Meine Odysee mit einem gesperrten #Hetzner #server
Hetzner sperrte mir einen Server, weil sie von ihm einen Portscan entdeckten. Laut dump den ich bekam, probierte der Server IP Adressen von 235.185.x.x jeweils auf Port 443 durch, ob jemand zuhört. Portscans sind von Hetznerservern aus nicht erlaubt. Also wird die IP gesperrt. Der Server war mein Wireguard Endpunkt, also erstmal suchen, wo der Fehler liegt. Ein vermuteter Plasterouter wurde von mir aus dem VPN genommen, Server wieder entsperrt. Wenige Tage passiert das nochmal, und die IP wird wieder gesperrt.
Nur dieses mal will Hetzner den Server nicht mehr entsperren, auch wenn er komplett neu aufgesetzt ist, alle Keys fürs Wireguard neu erstellt, etc. Nein, da muss ja irgendwo noch ein Fehler sein, den soll ich gefälligst erstmal finden. Das war auch kein Scan mit hunderten parallelen Anfragen, es wurden in etwas mehr als 3 Minuten ein paar Hundert IP Adressen auf Port 443 angeklopft. Es war halt genug, dass die Erkennung bei Hetzner ansprang, aber es wurde keine Netzwerkkapazität beeinträchtigt.
Da ich mein VPN gerne wieder gehabt hätte geht die Suche also weiter. Die IP Adressen gehören Criteo, Online Werbung. Ah-ha, hat sich irgendwer Werbesoftware im VPN eingetreten? Zeitstempel des Dumps von Hetzner angeschaut. Siehe da, zeitgleich war ich mit meinem Rechner bei wetteronline.de
Eine kurze Suche nach Criteo und wetteronline bringt folgendes hervor: criteo.com/de/success-stories/…
"WetterOnline verdoppelt die App-Umsätze mit Criteo Direct Bidder." Ah, ha. scannt sich da criteo etwa selbst? Also schnell ohne Überzieher, also Adblocker, auf wetteronline gesurft, und parallel einen TCPdump laufen lassen. Plötzlich kommt eine komische DNS Abfrage vorbei nach "gbc1.nl3.eu.criteo.com". Diese liefert 28 IP Adressen aus der gescannten range zurück. ( gbc2.xxxx bis gbc8.xxx liefern alle eine ähnliche Anzahl IPs zurück) Dann probiert irgendein Script auf der Homepage ein paar davon durch auf 443, bis es sich irgendwo verbindet.
Sprich criteo scannt sich selbst zum load balancing, und ich darf mich dafür rechtfertigen. Und so etwas findet man auch nicht in fünf Minuten raus, die Zeit hätte ich gerne anders genutzt.
Nachdem ich Hetzner mitgeteilt habe, dass eine Werbeschleuder sich selbst scannt, und versichert habe, dass ich den kompletten Criteo Adressblock per UFW ausgehend geblockt habe wurde mein Server wieder entsperrt.
Also, falls jemand UFW am laufen hat und keinen Bock auf criteo hat:
edited: UFW Regel nach Hinweis aus Kommentaren angepasst.
ufw deny out from any to 185.235.84.0/22
Hetzner sperrte mir einen Server, weil sie von ihm einen Portscan entdeckten. Laut dump den ich bekam, probierte der Server IP Adressen von 235.185.x.x jeweils auf Port 443 durch, ob jemand zuhört. Portscans sind von Hetznerservern aus nicht erlaubt. Also wird die IP gesperrt. Der Server war mein Wireguard Endpunkt, also erstmal suchen, wo der Fehler liegt. Ein vermuteter Plasterouter wurde von mir aus dem VPN genommen, Server wieder entsperrt. Wenige Tage passiert das nochmal, und die IP wird wieder gesperrt.
Nur dieses mal will Hetzner den Server nicht mehr entsperren, auch wenn er komplett neu aufgesetzt ist, alle Keys fürs Wireguard neu erstellt, etc. Nein, da muss ja irgendwo noch ein Fehler sein, den soll ich gefälligst erstmal finden. Das war auch kein Scan mit hunderten parallelen Anfragen, es wurden in etwas mehr als 3 Minuten ein paar Hundert IP Adressen auf Port 443 angeklopft. Es war halt genug, dass die Erkennung bei Hetzner ansprang, aber es wurde keine Netzwerkkapazität beeinträchtigt.
