Zum Inhalt der Seite gehen

Meine Odysee mit einem gesperrten #Hetzner #server
Hetzner sperrte mir einen Server, weil sie von ihm einen Portscan entdeckten. Laut dump den ich bekam, probierte der Server IP Adressen von 235.185.x.x jeweils auf Port 443 durch, ob jemand zuhört. Portscans sind von Hetznerservern aus nicht erlaubt. Also wird die IP gesperrt. Der Server war mein Wireguard Endpunkt, also erstmal suchen, wo der Fehler liegt. Ein vermuteter Plasterouter wurde von mir aus dem VPN genommen, Server wieder entsperrt. Wenige Tage passiert das nochmal, und die IP wird wieder gesperrt.
Nur dieses mal will Hetzner den Server nicht mehr entsperren, auch wenn er komplett neu aufgesetzt ist, alle Keys fürs Wireguard neu erstellt, etc. Nein, da muss ja irgendwo noch ein Fehler sein, den soll ich gefälligst erstmal finden. Das war auch kein Scan mit hunderten parallelen Anfragen, es wurden in etwas mehr als 3 Minuten ein paar Hundert IP Adressen auf Port 443 angeklopft. Es war halt genug, dass die Erkennung bei Hetzner ansprang, aber es wurde keine Netzwerkkapazität beeinträchtigt.
Da ich mein VPN gerne wieder gehabt hätte geht die Suche also weiter. Die IP Adressen gehören Criteo, Online Werbung. Ah-ha, hat sich irgendwer Werbesoftware im VPN eingetreten? Zeitstempel des Dumps von Hetzner angeschaut. Siehe da, zeitgleich war ich mit meinem Rechner bei wetteronline.de
Eine kurze Suche nach Criteo und wetteronline bringt folgendes hervor: criteo.com/de/success-stories/…
"WetterOnline verdoppelt die App-Umsätze mit Criteo Direct Bidder." Ah, ha. scannt sich da criteo etwa selbst? Also schnell ohne Überzieher, also Adblocker, auf wetteronline gesurft, und parallel einen TCPdump laufen lassen. Plötzlich kommt eine komische DNS Abfrage vorbei nach "gbc1.nl3.eu.criteo.com". Diese liefert 28 IP Adressen aus der gescannten range zurück. ( gbc2.xxxx bis gbc8.xxx liefern alle eine ähnliche Anzahl IPs zurück) Dann probiert irgendein Script auf der Homepage ein paar davon durch auf 443, bis es sich irgendwo verbindet.
Sprich criteo scannt sich selbst zum load balancing, und ich darf mich dafür rechtfertigen. Und so etwas findet man auch nicht in fünf Minuten raus, die Zeit hätte ich gerne anders genutzt.
Nachdem ich Hetzner mitgeteilt habe, dass eine Werbeschleuder sich selbst scannt, und versichert habe, dass ich den kompletten Criteo Adressblock per UFW ausgehend geblockt habe wurde mein Server wieder entsperrt.
Also, falls jemand UFW am laufen hat und keinen Bock auf criteo hat:
edited: UFW Regel nach Hinweis aus Kommentaren angepasst.
ufw deny out from any to 185.235.84.0/22
#server #hetzner
Als Antwort auf Sven222

Manawyrm | Sarah
Manawyrm | Sarah

Werbe/Trackinganbieter, echt die _Pest_ auf diesem Planeten.

Alles einstampfen :<

Als Antwort auf Manawyrm | Sarah

~n
~n

@manawyrm This.
…und wetteronline sind eh Scharlatane.
Keine Überraschung hier.

twitter.com/Kachelmann/status/…

@Manawyrm | Sarah
Als Antwort auf ~n

~n
~n

@manawyrm
…und was criteo angeht, gibts da noch mehr netblocks die man nullrouten oder filtern kann, um die welt eine bessere zu machen:

whois -i or AS44788|grep route

Danke für den Hinweis, gerade hier in den globalen Schmutzfilter eingeworfen.

