OVH Community, your new community space.

Vmware Esxi 4.1 CVE in ntp


ks-2g
01.02.14, 08:05
Chris,

lass Dich von ein paar dummen Trollen und Dummschwätzern nicht ärgern!
ESXi 4.x ist aber steinalt und Probleme (Sicherheitslücken) vorprogrammiert.
Es ist bei IsGenug sehr mühsam, trotzdem wäre ein Upgrade auf 5.1 (tu Dir 5.5 nicht an!) IMHO ratsam.
TF_SChw@rZl!cht
31.01.14, 22:21
Zitat Zitat von chris12
Um mal eines klar zu stellen, ich bin weder zu Faul, noch unfähig nach dem Fehler zu googlen.
Dennoch finde ich es legitim diese Frage hier im Forum zu stellen, weil ich sicher bin, dass ich nicht der einzige mit Vmware Esxi 4.1 im Forum bin.
naja wenn du google benutzt hättest, dann hättest du den Link, welchen dir ThaKilla gepostet hat sofort auf Seite eins gefunden ...
Marcel40625
31.01.14, 14:06
gut das ich damals direkt proxmox gewählt habe ... was man hier alles in verbindung mit esxi ließt ... bin ich froh das ich es nicht nutze
chris12
31.01.14, 11:42
Zitat Zitat von ThaKilla
Hey chris12,

Hast du schon folgendes probiert?
http://ar0.me/blog/en/posts/2014/01/...n-attacks.html
Danke, der Artikel ist sehr aufschlussreich! Hatte den Dienst direkt nach der OVH Meldung auch schon sofort deaktiviert.
ThaKilla
31.01.14, 11:09
Hey chris12,

Hast du schon folgendes probiert?
http://ar0.me/blog/en/posts/2014/01/...n-attacks.html
chris12
31.01.14, 10:25
Um mal eines klar zu stellen, ich bin weder zu Faul, noch unfähig nach dem Fehler zu googlen.
Dennoch finde ich es legitim diese Frage hier im Forum zu stellen, weil ich sicher bin, dass ich nicht der einzige mit Vmware Esxi 4.1 im Forum bin.
TF_SChw@rZl!cht
31.01.14, 06:29
Ich muss zugeben, dass ich auch erst nicht viel mit den Links anfangen konnte.
ESXI ist wie du schon erkannt hast ein geschlossenes System und auch recht beschränkt auf der cli-ebene, von dem was man gewohnt ist. Ein billiges upgrade des betroffenen Dienstes stelle ich mir da auch kompliziert vor bzw. ehr als bastellei.

Allerdings und das ist es was man dir hier ankreidet, ist es recht leicht über google mit den Keys "esxi ntp attack" eine Lösung zu finden.
Das ist dann immer recht ärgerlich und zeigt nicht unbedingt, dass du gewillt bist in Eigenenergie ein Problem schnell zu lösen. Man kann nie alles wissen das ist klar. Ich wusste es wie gesagt auch erstmal nicht aber man sollte schon wissen, wie man das schnell auch selber nachholen kann, denn ich schätze 99 % aller Probleme können mit einfachen Suchen bzw. nachschlagen gelöst werden.

Gerade wenn ein Server selbst an einem Angriff beteiligt ist bzw. war, sollte man nicht erst auf Antworten in einem Forum warten!
Ich hoffe du verstehst nun etwas besser wieso manche Leute wie Strex dadurch recht ungehalten reagieren, wenn man hier einfach kommt ... Fehlermeldung Copy&Paste postet und sagt ... ja hier ... was muss ich machen.
strex
30.01.14, 23:12
Zitat Zitat von marco
Ein Forum ist dafür da um zu helfen und nicht um Leute nieder zumachen.
Das ist kein Furz sondern ein Tip, mit solcher Fahrlässigkeit fängt man sich heute schneller Probleme, auch rechtlicher Natur ein, als man denkt. Wenn man keine Ahnung, dann muss ein anderer die Aufgabe übernehmen. Denn sonst nimmt man seine Pflichten nicht wahr die man als Administrator hat. Ein öffentlichen Dienst geht Hand in Hand mit Verantwortung. Ich mach meine Buchhaltung auch nicht selber, ich hab keine Ahnung davon, aber wenn ich mit der Einstellung die Steuer machen täte würde mich das Finanzamt sofort kassieren. Das ist bei einem öffentlich Server nicht anders.

