Zum Inhalt der Seite gehen


Meine Odysee mit einem gesperrten #Hetzner #server
Hetzner sperrte mir einen Server, weil sie von ihm einen Portscan entdeckten. Laut dump den ich bekam, probierte der Server IP Adressen von 235.185.x.x jeweils auf Port 443 durch, ob jemand zuhört. Portscans sind von Hetznerservern aus nicht erlaubt. Also wird die IP gesperrt. Der Server war mein Wireguard Endpunkt, also erstmal suchen, wo der Fehler liegt. Ein vermuteter Plasterouter wurde von mir aus dem VPN genommen, Server wieder entsperrt. Wenige Tage passiert das nochmal, und die IP wird wieder gesperrt.
Nur dieses mal will Hetzner den Server nicht mehr entsperren, auch wenn er komplett neu aufgesetzt ist, alle Keys fürs Wireguard neu erstellt, etc. Nein, da muss ja irgendwo noch ein Fehler sein, den soll ich gefälligst erstmal finden. Das war auch kein Scan mit hunderten parallelen Anfragen, es wurden in etwas mehr als 3 Minuten ein paar Hundert IP Adressen auf Port 443 angeklopft. Es war halt genug, dass die Erkennung bei Hetzner ansprang, aber es wurde keine Netzwerkkapazität beeinträchtigt.
Da ich mein VPN gerne wieder gehabt hätte geht die Suche also weiter. Die IP Adressen gehören Criteo, Online Werbung. Ah-ha, hat sich irgendwer Werbesoftware im VPN eingetreten? Zeitstempel des Dumps von Hetzner angeschaut. Siehe da, zeitgleich war ich mit meinem Rechner bei wetteronline.de
Eine kurze Suche nach Criteo und wetteronline bringt folgendes hervor: criteo.com/de/success-stories/…
"WetterOnline verdoppelt die App-Umsätze mit Criteo Direct Bidder." Ah, ha. scannt sich da criteo etwa selbst? Also schnell ohne Überzieher, also Adblocker, auf wetteronline gesurft, und parallel einen TCPdump laufen lassen. Plötzlich kommt eine komische DNS Abfrage vorbei nach "gbc1.nl3.eu.criteo.com". Diese liefert 28 IP Adressen aus der gescannten range zurück. ( gbc2.xxxx bis gbc8.xxx liefern alle eine ähnliche Anzahl IPs zurück) Dann probiert irgendein Script auf der Homepage ein paar davon durch auf 443, bis es sich irgendwo verbindet.
Sprich criteo scannt sich selbst zum load balancing, und ich darf mich dafür rechtfertigen. Und so etwas findet man auch nicht in fünf Minuten raus, die Zeit hätte ich gerne anders genutzt.
Nachdem ich Hetzner mitgeteilt habe, dass eine Werbeschleuder sich selbst scannt, und versichert habe, dass ich den kompletten Criteo Adressblock per UFW ausgehend geblockt habe wurde mein Server wieder entsperrt.
Also, falls jemand UFW am laufen hat und keinen Bock auf criteo hat:
edited: UFW Regel nach Hinweis aus Kommentaren angepasst.
ufw deny out from any to 185.235.84.0/22
Als Antwort auf Sven222

Werbe/Trackinganbieter, echt die _Pest_ auf diesem Planeten.

Alles einstampfen :<

Als Antwort auf ~n

@manawyrm
…und was criteo angeht, gibts da noch mehr netblocks die man nullrouten oder filtern kann, um die welt eine bessere zu machen:

whois -i or AS44788|grep route

Danke für den Hinweis, gerade hier in den globalen Schmutzfilter eingeworfen.

Als Antwort auf ~n

Oh, die ganzen v6 routen kommen da ja auch mit. Danke, wird eingebaut.
Als Antwort auf Skyr

@skyr @nblr @manawyrm hab ich nie verstanden. Da der DWD eine Bundesoberbehörde ist, haben wir alle die Finanzierung der App, sowie die Bereitstellung der Daten mit Steuergeld gesichert.

Demnach "bezahlen" wir für die App bereits und sollte daher kostenlos für die Nutzung zur Verfügung gestellt werden können.

teefax hat dies geteilt.