@Manawyrm | Sarah
Als Antwort auf ~n

Sven222
Sven222
Oh, die ganzen v6 routen kommen da ja auch mit. Danke, wird eingebaut.
Als Antwort auf ~n

Skyr
Skyr
@nblr @manawyrm sind auch die Sympathen, die die kostenlose Warnwetter-App des DWD weggeklagt haben: heise.de/news/BGH-Urteil-Staat…
@~n @Manawyrm | Sarah
Als Antwort auf Skyr

~n
~n
@skyr @manawyrm Ach! Gar nicht mitbekommen. Was für überflüssige Kackspatzen.
@Skyr @Manawyrm | Sarah
Als Antwort auf Skyr

👾 Rene Rehme
👾 Rene Rehme

@skyr @nblr @manawyrm hab ich nie verstanden. Da der DWD eine Bundesoberbehörde ist, haben wir alle die Finanzierung der App, sowie die Bereitstellung der Daten mit Steuergeld gesichert.

Demnach "bezahlen" wir für die App bereits und sollte daher kostenlos für die Nutzung zur Verfügung gestellt werden können.

@~n @Skyr @Manawyrm | Sarah

teefax hat dies geteilt.

Als Antwort auf 👾 Rene Rehme

Skyr
Skyr
@renereh1 @nblr @manawyrm dies. On top kam noch die absurde Tatsache, dass (zumindest damals) die App der Klägerin auch nur die (öffentlich zugänglichen, kostenlosen) Daten der DWD-API anzeigte...
@~n @Manawyrm | Sarah @👾 Rene Rehme
Als Antwort auf Skyr

Chris Vogel
Chris Vogel

@DeutscherWetterdienst

2018 habe ich versucht die #DWD App auf einem Tablett mit LineageOS ohne Google Dienste und Playstore weiterhin zu n
utzen und bat darum

eine Version anzubieten, die sich ohne die Unterstützung außereuropäischer Technikgiganten kaufen lässt - gern auch zu einem vertretbarem Mehrpreis für den entstehenden Mehraufwand - sie verdienen jetzt ja gerichtlich erzwungen und unerwartet an Ihrem guten Angebot.


Antwort damals war:

Vielleicht ergibt sich ja mittelfristig eine Möglichkeit, die in Ihr Sicherheitskonzept passt.


Passiert scheint seitdem nichts:

Auch hier könnte #PublicMoney → #PublicCode sehr helfen - danke an die @fsfe für diese wichtige Initiative!

dwd.de/DE/leistungen/warnwette…

Wetter und Klima - Deutscher Wetterdienst - FAQ zur WarnWetter-App - Wo kann ich die Vollversion der WarnWetter-App kaufen und was kostet sie? Wird der Beitrag wirklich nur einmalig berechnet?

www.dwd.de
#publiccode #dwd #publicmoney @Deutscher Wetterdienst (DWD) @Free Software Foundation Europe
Als Antwort auf Chris Vogel

Chris Vogel
Chris Vogel

...und es ist nicht so, dass der DWD nicht Schlüssel ohne Google anbieten könnte:

Inhaltlich sind die Vollversionen für (behördliche) Mitarbeiterinnen und Mitarbeiter des Katastrophen-, Bevölkerungs- und Umweltschutzes und die durch den In-App-Kauf erworbene Vollversion der WarnWetter-App identisch.


dwd.de/DE/leistungen/warnwette…

Wetter und Klima - Deutscher Wetterdienst - Vollversion für den Katastrophenschutz

www.dwd.de
Als Antwort auf Sven222

kevin ✨ (he/him)
kevin ✨ (he/him)
meine Güte... das ist ja wild! Danke für die Info, wird direkt geblockt 🥲
Als Antwort auf Sven222

Tobias Klausmann
Tobias Klausmann
Das ganze /16 ist vielleicht ein wenig... viel? Laut whois gehören nur 185.235.84.0 - 185.235.87.255 Criteo, also 185.235.84.0/22
Dieser Beitrag wurde bearbeitet. (1 Monat her)
Als Antwort auf Tobias Klausmann

Sven222
Sven222
Ui, da hast Du wohl Recht. Da hab ich mich verlesen, ich dachte denen gehört da alles. schaue ich gleich nochmal nach. Danke!
Als Antwort auf Sven222

Tobias Klausmann
Tobias Klausmann

Bei mir ist nftables statt ufw, ich hab dann das hier gemacht:

ip daddr 185.235.84.0/22 tcp dport 443 jump rd
ip daddr 185.235.84.0/22 tcp dport 80 jump rd

"rd" it eine chain, die normal rejectet (also wie "port ist zu" aussieht), aber bei hohen Paketraten zu "drop" wechselt.

