Dies ist eine mobil optimierte Seite, die schnell lädt. Wenn Sie die Seite ohne Optimierung laden möchten, dann klicken Sie auf diesen Text.

Angeblicher Hack des Servers (Kimsufi) und Versetzung in Rescue-Modus

    Nobody is reading this thread right now.

axel

Boardveteran
Registriert
9. September 2011
Beiträge
11.360
Lösungen
3
Reaktionspunkte
43.077
Punkte
473
Ort
Niederrhein
Hi,

heute morgen hab ich in meinen Emails zwei vom Kimsufi-Support gefunden:

1.
Guten Tag,

Ihr Server SERVER_NAME wurde in den 'Rescue' Modus versetzt, um weitere Probleme zu verhindern.

Unter folgender Adresse finden Sie eine Hilfe, um Sie bei der Durchführung der notwendigen Wartungs-Operationen zu unterstützen:
Sie müssen registriert sein, um Links zu sehen.


Zögern Sie nicht, den Support zu kontaktieren, damit die Situation nicht kritisch wird.

Hier die von unserem System aufgeführten Logs, die zu diesem Alarm geführt
haben:

- BEGINN DER ZUSATZINFORMATIONEN -

Attack detail : 5K scans
dateTime srcIp:srcPort dstIp:dstPort protocol flags bytes reason
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.113.161.186:2222 TCP SYN 60 SCAN:SYN
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.113.161.163:2222 TCP SYN 60 SCAN:SYN
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.113.161.168:2222 TCP SYN 60 SCAN:SYN
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.113.161.169:2222 TCP SYN 60 SCAN:SYN
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.113.161.155:2222 TCP SYN 60 SCAN:SYN
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.113.161.196:2222 TCP SYN 60 SCAN:SYN
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.113.161.187:2222 TCP SYN 60 SCAN:SYN
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.113.161.200:2222 TCP SYN 60 SCAN:SYN
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.113.161.177:2222 TCP SYN 60 SCAN:SYN
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.79.205.241:2222 TCP SYN 60 SCAN:SYN
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.113.161.188:2222 TCP SYN 60 SCAN:SYN
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.113.161.174:2222 TCP SYN 60 SCAN:SYN
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.113.161.197:2222 TCP SYN 60 SCAN:SYN
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.113.161.183:2222 TCP SYN 60 SCAN:SYN
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.113.161.185:2222 TCP SYN 60 SCAN:SYN
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.79.198.152:2222 TCP SYN 60 SCAN:SYN
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.113.161.195:2222 TCP SYN 60 SCAN:SYN
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.113.161.194:2222 TCP SYN 60 SCAN:SYN
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.113.161.178:2222 TCP SYN 60 SCAN:SYN
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.113.161.180:2222 TCP SYN 60 SCAN:SYN



- ENDE DER ZUSATZINFORMATIONEN -


Mit freundlichen Grüßen,

Ihr Kimsufi.com Support

Kontakt:
Sie müssen registriert sein, um Links zu sehen.

Montag - Freitag: 9:00 - 20:00


Und Nr.2:

Guten Tag,

auf Ihrem Server SERVER_NAME wurden unnormale Aktivitäten festgestellt.

Zögern Sie nicht, den Support zu kontaktieren, damit die Situation nicht kritisch wird.

Hier die von unserem System aufgeführten Logs, die zu diesem Alarm geführt
haben:

