 -j DROP
iptables -A INPUT -p udp -s 127.0.0.1  --dport 111 -j ACCEPT


Alle Details  dazu:

der Portmapper-Dienst (portmap, rpcbind) wird benötigt, um RPC-Anfragen
(Remote Procedure Calls) dem korrekten Dienst zuzuordnen. Der Portmapper-
Dienst wird u.a. für Netzwerkfreigaben über das Network File System (NFS)
benötigt. Der Portmapper-Dienst verwendet Port 111 tcp/udp [1].

Ein aus dem Internet erreichbarer offener Portmapper-Dienst kann von einem
Angreifer zur Durchführung von DDoS-Reflection/Amplification-Angriffen
missbraucht werden. Weiterhin kann ein Angreifer darüber Informationen
über das Netzwerk erlangen, wie z.B. laufende RPC-Dienste oder vorhandene
Netzwerkfreigaben.

In den letzten Monaten wurden Systeme, welche Anfragen aus dem Internet
an den Portmapper-Dienst beantworten, zunehmend zur Durchführung von
DDoS-Reflection/Amplification-Angriffen missbraucht [2].

Im Rahmen des Shadowserver 'Open Portmapper Scanning Projects' werden
Systeme identifiziert, welche Anfragen an den Portmapper-Dienst aus dem
Internet beantworten. Diese Systeme können für DDoS-Angriffe missbraucht
werden, sofern keine anderen Gegenmaßnahmen implementiert wurden.

CERT-Bund erhält von Shadowserver die Testergebnisse für IP-Adressen in
Deutschland, um betroffene Systembetreiber benachrichtigen zu können.
Weitere Informationen zu den von Shadowserver durchgeführten Tests
finden Sie unter [3].

Nachfolgend senden wir Ihnen eine Liste betroffener Systeme in Ihrem
Netzbereich. Der Zeitstempel gibt an, wann das System geprüft wurde und
eine Anfrage an den Portmapper-Dienst aus dem Internet beantwortet hat.

Wir möchten Sie bitten, den Sachverhalt zu prüfen und Maßnahmen zur
Absicherung der Portmapper-Dienste auf den betroffenen Systemen zu
ergreifen bzw. Ihre Kunden entsprechend zu informieren.

Falls Sie kürzlich bereits Gegenmaßnahmen getroffen haben und diese
Benachrichtigung erneut erhalten, beachten Sie bitten den angegebenen
Zeitstempel. Wurde die Gegenmaßnahme erfolgreich umgesetzt, sollten
Sie keine Benachrichtigung mit einem Zeitstempel nach der Umsetzung
mehr erhalten.

Referenzen:

[1] Wikipedia: Portmap
    https://en.wikipedia.org/wiki/Portmap
[2] Level 3: A New DDoS Reflection Attack: Portmapper
    http://blog.level3.com/security/a-new-ddos-reflection-attack-
     portmapper-an-early-warning-to-the-industry/
[3] Shadowserver: Open Portmapper Scanning Project
    https://portmapperscan.shadowserver.org/
[4] US-CERT: UDP-based Amplification Attacks
    https://www.us-cert.gov/ncas/alerts/TA14-017A