Da ich mein VPN gerne wieder gehabt hätte geht die Suche also weiter. Die IP Adressen gehören Criteo, Online Werbung. Ah-ha, hat sich irgendwer Werbesoftware im VPN eingetreten? Zeitstempel des Dumps von Hetzner angeschaut. Siehe da, zeitgleich war ich mit meinem Rechner bei wetteronline.de
Eine kurze Suche nach Criteo und wetteronline bringt folgendes hervor: criteo.com/de/success-stories/…
"WetterOnline verdoppelt die App-Umsätze mit Criteo Direct Bidder." Ah, ha. scannt sich da criteo etwa selbst? Also schnell ohne Überzieher, also Adblocker, auf wetteronline gesurft, und parallel einen TCPdump laufen lassen. Plötzlich kommt eine komische DNS Abfrage vorbei nach "gbc1.nl3.eu.criteo.com". Diese liefert 28 IP Adressen aus der gescannten range zurück. ( gbc2.xxxx bis gbc8.xxx liefern alle eine ähnliche Anzahl IPs zurück) Dann probiert irgendein Script auf der Homepage ein paar davon durch auf 443, bis es sich irgendwo verbindet.
Sprich criteo scannt sich selbst zum load balancing, und ich darf mich dafür rechtfertigen. Und so etwas findet man auch nicht in fünf Minuten raus, die Zeit hätte ich gerne anders genutzt.
Nachdem ich Hetzner mitgeteilt habe, dass eine Werbeschleuder sich selbst scannt, und versichert habe, dass ich den kompletten Criteo Adressblock per UFW ausgehend geblockt habe wurde mein Server wieder entsperrt.
Also, falls jemand UFW am laufen hat und keinen Bock auf criteo hat:
edited: UFW Regel nach Hinweis aus Kommentaren angepasst.
ufw deny out from any to 185.235.84.0/22
mögen das
teilten dies erneut
Manawyrm | Sarah | 38c3 ☎️6502
Als Antwort auf Sven222 • • •Werbe/Trackinganbieter, echt die _Pest_ auf diesem Planeten.
Alles einstampfen :<
Sven222 mag das.
~n
Als Antwort auf Manawyrm | Sarah | 38c3 ☎️6502 • • •@manawyrm This.
…und wetteronline sind eh Scharlatane.
Keine Überraschung hier.
twitter.com/Kachelmann/status/…
~n
Als Antwort auf ~n • • •@manawyrm
…und was criteo angeht, gibts da noch mehr netblocks die man nullrouten oder filtern kann, um die welt eine bessere zu machen:
whois -i or AS44788|grep route
Danke für den Hinweis, gerade hier in den globalen Schmutzfilter eingeworfen.
Sven222
Als Antwort auf ~n • •Skyr
Als Antwort auf ~n • • •~n
Als Antwort auf Skyr • • •👾 Rene Rehme
Als Antwort auf Skyr • • •@skyr @nblr @manawyrm hab ich nie verstanden. Da der DWD eine Bundesoberbehörde ist, haben wir alle die Finanzierung der App, sowie die Bereitstellung der Daten mit Steuergeld gesichert.
Demnach "bezahlen" wir für die App bereits und sollte daher kostenlos für die Nutzung zur Verfügung gestellt werden können.
teefax hat dies geteilt.
Skyr
Als Antwort auf 👾 Rene Rehme • • •Chris Vogel
Als Antwort auf Skyr • • •@DeutscherWetterdienst
2018 habe ich versucht die #DWD App auf einem Tablett mit LineageOS ohne Google Dienste und Playstore weiterhin zu n
utzen und bat darum
Antwort damals war:
Passiert scheint seitdem nichts:
Auch hier könnte #PublicMoney → #PublicCode sehr helfen - danke an die @fsfe für diese wichtige Initiative!
dwd.de/DE/leistungen/warnwette…
Wetter und Klima - Deutscher Wetterdienst - FAQ zur WarnWetter-App - Wo kann ich die Vollversion der WarnWetter-App kaufen und was kostet sie? Wird der Beitrag wirklich nur einmalig berechnet?
www.dwd.deChris Vogel
Als Antwort auf Chris Vogel • • •...und es ist nicht so, dass der DWD nicht Schlüssel ohne Google anbieten könnte:
dwd.de/DE/leistungen/warnwette…
Wetter und Klima - Deutscher Wetterdienst - Vollversion für den Katastrophenschutz
www.dwd.deraspberryswirl
Als Antwort auf Manawyrm | Sarah | 38c3 ☎️6502 • • •kevin 🦣 ✨ (he/him)
Als Antwort auf Sven222 • • •Der mit den Ballons
Als Antwort auf Sven222 • • •Tobias Klausmann
Als Antwort auf Sven222 • • •Sven222
Als Antwort auf Tobias Klausmann • •Tobias Klausmann
Als Antwort auf Sven222 • • •Bei mir ist nftables statt ufw, ich hab dann das hier gemacht:
ip daddr 185.235.84.0/22 tcp dport 443 jump rd
ip daddr 185.235.84.0/22 tcp dport 80 jump rd
"rd" it eine chain, die normal rejectet (also wie "port ist zu" aussieht), aber bei hohen Paketraten zu "drop" wechselt.
Sven222 mag das.