- BEGINN DER ZUSATZINFORMATIONEN -

Attack detail : 4K scans
dateTime srcIp:srcPort dstIp:dstPort protocol flags bytes reason
2016.04.29 23:19:34 CEST SERVER_IP:44337 70.37.241.139:2222 TCP SYN 60 SCAN:SYN
2016.04.29 23:19:34 CEST SERVER_IP:50355 70.37.240.249:2222 TCP SYN 60 SCAN:SYN
2016.04.29 23:19:34 CEST SERVER_IP:37623 70.37.241.250:2222 TCP SYN 60 SCAN:SYN
2016.04.29 23:19:34 CEST SERVER_IP:37251 70.37.241.251:2222 TCP SYN 60 SCAN:SYN
2016.04.29 23:19:34 CEST SERVER_IP:41301 70.37.247.151:2222 TCP SYN 60 SCAN:SYN
2016.04.29 23:19:34 CEST SERVER_IP:39867 70.37.240.148:2222 TCP SYN 60 SCAN:SYN
2016.04.29 23:19:34 CEST SERVER_IP:40198 70.37.240.133:2222 TCP SYN 60 SCAN:SYN
2016.04.29 23:19:34 CEST SERVER_IP:41257 70.37.240.163:2222 TCP SYN 60 SCAN:SYN
2016.04.29 23:19:34 CEST SERVER_IP:55973 70.37.249.0:2222 TCP SYN 60 SCAN:SYN
2016.04.29 23:19:34 CEST SERVER_IP:40181 70.37.247.140:2222 TCP SYN 60 SCAN:SYN
2016.04.29 23:19:34 CEST SERVER_IP:50412 70.37.247.144:2222 TCP SYN 60 SCAN:SYN
2016.04.29 23:19:34 CEST SERVER_IP:60648 70.37.240.49:2222 TCP SYN 60 SCAN:SYN
2016.04.29 23:19:34 CEST SERVER_IP:33150 70.37.242.61:2222 TCP SYN 60 SCAN:SYN
2016.04.29 23:19:34 CEST SERVER_IP:33349 70.37.247.68:2222 TCP SYN 60 SCAN:SYN
2016.04.29 23:19:34 CEST SERVER_IP:41659 70.37.242.155:2222 TCP SYN 60 SCAN:SYN
2016.04.29 23:19:34 CEST SERVER_IP:54158 70.37.247.53:2222 TCP SYN 60 SCAN:SYN
2016.04.29 23:19:34 CEST SERVER_IP:33066 70.37.242.39:2222 TCP SYN 60 SCAN:SYN
2016.04.29 23:19:34 CEST SERVER_IP:50436 70.37.240.82:2222 TCP SYN 60 SCAN:SYN
2016.04.29 23:19:34 CEST SERVER_IP:49791 70.37.249.66:2222 TCP SYN 60 SCAN:SYN
2016.04.29 23:19:34 CEST SERVER_IP:51085 70.37.247.80:2222 TCP SYN 60 SCAN:SYN



- ENDE DER ZUSATZINFORMATIONEN -


Mit freundlichen Grüßen,

Ihr Kimsufi.com Support

Kontakt:
Sie müssen registriert sein, um Links zu sehen.

Montag - Freitag: 9:00 - 20:00

Super, der Server war dann im Rescue-Mode, musste den "Hack" dann bestätigen und konnte wieder normal von HDD booten.

Hatte das schon mal jemand?

Gruß
 
AW: Angeblicher Hack des Servers (Kimsufi) und Versetzung in Rescue-Modus

Waren halt Portscanner unterwegs.
Ist nichts ungewöhnliches.
Normal nimmt man dafür Fail2ban und dann sind die IP's nach wenigen Sekunden gesperrt.
 
AW: Angeblicher Hack des Servers (Kimsufi) und Versetzung in Rescue-Modus

Hi,

Schon klar. Ich hab fail2ban jetzt mal in den Einstellungen "verschärft"...

Aber das die die Kiste direkt in Rescue booten ist neu zumindest für mich(?).

4k + 5k Scans^^, schon ne Hausnummer.

Gruß

Gesendet über 38 Ecken ☝
 
AW: Angeblicher Hack des Servers (Kimsufi) und Versetzung in Rescue-Modus

Das mit dem Rescue wurde dort schon immer so gemacht.
Also keine Panik
 
AW: Angeblicher Hack des Servers (Kimsufi) und Versetzung in Rescue-Modus

Hast du den SSH auf Port 2222 lliegen?
Ich hab den absichtlich in die High Port Range gelegt...
 
AW: Angeblicher Hack des Servers (Kimsufi) und Versetzung in Rescue-Modus

Hi,

nein alle Ports (SSH, Oscam...) sind im 5-stelligen Bereich, wenn der Server durchgestartet ist.

Gruß
 
AW: Angeblicher Hack des Servers (Kimsufi) und Versetzung in Rescue-Modus

So,

und wieder "Anti-Hack", >4k Scans. Langsam werde ich stinkig.

Nun kann ich den Server nicht mal mehr normal von HDD booten.

Ticket ist offen, mal sehen wie lange das dauert.

Gruß
 
AW: Angeblicher Hack des Servers (Kimsufi) und Versetzung in Rescue-Modus

@axfa77

Kann das auch bestätigen das in solchen Dingen die Server in den Rescue gesetzt werden,
kenne das aber nur bei Kimsufi so wo ich mittlerweile nicht mehr bin.

Dein Server scheint gefragt zu sein Spass muss sein.

cu

maxdata755
 
AW: Angeblicher Hack des Servers (Kimsufi) und Versetzung in Rescue-Modus

Hi,

richtig ist ein Kimsufi.