Als Antwort auf Sven222

SaschaTee
SaschaTee

Auch wenn es OffTopic ist:
Ich hab gerade Spam-Mails erhalten von einem Server aus der Hetzner-IP-Range.
Das ist denen wohl durch gegangen. So ein schlecht geschriebenes Werbescript finden sie aber. :D

Danke auf jeden Fall für den Hinweis auf den Adressblock.

Als Antwort auf SaschaTee

Sven222
Sven222
Naja, ohne teilweise in die Mails zu schauen, was ja dank SSL, TLS und Co nicht möglich sein sollte, findet man Spammails auch nicht so leicht. Ich denke, sobald da an die Hetzner Abuse Mail Meldungen kommen, werden die schon reagieren. Prinzipiell verstehe ich am Rande Hetzner hier sogar teilweise, sie waren nur sehr unfreundlich in der Kommunikation und stellen einen hin, wei wenn man persönlich der große Malwareschleuderer wäre.
Als Antwort auf Sven222

Sven222
Sven222
Aber deshalb hab ich in meinem Artikel ja auch nicht "gegen" Hetzner geschrieben.
Als Antwort auf Sven222

SaschaTee
SaschaTee

Ja, ich denke auch das die auf abuse-Mails reagieren werden. Auf meine Mail von gestern kam zumindest keine Antwort, aber das erwarte ich auch nicht unbedingt.

Wobei eine unfreundliche Kommunikation mit Kunden eigentlich auch kein guter Ton ist. Wortwörtlich gemeint.

Als Antwort auf Sven222

rawe
rawe

Ohne Adblocker ist dieses Internetz nicht mehr auszuhalten.

Edit: Auf meinem wireguard endpoint läuft pihole, damit sind alle Geräte die das VPN nutzen gleichzeitig auch Werbung los und man spart mobile Daten.

Pihole blockt *.criteo.com
Ublock origin blockt *.criteo.com
Dieser Beitrag wurde bearbeitet. (1 Monat her)

teefax hat dies geteilt.

Als Antwort auf Sven222

Felix
Felix
Danke für deinen Erfahrungsbericht! Bisher hatte ich noch keine Probleme.. Aber ich speicher mir das mal ab, falls noch etwas auf mich zu kommt 😅
Als Antwort auf Sven222

RalphStark
RalphStark
Danke, und damit habe ich mich auch von Wetter online verabschiedet.
@svenja
@Svenja
Als Antwort auf Sven222

utzer [Pleroma]
utzer [Pleroma]

danke, spannend.

Man will dann wohl besser einen Werbeblocker auf DNS Basis oder so auf dem Hetzner Server haben, dass verbessert das Surferlebnis aller VPN Nutzer und kann auch noch bei sowas helfen.

Als Antwort auf utzer [Pleroma]

Sven222
Sven222
Ja, ich schaue gerade, was es da gibt, am besten alles aus den Debian stable Paketquellen. So etwas wie privoxy auf dem Rechner für Server.
Als Antwort auf Sven222

utzer [Pleroma]
utzer [Pleroma]

hab da keine Ahnung, aber schau doch mal ob Dein DNS auch Blocklisten kann und dann such nach einer für Deinen DNS die regelmässig Updates bekommt.

