Skip to main content

Abuse BSI-Cert Portmapper Dienst Debian Systeme

rpcbind Offene Portmapper-Dienste | CERT-Bund-Reports

Der Portmapperdienst portmap oder rpcbind übernimmt die Zuordnung von RPC-Anfragen (Remote Procedure Calls) zu Netzwerkdiensten. Wird von NFS Benötigt!

Sehr geehrte Damen und Herren,
der Portmapper-Dienst (portmap, rpcbind) wird benötigt, um
RPC-Anfragen einem Dienst zuzuordnen. Der Portmapper-Dienst wird
u.a. für Netzwerkfreigaben über das Network File System (NFS)
benötigt. Der Portmapper-Dienst verwendet Port 111 tcp/udp.
Ein offen aus dem Internet erreichbarer offener Portmapper-Dienst kann
von einem Angreifer zur Durchführung von DDoS-Reflection-Angriffen
missbraucht werden. Weiterhin kann ein Angreifer darüber Informationen
über das Netzwerk erlangen, wie z.B. laufende RPC-Dienste oder
vorhandene Netzwerkfreigaben.
In den letzten Monaten wurden Systeme, welche Anfragen aus dem
Internet an den Portmapper-Dienst beantworten, zunehmend zur
Durchführung von DDoS-Reflection-Angriffen gegen IT-Systeme Dritter
missbraucht.
Nachfolgend senden wir Ihnen eine Liste betroffener Systeme in Ihrem
Netzbereich. Der Zeitstempel (Zeitzone UTC) gibt an, wann auf dem
System ein offener Portmapper-Dienst identifiziert wurde.
Wir möchten Sie bitten, den Sachverhalt zu prüfen und Maßnahmen zur
Absicherung der Portmapper-Dienste auf den betroffenen Systemen zu
ergreifen bzw. Ihre Kunden entsprechend zu informieren.
(https://docs.nerdscave.de/loading.gif#uploadimage-ed2b64912fd74)

Testing

rpcinfo -T udp -p 193.25.201.48

Gibt bei offenem Dienst folgene oder ähnliche Antwort zurück:

program vers proto   port  service
100000    4   tcp    111  portmapper
100000    3   tcp    111  portmapper
100000    2   tcp    111  portmapper
100000    4   udp    111  portmapper
100000    3   udp    111  portmapper
100000    2   udp    111  portmapper
100024    1   udp  48035  status
100024    1   tcp  52605  status

Bei geschlossenem Dienst sieht der Output so, oder so ähnlich aus:

rpcinfo: can't contact portmapper: RPC: Remote system error - Connection timed out

Lokal testen:

rpcinfo -p 
netstat -ntupl | grep 111

Was ist zu tun?

Wenn NFS genutzt werden soll muss es aktiv bleiben!

Einfacher Weg, rpcbind Deinstallieren:

apt-get remove rpcbind

EMPFOHLEN, Proxmox wird rpcbind neu Installieren!
RPCbind Daemon stoppen, masken und deaktivieren:

systemctl stop rpcbind
systemctl disable rpcbind
systemctl mask rpcbind
systemctl stop rpcbind.socket
systemctl disable rpcbind.socket

Testing ob wirklich deaktiviert: systemctl status rpcbind

● rpcbind.service
   Loaded: masked (Reason: Unit rpcbind.service is masked.)
   Active: inactive (dead)

netstat -ntupl | grep 111
... leere Ausgabe ...

No Comments
Back to top