Als Antwort auf 👾 Rene Rehme

@renereh1 @nblr @manawyrm dies. On top kam noch die absurde Tatsache, dass (zumindest damals) die App der Klägerin auch nur die (öffentlich zugänglichen, kostenlosen) Daten der DWD-API anzeigte...
Als Antwort auf Skyr

@DeutscherWetterdienst

2018 habe ich versucht die #DWD App auf einem Tablett mit LineageOS ohne Google Dienste und Playstore weiterhin zu n
utzen und bat darum

eine Version anzubieten, die sich ohne die Unterstützung außereuropäischer Technikgiganten kaufen lässt - gern auch zu einem vertretbarem Mehrpreis für den entstehenden Mehraufwand - sie verdienen jetzt ja gerichtlich erzwungen und unerwartet an Ihrem guten Angebot.


Antwort damals war:

Vielleicht ergibt sich ja mittelfristig eine Möglichkeit, die in Ihr Sicherheitskonzept passt.


Passiert scheint seitdem nichts:

Auch hier könnte #PublicMoney → #PublicCode sehr helfen - danke an die @fsfe für diese wichtige Initiative!

dwd.de/DE/leistungen/warnwette…

Als Antwort auf Chris Vogel

...und es ist nicht so, dass der DWD nicht Schlüssel ohne Google anbieten könnte:

Inhaltlich sind die Vollversionen für (behördliche) Mitarbeiterinnen und Mitarbeiter des Katastrophen-, Bevölkerungs- und Umweltschutzes und die durch den In-App-Kauf erworbene Vollversion der WarnWetter-App identisch.


dwd.de/DE/leistungen/warnwette…

Als Antwort auf Sven222

meine Güte... das ist ja wild! Danke für die Info, wird direkt geblockt 🥲
Als Antwort auf Sven222

Das ganze /16 ist vielleicht ein wenig... viel? Laut whois gehören nur 185.235.84.0 - 185.235.87.255 Criteo, also 185.235.84.0/22
Dieser Beitrag wurde bearbeitet. (4 Monate her)
Als Antwort auf Tobias Klausmann

Ui, da hast Du wohl Recht. Da hab ich mich verlesen, ich dachte denen gehört da alles. schaue ich gleich nochmal nach. Danke!
Als Antwort auf Sven222

Bei mir ist nftables statt ufw, ich hab dann das hier gemacht:

ip daddr 185.235.84.0/22 tcp dport 443 jump rd
ip daddr 185.235.84.0/22 tcp dport 80 jump rd

"rd" it eine chain, die normal rejectet (also wie "port ist zu" aussieht), aber bei hohen Paketraten zu "drop" wechselt.

Als Antwort auf Sven222

Ohne Adblocker ist dieses Internetz nicht mehr auszuhalten.

Edit: Auf meinem wireguard endpoint läuft pihole, damit sind alle Geräte die das VPN nutzen gleichzeitig auch Werbung los und man spart mobile Daten.

Dieser Beitrag wurde bearbeitet. (4 Monate her)

teefax hat dies geteilt.

Als Antwort auf Sven222

Danke für deinen Erfahrungsbericht! Bisher hatte ich noch keine Probleme.. Aber ich speicher mir das mal ab, falls noch etwas auf mich zu kommt 😅
Unbekannter Ursprungsbeitrag

Sven222
Naja, ohne teilweise in die Mails zu schauen, was ja dank SSL, TLS und Co nicht möglich sein sollte, findet man Spammails auch nicht so leicht. Ich denke, sobald da an die Hetzner Abuse Mail Meldungen kommen, werden die schon reagieren. Prinzipiell verstehe ich am Rande Hetzner hier sogar teilweise, sie waren nur sehr unfreundlich in der Kommunikation und stellen einen hin, wei wenn man persönlich der große Malwareschleuderer wäre.
Als Antwort auf Sven222

Aber deshalb hab ich in meinem Artikel ja auch nicht "gegen" Hetzner geschrieben.
Als Antwort auf Sven222

Danke, und damit habe ich mich auch von Wetter online verabschiedet.
@svenja
Als Antwort auf Sven222

danke, spannend.