Erstes Suchergebnis ist auch "OK".

gnulinux.ch/adblocker-netzsper…


ADBlocker & Netzsperre auf DNS Ebene

Firewall und DNS Server mittels AdGuard
GNU/Linux.ch
Dieser Beitrag wurde bearbeitet. (1 Monat her)
Als Antwort auf utzer [Pleroma]

Sven222
Sven222
Ich hab mich jetzt spontan für hblock entschieden, ein script, welches die /etc/hosts umschreibt. Kann man immer mal wieder ausführen zum aktualisieren. Ich will auf dem Server so wenig wie möglich zusätzlich zum wireguard laufen lassen. Kommt gerade sogar mit dem Werbeendgegnern chefkoch.de und sz.de klar, kann man wohl lassen ;-)
Als Antwort auf Sven222

utzer [Pleroma]
utzer [Pleroma]
nice, wenn das wirklich nur in die hosts schreibt ist das ja auch echt easy nachzuvollziehen und zu nutzen.
Als Antwort auf Sven222

Alexander Goeres
Alexander Goeres
@Sven unhöflichkeit ist natürlich keine lösung, aber es kann ihnen passieren, das da ganze netzsegmente von hetzner auf blocking-listen landen. insofern ist der wunsch hetzners sowas schnell zu unterbinden eigentlich ziemlich verständlich. aber irgendwie verstehe ich das trotzdem nicht so richtig. du dürftest ja nicht der einzige sein, der einen vpn-endpunkt bei hetzner gebaut hat und wetter online ansieht ...
@Sven222
Als Antwort auf Alexander Goeres

Sven222
Sven222
Verstehen tu ich es auch noch nicht so richtig. Und Unhöflichkeit kann ja auch kommen, wenn man am selben tag den x-ten Kunden vor sich hat, der ein offenes SMTP Relay betreibt oder so. Wie gesagt, ich schrieb ja nicht gegen Hetzner. Tatsächlich testet der im Normalfall nur wenige IPs, bis es passt, k.A. warum das bei mir so eskaliert ist. Eventuell nur doof mit einem Netzwerkproblem beim Ziel zusammengelaufen oder so.
Als Antwort auf Sven222

Stefan Scholl
Stefan Scholl
Was unterscheidet das jetzt von einem Web-Spider der mehrere HTTPS-Adressen hintereinander besucht? Verstehe ich da etwas falsch?
Als Antwort auf Stefan Scholl

Verwalter Tom :damnified:
Verwalter Tom :damnified:

@Stefan_S_from_H
Der Ausschlag gebende Punkt könnte sein, dass sich alle Zieladressen im selben AS oder einen noch engereren Netz befinden. Ist aber nur eine Vermutung.

@sven222

@Sven222 @Stefan Scholl
Als Antwort auf Sven222

Felix :thisisfine: Eckhofer
Felix :thisisfine: Eckhofer
Folge 4875366 aus der Serie "Adblocker sind notwendige Sicherheitssoftware"...
Als Antwort auf Sven222

Carsten
Carsten
@isotopp Kann man das irgendwie in AdBlock oder AdGuard einbinden? Ziemliche schweinerei von criteo und wetteronline. Am vestenniatves wohl wenn ich wetteronline sperre.
@Kris
Als Antwort auf Sven222

Lasagne
Lasagne
Erste was ich heute lese.
Benutze Hetzner nicht als Main VPN Exit. Aber manchmal für spezifische Apps und tests die public VPN Exits hassen.
Als Antwort auf Sven222

DD0UL ✅
DD0UL ✅
danke für den umfangreichen Bericht. WetterOnline sind die Schlawiener, die den Deutschen Wetterdienst erfolgreich in Grund und Boden klagten, da die ihre mit Steuergeldern ermittelten Wetterdaten kostenlos an die Steuerzahler zurück gaben. Seitdem muss (!) der DWD für die App Geld verlangen damit Minderperformer wie WetterOnline (IMHO die unzuverlässigste Prognose) auf dem Markt bestehen kann. Jetzt also auch noch illegale Portscans! Zum Glück versteht mein AdBlocker da keinen Spass.

teefax hat dies geteilt.