Dein Server scheint gefragt zu sein Spass muss sein.
Zum Vergrößern anklicken....

Ja, das waren Scans aus Korea...

Ich habe die Kiste soeben neu aufgesetzt, werde jetzt diese Adresskreise (Korea etc.) in der Firewall pauschal sperren.

Später noch das Backup zurückspielen, dann ist hoffentlich wieder alles gut!

Gruß
 
AW: Angeblicher Hack des Servers (Kimsufi) und Versetzung in Rescue-Modus

hi, so Exoten sperre ich eh schon vorm zug aus

Gruß
jensebub
 
AW: Angeblicher Hack des Servers (Kimsufi) und Versetzung in Rescue-Modus

Für alle die interessiert wie ich das sperre:

#Block APNIC LACNIC
APNIC=(
"1.0.0.0/8"
"14.0.0.0/8"
"27.0.0.0/8"
"36.0.0.0/8"
"39.0.0.0/8"
"42.0.0.0/8"
"49.0.0.0/8"
"58.0.0.0/8"
"59.0.0.0/8"
"60.0.0.0/8"
"61.0.0.0/8"
"101.0.0.0/8"
"103.0.0.0/8"
"106.0.0.0/8"
"110.0.0.0/8"
"111.0.0.0/8"
"112.0.0.0/8"
"113.0.0.0/8"
"114.0.0.0/8"
"115.0.0.0/8"
"116.0.0.0/8"
"117.0.0.0/8"
"118.0.0.0/8"
"119.0.0.0/8"
"120.0.0.0/8"
"121.0.0.0/8"
"122.0.0.0/8"
"123.0.0.0/8"
"124.0.0.0/8"
"125.0.0.0/8"
"126.0.0.0/8"
"175.0.0.0/8"
"180.0.0.0/8"
"182.0.0.0/8"
"183.0.0.0/8"
"202.0.0.0/8"
"203.0.0.0/8"
"210.0.0.0/8"
"211.0.0.0/8"
"218.0.0.0/8"
"219.0.0.0/8"
"220.0.0.0/8"
"221.0.0.0/8"
"222.0.0.0/8"
"223.0.0.0/8"
"43.0.0.0/8"
"133.0.0.0/8"
"150.0.0.0/8"
"153.0.0.0/8"
"163.0.0.0/8"
"171.0.0.0/8"
"177.0.0.0/8"
"179.0.0.0/8"
"181.0.0.0/8"
"186.0.0.0/8"
"187.0.0.0/8"
"189.0.0.0/8"
"190.0.0.0/8"
"200.0.0.0/8"
"201.0.0.0/8"
)
for blockapnic in ${APNIC
[*]}
do
$iptables -A INPUT --source $blockapnic -j DROP
done

^^Das rot markierte war übrigens der Adressbereich von den "Korea-Lümmels". :emoticon-0105-wink:

Gruß

Edit: Danke an @T1x dafür, von ihm abgeguckt
 
Zuletzt bearbeitet:
AW: Angeblicher Hack des Servers (Kimsufi) und Versetzung in Rescue-Modus

bin gespannt bis es die nächsten von uns trifft
daweil bin ich noch verschont. Aber schon bedenklich dass da soviele Versuche stattfinden.

Naja so bleibt man wenigestens in übung was den verschlüsselten Server aufsetzen betrifft.
 
AW: Angeblicher Hack des Servers (Kimsufi) und Versetzung in Rescue-Modus

Mahlzeit,

UPDATE: Läuft wieder, und zwar astrein!

Gruß
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

PS4 PS4 HACKING ANLEITUNG FW 9.00
Antworten
7
Aufrufe
2K
DEB ChatGPT
  • Artikel Artikel
PC & Internet Vodafone hat ein böses DNS-Server-Erreichbarkeits-Problem
Antworten
0
Aufrufe
298
Osprey
Tipps und Tricks Kleine Anleitung zum Thema Backup und Clonen von Festplatten (hier AOMEI Backupper)
Antworten
0
Aufrufe
439
HeleneFischer
M
Codierung Audi Night vision nachrüsten Audi Q5 FY
Antworten
3
Aufrufe
540
maav
M
W
gelöst OSCAM ORF Anfänger-Probleme
2
Antworten
24
Aufrufe
3K
tom00tom
Menü
Anmelden
Registrieren
Für die Nutzung dieser Website sind Cookies erforderlich. Du musst diese akzeptieren, um die Website weiter nutzen zu können. Erfahre mehr…