Man will dann wohl besser einen Werbeblocker auf DNS Basis oder so auf dem Hetzner Server haben, dass verbessert das Surferlebnis aller VPN Nutzer und kann auch noch bei sowas helfen.

Als Antwort auf utzer [Pleroma]

Ja, ich schaue gerade, was es da gibt, am besten alles aus den Debian stable Paketquellen. So etwas wie privoxy auf dem Rechner für Server.
Als Antwort auf Sven222

hab da keine Ahnung, aber schau doch mal ob Dein DNS auch Blocklisten kann und dann such nach einer für Deinen DNS die regelmässig Updates bekommt.

Erstes Suchergebnis ist auch "OK".

gnulinux.ch/adblocker-netzsper…

Dieser Beitrag wurde bearbeitet. (4 Monate her)
Als Antwort auf utzer [Pleroma]

Ich hab mich jetzt spontan für hblock entschieden, ein script, welches die /etc/hosts umschreibt. Kann man immer mal wieder ausführen zum aktualisieren. Ich will auf dem Server so wenig wie möglich zusätzlich zum wireguard laufen lassen. Kommt gerade sogar mit dem Werbeendgegnern chefkoch.de und sz.de klar, kann man wohl lassen ;-)
Als Antwort auf Sven222

nice, wenn das wirklich nur in die hosts schreibt ist das ja auch echt easy nachzuvollziehen und zu nutzen.
Als Antwort auf Sven222

@Sven unhöflichkeit ist natürlich keine lösung, aber es kann ihnen passieren, das da ganze netzsegmente von hetzner auf blocking-listen landen. insofern ist der wunsch hetzners sowas schnell zu unterbinden eigentlich ziemlich verständlich. aber irgendwie verstehe ich das trotzdem nicht so richtig. du dürftest ja nicht der einzige sein, der einen vpn-endpunkt bei hetzner gebaut hat und wetter online ansieht ...
Als Antwort auf Alexander Goeres

Verstehen tu ich es auch noch nicht so richtig. Und Unhöflichkeit kann ja auch kommen, wenn man am selben tag den x-ten Kunden vor sich hat, der ein offenes SMTP Relay betreibt oder so. Wie gesagt, ich schrieb ja nicht gegen Hetzner. Tatsächlich testet der im Normalfall nur wenige IPs, bis es passt, k.A. warum das bei mir so eskaliert ist. Eventuell nur doof mit einem Netzwerkproblem beim Ziel zusammengelaufen oder so.
Als Antwort auf Sven222

Was unterscheidet das jetzt von einem Web-Spider der mehrere HTTPS-Adressen hintereinander besucht? Verstehe ich da etwas falsch?
Als Antwort auf Stefan Scholl

@Stefan_S_from_H
Der Ausschlag gebende Punkt könnte sein, dass sich alle Zieladressen im selben AS oder einen noch engereren Netz befinden. Ist aber nur eine Vermutung.

@sven222

Als Antwort auf Sven222

Folge 4875366 aus der Serie "Adblocker sind notwendige Sicherheitssoftware"...
Als Antwort auf Sven222

@isotopp Kann man das irgendwie in AdBlock oder AdGuard einbinden? Ziemliche schweinerei von criteo und wetteronline. Am vestenniatves wohl wenn ich wetteronline sperre.
Als Antwort auf Sven222

Erste was ich heute lese.
Benutze Hetzner nicht als Main VPN Exit. Aber manchmal für spezifische Apps und tests die public VPN Exits hassen.
Als Antwort auf Sven222

danke für den umfangreichen Bericht. WetterOnline sind die Schlawiener, die den Deutschen Wetterdienst erfolgreich in Grund und Boden klagten, da die ihre mit Steuergeldern ermittelten Wetterdaten kostenlos an die Steuerzahler zurück gaben. Seitdem muss (!) der DWD für die App Geld verlangen damit Minderperformer wie WetterOnline (IMHO die unzuverlässigste Prognose) auf dem Markt bestehen kann. Jetzt also auch noch illegale Portscans! Zum Glück versteht mein AdBlocker da keinen Spass.

teefax hat dies geteilt.