Als Antwort auf Sven222

WooShell
WooShell
Soll das bedeuten dass Hetzner mittlerweile sowas wie funktionierende Security und Abuse-Handling hat? Es geschehen noch Zeichen und Wunder!
Ist zwar schon ein paar Jahre her, aber in meinem letzten Job habe ich quasi im Wochentakt Abuse-Mails an Hetzner geschickt dass ihre Kunden SIP-Bruteforce auf unsere Voiceserver fahren, aber ausser "Wir haben den Kunden verwarnt" und Wechsel auf eine andere IP war nie was passiert.
(nur OVH und HostEurope waren noch lethargischer..)
Als Antwort auf Sven222

Cammel
Cammel
Das klingt nach viel verschwendete Lebenszeit. Ich möchte aber auch eines kritisch anmerken zu #hetzner: Ja, Portscans sind verboten und eine Reaktion darauf ist wichtig. Dein Impact war aber absolut minimal. Genau aus solchen Gründen ist Hetzner für mich für Produktivsysteme nicht tragbar. Das hätte auch ein wichtiger VPN Endpoint einer Firma sein können. Jaja, resilienz und redundanz - aber trotzdem. Erst Nachricht und später blocken wäre tragbarer.
#hetzner
Als Antwort auf Cammel

Sven222
Sven222
Sie haben mir ein paar h Zeit gegeben, bevor geblockt wurde. Da es halbprivate Server sind, hab ich das nicht mitbekommen, da ich andere Dinge gearbeitet habe. Ein Firmenadmin hätte genügend Zeit gehabt zu reagieren.

Rob hat dies geteilt.

Als Antwort auf Sven222

Pilot Pirx
Pilot Pirx

Werbung ist einfach die PEST der Neuzeit. Und für so ziemlich jeden Mist verantwortlich oder zumindest begünstigend bzw. die Grundlage.

Danke für Deinen Bericht

Als Antwort auf Sven222

chaosflo
chaosflo

Läßt mich Kopfschüttelnd zurück 🤦‍♂️
BTW du hast es zu Fefe geschafft 😉

blog.fefe.de/?ts=984bd1d3

Fefes Blog

blog.fefe.de

Verwalter Tom :damnified: hat dies geteilt.

Als Antwort auf chaosflo

Sven222
Sven222
Zum Glück war ich zu dem Zeitpunkt gerade mit Freunden was essen, sonst hätte ich mir permanent Sorgen um den Server gemacht. Die CPU war wohl teilweise am Limit. So schaue ich mir heute morgen die Graphen an, und denke: Wow, so sieht das also aus, wenn man gefefet wird. Server blieb stabil, nur etwas langsam. Sorry, falls gestern jemand etwas länger auf den Seitenaufbau warten musste.
Als Antwort auf Sven222

mbeddedDev
mbeddedDev

Was ist das denn für ein be***** load-balancing (oder was auch immer), das einen Portscan auf sich selbst durchführt, anstatt dass man einen gescheiten Load-Balancer hinter eine allgemeine Domain packt... Oh man. IT of doom.

Danke für die Story, dass man solche Fälle mal im Hinterkopf behält

Als Antwort auf Sven222

rick
rick
oh man.. was fuer ne story.. auf sowas muss man erstmal kommen.......
Unbekannter Ursprungsbeitrag

Sven222
Sven222
Über Zuverlässigkeit kann ich eigentlich nicht maulen. Das war jetzt in 5 Jahren die erste ungeplante Downtime des Servers. Stabiler wie die MS362 Dienste 😃
Unbekannter Ursprungsbeitrag

Sven222
Sven222
Bei Hetzner ist dafür Reddit gesperrt, wobei das nicht so schlimm ist. Für Suche schonmal über SearxNG nachgedacht? Ist eine Metasuchmaschine, die dann auch nicht über Google geht, aber eben über DDG, Startpage und Co. geht, die ja auch wieder auf Google zugreifen. SearxNG liefert bei mir bessere Suchergebnisse mittlerweile als Google.
Als Antwort auf Alexander

Jens Finkhäuser 🌻
Jens Finkhäuser 🌻
@alex Das Dumme ist, Hetzner hat da keine grosse Wahl, ausser die IP ranges selber zu blockieren, und dann haben sie andere Probleme. Das ist ein Dilemma für alle, und dann leidet mal wieder der Endkunde am meisten. WetterOnline ist halt Kacke.
@Alexander