Sicherheitslücke???

  • Hallo Forum, habe heute Post von der T-Com bekommen.

    Dort steht das auf einem "Linux/3.14.0 UPnP/1.0 IpBridge/1.22.0" ein UDP Port offen wäre und ich somit eine Sicherheitslücke in meinem System habe.

    Der nette MA von der T-Com HL meinte, es könnte der RP Sein.

    Kenn Ihr solche Briefe und wie stelle ich fest ob ein Port am RP offen ist der nicht von mir geöffnet wurde????


    Danke im Voraus!

  • Wenn auf Deinem Pi ein Linux 3.14.0 installiert ist, wird der Hinweis der T-Com wohl stimmen, zumal ja auch noch ein Telefonat stattfand.


    Mit einem Portscanner kannst Du überüfen, welche Ports geöffnet sind (auch aus dem Internet als Webservice)



    Servus !

    RTFM = Read The Factory Manual, oder so

  • Danke für die schnellen Antworten. Habe mal mit dem Programm Nmap meinen RP gescannt und 23 offene Ports gefunden. Unter anderem auch den 19022 UDP.

    Was macht denn dieser Port bzw. wie kann ich den schließen?

  • sudo netstat -tulpn

    sudo lsof -i :19022


    verraten dir, welcher Service dort lauscht. lsof muss ggf nachinstalliert werden.

    " […] if you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."

  • Hallo,


    der Port an sich macht nichts, das ist halt einer von 65535 Ports, über die man kommunizieren kann. Post 19022 ist keine Programm fix zugeordnet - was aber nicht heißt, dass auf deinem Raspi nicht ein Programm diesen Port gezielt nutzt. Um das rauszufinden müsstest du aber einen Netzwerkverkehr-Scanner mit laufen lassen bzw. den Port abfragen. Letzteres geht z.B. mit netstat.


    Ansonsten kannst du den Port gezielt schließen. Entweder über eine IP-Tables Regel oder - einfacher- über eine Firewall wie ufw.


    Welches Betriebssystem hast du installiert?


    Gruß, noisefloor

  • llutz, danke für die Befehle

    sudo lsof -i :19022

    bewrikt bei mir leider nix bzw. nach Enter passiert nichts.


    noisefloor, derzeit habe ich auf dem RP "RASPBIAN STRETCH LITE" installiert

    Wie kann ich mit netstat den Port direkt abfragen?

  • Moin Home_Fhem,


    was ich viel bedenklicher finde, ist das der Provider dir das erzählen kann.

    Da wurde ja ein Aus/Eingang durch deinen Router gelegt. Hast du das gemacht??

    Netzintern sehe ich das eher als nicht so tragisch an.


    Gruss Bernd

    Ich habe KEINE Ahnung und davon GANZ VIEL!!
    Bei einer Lösung freue ich mich über ein ":thumbup:"

    Vielleicht trifft man sich in der RPi-Plauderecke.

  • Hallo Bernd, nein im Router habe ich überhaupt keinen UDP freigegeben bzw. weitergeleitet.

    Dort habe ich nur FHEM und Alexa weitergeleitet. Alle anderen Weiterleitungen beziehen sich auf meine NAS.

  • < man netstat > funktioniert auch nicht ?


    Servus !

    man netstat zeigt mir ein "Handbuch" an, aber ich kenne mich damit leider nicht aus.

  • ... im Router habe ich überhaupt keinen UDP freigegeben ...

    Welchen Router hast Du?

    The most popular websites without IPv6 in Germany.

  • RTFM, da hast du schon recht. Das kann ich auch gerne mal tun wenn ich mehr Zeit dafür habe. Da dem nicht so ist, frage ich ja hier die Fachleute.

  • Die schreiben Briefe? Richtig mit Papier und Umschlag wegen nem offenem Port? Können die Ihre Azubis nicht leiden :denker:

    wenn ich mehr Zeit dafür habe. Da dem nicht so ist, frage ich ja hier die Fachleute.

    Ist wie beim Auto fahren, Fahrschule ist fürn Arsch, bei Fragen einfach die Herren in Blau anquatschen.

    [Blocked Image: https://media1.giphy.com/media/CDJo4EgHwbaPS/giphy.gif]


    Aber Hauptsache Ports weiterleiten :shy:

    Der Unterschied zwischen Genie und Wahnsinn definiert sich im Erfolg.

  • rpi444 habe einen ASUS DSL-AC87VG Dual Router

    Kann es evtl. sein, dass dein Router z. Zt. so konfiguriert ist, dass Geräte/Anwendungen (aus deinem W/LAN) mit UPnP- oder PCP-Unterstützung, Portfreigaberegeln konfigurieren/verändern können?


    EDIT:


    Du könntest auch auf deinem PI mit tcpdump (über einen geeigneten Zeitraum) sniffen, ob bzw. von wo auf den UDP-Port 19022 zugegriffen wird:

    Code
    sudo apt-get install tcpdump
    Code
    sudo tcpdump -c 40 -vvven udp dst port 19022


    Siehe auch: https://www.ceilers-news.de/se…sie-alle-zu-knechten.html

    The most popular websites without IPv6 in Germany.

    Edited 2 times, last by rpi444 ().

  • was ich viel bedenklicher finde, ist das der Provider dir das erzählen kann.

    Da muss über diesen Port wohl viel Verkehr gegangen sein, dass die bei der T-Com das festgestellt haben.

    Die prüfen ihr Netz nach ungewöhnlichen Datenverkehren und checken dann mit einem Portscan die Router ihrer Kunden.

    Selber denken,
    wie kann man nur?

  • Ich denke auch, das Problem ist UPnP. Du solltest UPnP in deinem Router deaktivieren.

    sudo apt net-tools sollte helfen, damit du netstat wie beschrieben verwenden kannst. Wie oben angewendet, kannst Du damit erkennen, was wo welchen Port nutzt. Bei dir scheint das Problem der Zugriff von außen zu sein.

    Die Telekom macht dass, weil ein Provider für Sicherheitsrisiken mitverantwortlich gemacht werden kann. Es werden deshalb regelmäßig die Adressbereiche auf offene Ports gescannt. Bleibt ein ungewöhnlicher oder auch oft missbrauchter Port lange offen, kommt dann irgendwann mal nach den Mails Briefpost. ist es zu doll dürfen die sogar sperren.