Als Antwort auf Sven222

Soll das bedeuten dass Hetzner mittlerweile sowas wie funktionierende Security und Abuse-Handling hat? Es geschehen noch Zeichen und Wunder!
Ist zwar schon ein paar Jahre her, aber in meinem letzten Job habe ich quasi im Wochentakt Abuse-Mails an Hetzner geschickt dass ihre Kunden SIP-Bruteforce auf unsere Voiceserver fahren, aber ausser "Wir haben den Kunden verwarnt" und Wechsel auf eine andere IP war nie was passiert.
(nur OVH und HostEurope waren noch lethargischer..)
Als Antwort auf Sven222

Das klingt nach viel verschwendete Lebenszeit. Ich möchte aber auch eines kritisch anmerken zu #hetzner: Ja, Portscans sind verboten und eine Reaktion darauf ist wichtig. Dein Impact war aber absolut minimal. Genau aus solchen Gründen ist Hetzner für mich für Produktivsysteme nicht tragbar. Das hätte auch ein wichtiger VPN Endpoint einer Firma sein können. Jaja, resilienz und redundanz - aber trotzdem. Erst Nachricht und später blocken wäre tragbarer.
Als Antwort auf Cammel

Sie haben mir ein paar h Zeit gegeben, bevor geblockt wurde. Da es halbprivate Server sind, hab ich das nicht mitbekommen, da ich andere Dinge gearbeitet habe. Ein Firmenadmin hätte genügend Zeit gehabt zu reagieren.

Rob hat dies geteilt.

Als Antwort auf Sven222

Werbung ist einfach die PEST der Neuzeit. Und für so ziemlich jeden Mist verantwortlich oder zumindest begünstigend bzw. die Grundlage.

Danke für Deinen Bericht

Als Antwort auf Sven222

Läßt mich Kopfschüttelnd zurück 🤦‍♂️
BTW du hast es zu Fefe geschafft 😉

blog.fefe.de/?ts=984bd1d3

Tom :damnified: hat dies geteilt.

Als Antwort auf chaosflo

Zum Glück war ich zu dem Zeitpunkt gerade mit Freunden was essen, sonst hätte ich mir permanent Sorgen um den Server gemacht. Die CPU war wohl teilweise am Limit. So schaue ich mir heute morgen die Graphen an, und denke: Wow, so sieht das also aus, wenn man gefefet wird. Server blieb stabil, nur etwas langsam. Sorry, falls gestern jemand etwas länger auf den Seitenaufbau warten musste.
Als Antwort auf Sven222

Was ist das denn für ein be***** load-balancing (oder was auch immer), das einen Portscan auf sich selbst durchführt, anstatt dass man einen gescheiten Load-Balancer hinter eine allgemeine Domain packt... Oh man. IT of doom.

Danke für die Story, dass man solche Fälle mal im Hinterkopf behält

Als Antwort auf Sven222

oh man.. was fuer ne story.. auf sowas muss man erstmal kommen.......
Unbekannter Ursprungsbeitrag

Sven222
Über Zuverlässigkeit kann ich eigentlich nicht maulen. Das war jetzt in 5 Jahren die erste ungeplante Downtime des Servers. Stabiler wie die MS362 Dienste 😃
Unbekannter Ursprungsbeitrag

Sven222
Bei Hetzner ist dafür Reddit gesperrt, wobei das nicht so schlimm ist. Für Suche schonmal über SearxNG nachgedacht? Ist eine Metasuchmaschine, die dann auch nicht über Google geht, aber eben über DDG, Startpage und Co. geht, die ja auch wieder auf Google zugreifen. SearxNG liefert bei mir bessere Suchergebnisse mittlerweile als Google.
Als Antwort auf Alexander

@alex Das Dumme ist, Hetzner hat da keine grosse Wahl, ausser die IP ranges selber zu blockieren, und dann haben sie andere Probleme. Das ist ein Dilemma für alle, und dann leidet mal wieder der Endkunde am meisten. WetterOnline ist halt Kacke.