Sven222
Als Antwort auf Tobias Klausmann • •darix
Als Antwort auf Tobias Klausmann • • •@klausman
minor nitpick:
ip daddr 185.235.84.0/22 tcp dport { 80, 443 } jump rd
kmerz
Als Antwort auf Sven222 • • •isа :luna: :jules:
Als Antwort auf Sven222 • • •bgp.tools/prefix/185.235.0.0/1…
Sven222
Als Antwort auf isа :luna: :jules: • •rawe
Als Antwort auf Sven222 • • •Ohne Adblocker ist dieses Internetz nicht mehr auszuhalten.
Edit: Auf meinem wireguard endpoint läuft pihole, damit sind alle Geräte die das VPN nutzen gleichzeitig auch Werbung los und man spart mobile Daten.
teefax hat dies geteilt.
Felix
Als Antwort auf Sven222 • • •Sven222
Unbekannter Ursprungsbeitrag • •Sven222
Als Antwort auf Sven222 • •RalphStark
Als Antwort auf Sven222 • • •@svenja
utzer [Pleroma]
Als Antwort auf Sven222 • • •danke, spannend.
Man will dann wohl besser einen Werbeblocker auf DNS Basis oder so auf dem Hetzner Server haben, dass verbessert das Surferlebnis aller VPN Nutzer und kann auch noch bei sowas helfen.
Sven222
Als Antwort auf utzer [Pleroma] • •utzer [Pleroma]
Als Antwort auf Sven222 • • •hab da keine Ahnung, aber schau doch mal ob Dein DNS auch Blocklisten kann und dann such nach einer für Deinen DNS die regelmässig Updates bekommt.
Erstes Suchergebnis ist auch "OK".
gnulinux.ch/adblocker-netzsper…
ADBlocker & Netzsperre auf DNS Ebene
GNU/Linux.chSven222
Als Antwort auf utzer [Pleroma] • •utzer [Pleroma]
Als Antwort auf Sven222 • • •Alexander Goeres
Als Antwort auf Sven222 • • •Sven222
Als Antwort auf Alexander Goeres • •mögen das
Alexander Goeres mag das.
Thomas Bornhaupt
Als Antwort auf Sven222 • • •Stefan Scholl
Als Antwort auf Sven222 • • •Tom :damnified:
Als Antwort auf Stefan Scholl • • •@Stefan_S_from_H
Der Ausschlag gebende Punkt könnte sein, dass sich alle Zieladressen im selben AS oder einen noch engereren Netz befinden. Ist aber nur eine Vermutung.
@sven222
Sven222 mag das.
mirabilos
Als Antwort auf Sven222 • • •Felix :thisisfine: Eckhofer
Als Antwort auf Sven222 • • •Sven222 mag das.
Carsten
Als Antwort auf Sven222 • • •Urwumpe
Als Antwort auf Sven222 • • •Lasagne
Als Antwort auf Sven222 • • •Benutze Hetzner nicht als Main VPN Exit. Aber manchmal für spezifische Apps und tests die public VPN Exits hassen.
DD0UL ✅
Als Antwort auf Sven222 • • •teefax hat dies geteilt.
WooShell
Als Antwort auf Sven222 • • •Ist zwar schon ein paar Jahre her, aber in meinem letzten Job habe ich quasi im Wochentakt Abuse-Mails an Hetzner geschickt dass ihre Kunden SIP-Bruteforce auf unsere Voiceserver fahren, aber ausser "Wir haben den Kunden verwarnt" und Wechsel auf eine andere IP war nie was passiert.
(nur OVH und HostEurope waren noch lethargischer..)
Cammel
Als Antwort auf Sven222 • • •Sven222
Als Antwort auf Cammel • •mögen das
Daniel Siepmann mag das.
Rob hat dies geteilt.
the kangaroo
Als Antwort auf Sven222 • • •Werbung ist einfach die PEST der Neuzeit. Und für so ziemlich jeden Mist verantwortlich oder zumindest begünstigend bzw. die Grundlage.
Danke für Deinen Bericht
Daniel Siepmann mag das.
chaosflo
Als Antwort auf Sven222 • • •Läßt mich Kopfschüttelnd zurück 🤦♂️
BTW du hast es zu Fefe geschafft 😉
blog.fefe.de/?ts=984bd1d3
Fefes Blog
blog.fefe.deTom :damnified: hat dies geteilt.
Sven222
Als Antwort auf chaosflo • •mbeddedDev
Als Antwort auf Sven222 • • •Was ist das denn für ein be***** load-balancing (oder was auch immer), das einen Portscan auf sich selbst durchführt, anstatt dass man einen gescheiten Load-Balancer hinter eine allgemeine Domain packt... Oh man. IT of doom.
Danke für die Story, dass man solche Fälle mal im Hinterkopf behält
rick[not@38C3]Q.Q
Als Antwort auf Sven222 • • •Manuel 'HonkHase' Atug
Als Antwort auf Sven222 • • •Sven222
Unbekannter Ursprungsbeitrag • •Sven222
Unbekannter Ursprungsbeitrag • •Alexander
Als Antwort auf Sven222 • • •@jens
Jens Finkhäuser
Als Antwort auf Alexander • • •