PDA

Bekijk Volledige Versie : Server op een ''fresh chargen list'' en problemen?



Evolution
17/12/15, 04:29
Beetje raar verhaal gezien ik er geen verstand van heb maar wie weet is er iemand bekend mee.

Het IP-adres van mijn VPS server heb ik teruggevonden op een publieke lijst ''fresh chargen list'' met een voor mij onbekende poort erachter (er staan duizenden IP's met unieke poorten in die gegevens) ik weet dat Chargen een DDOS methode is, maar kunnen ze daarvoor ook andermans servers gebruiken die er geen weet van hebben, en zo ja, op welke wijze wordt precies mijn server dan getargeted en toegankelijk gemaakt voor dat soort praktijken?

Mijn server gebruik ik alleen legitiem en is niet onbevoegd te bereiken qua beveiliging/account pass, gebruik zelf puur met Extern bureaublad en zit geen malware of zoiets op. Neem aan gezien die gevonden lijst zó massief is, dat ik gewoon deel uit heb gemaakt van een scan naar bruikbare of kwetsbare servers/IP's (maar de vraag, voor wát was mijn VPS dan kwetsbaar in die zin)

Ik heb enkele maanden geleden last gehad van een voorzorgsmaatregel van mijn hosting omdat er 'ongebruikelijk' verkeer was, het bleek dat mijn server een andere server verdacht verkeer stuurde via poort UDP 28. Het kan zijn dat dit gebruik was van mijn server door aanvallers die kracht putten uit die publieke lijst van ''chargen listed IP + ports'' oid. Of een totaal ongerelateerd ander probleem natuurlijk.

Nu is de vraag:
- Wat noemt men in de hackerswereld '' fresh Chargen Lists'' betekent dit dat elke server daarop op e.e.a manier ge-exploit is en beschikbaar staat aan hackers?
- Heeft het dan met verkeerde zooi op de server te maken of open poorten/is dat een simpele poortscan?
- Dus met andere woorden, als eigenaar van een legitieme server: hoe kom ik met mijn server IP op zo'n lijst terecht, die het hackerswereldje doorgaat?
- Hoe kan ik dit tegengaan, of voorkomen dat de server op dergelijke lijsten komt. Ligt het aan mijn beveiliging, kan ik er wat tegen doen.

Extra informatie, de poort toegevoegd aan het IP van mijn server op de lijst was 5859 en dit is bekend te haken aan iets wat ''Wherehoo'' heet (port mapping sites stellen dat) ik heb hier echter nog nooit van gehoord en draai zoiets ook niet op mijn server naar mijn weten.
meer dan 4000 IP's op die lijst hadden elk vrijwel unieke poorten. Mijn IP is de enige daar met deze poort erachter.

Edit: ik heb de poort 5859 zoals ik op die lijst stond al geblokkeerd met Windows firewall in VPS, maar vraag me af wat er nu eigenlijk gaande is/was en of dit dan afdoende maatregel is.

systemdeveloper
17/12/15, 09:26
'chargen' is poort 19.

Wat ze doen is een udp packet sturen naar jouw poort 19 met een gespoofed adres van de server die geddos'd moet worden. Jouw chargen poort (indien open uiteraard) kan tot 512 bytes terug sturen afhankelijk van de parameters. Zo werk je dus mee aan amplification attacks.

Oplossing is alles poorten firewallen en alleen open zetten wat je nodig hebt (ftp, http, mail, rdp, etc) en indien mogelijk ftp, rdp e.d. alleen voor je eigen ipadres open zetten.
Indien mogelijk moet je ook uitgaand verkeer filteren zodat inkomende packets iig niet meer onzin naar buiten kunnen sturen (bcp 38 verhaal eigenlijk)