Die Resulate sehen wir, Millionen Investitionen in DDoS Hardware das sich auf andere Kunden überträgt. Die Links erlären alles: pack die Wörter in google, hänge vmware esx dran und die Lösung findet sich schnell. Das sollte man von einem Administrator von "zig" Server schon erwarten können.
chris12
30.01.14, 14:24
Zitat Zitat von denis
Du betreust eine 2. stellige Anzahl an Servern, und weißt nicht, wie man nachschaut, ob irgendwo ein bestimmter Dienst läuft?
Hilfe...
Nein das weiß ich nicht! Ich weiß aus dem Kopf nicht, wie man auf einem Vmware Esxi Server prüft welche Dienste direkt von Hypervisor System ausgeführt werden.
Dazu muss aber auch gesagt werden, dass das auch der einzige Esxi Server ist und langfristig es keine mehr geben wird...
denis
30.01.14, 14:17
Zitat Zitat von chris12
Nun stellt sich mir die Frage, wurde der Angriff von der Hostmaschine gesendet oder von den virtuellen Maschinen?
Du betreust eine 2. stellige Anzahl an Servern, und weißt nicht, wie man nachschaut, ob irgendwo ein bestimmter Dienst läuft?
Hilfe...
chris12
30.01.14, 14:16
Zitat Zitat von strex
Ist ein Root Server etwas für dich, ich vermute nicht mit diesem Beitrag. Stelle einen Administrator ein der sich darum kümmert.
Die Links (sogar in Englisch) sagen ja schon alles und beschreiben die Lücke im NTP Server. Mit etwas Energie findet man die weiteren Information das zu beheben, deshalb poste ich das auch nicht hier. Wer ein Root Server betreibt, sollte das auch fixen können. Sonst steht man mit der nächsten Lücke im Regen und hat keinen Plan.
Strex, danke für deine Info! Ich will dir nach etwas sagen, damit du Nachts "noch weniger" schlafen kannst.
Ich betreue eine mittlere zweistellige Anzahl an Servern. Du kannst mir gerne die Ip's deiner Server zukommen lassen, dann werde ich auf jeder meiner Kisten unter /root/toddos.txt deine Ip hinterlegen.
Vielleicht erbarmt sich dann ein potentieller Hacker und ddoss dich auch noch.

Nein, jetzt mal ernsthaft. VMware Esxi ist ein kommerzielles closed Source System, damit fehlt mir schlichtweg die dailybusiness Erfahrung. Und warum sollte man da nicht einfach mal fragen können?
marco
30.01.14, 14:03
Zitat Zitat von strex
Ist ein Root Server etwas für dich, ich vermute nicht mit diesem Beitrag. Stelle einen Administrator ein der sich darum kümmert.
Die Links (sogar in Englisch) sagen ja schon alles und beschreiben die Lücke im NTP Server. Mit etwas Energie findet man die weiteren Information das zu beheben, deshalb poste ich das auch nicht hier. Wer ein Root Server betreibt, sollte das auch fixen können. Sonst steht man mit der nächsten Lücke im Regen und hat keinen Plan.
Denke jeder sollte selber wissen ob "er /sie" sich einen Server mieten oder nicht. Blabla ob das jetzt ein Spamserver oder what ever ist. Aber dieses neunmalkluge von wegen stelle einen Admin ein bringt genauso viel wie ein feuchter Furz. Ein Forum ist dafür da um zu helfen und nicht um Leute nieder zumachen.

Code:
Upgrade to 4.2.7p26 or later.
Users of versions before 4.2.7p26 should either:
Use noquery in your default restrictions to block all status queries.
Use disable monitor to disable the ntpdc -c monlist command while still allowing other status queries.
Soll soviel heißen das du es upgraden sollst auf eine höhere Version.
strex
30.01.14, 13:36
Ist ein Root Server etwas für dich, ich vermute nicht mit diesem Beitrag. Stelle einen Administrator ein der sich darum kümmert.
Die Links (sogar in Englisch) sagen ja schon alles und beschreiben die Lücke im NTP Server. Mit etwas Energie findet man die weiteren Information das zu beheben, deshalb poste ich das auch nicht hier. Wer ein Root Server betreibt, sollte das auch fixen können. Sonst steht man mit der nächsten Lücke im Regen und hat keinen Plan.
chris12
30.01.14, 11:21
Hallo,

habe gestern eine Mail von Anti Hack (ovh) bekommen.

Code:
Guten Tag,

auf Ihrem Server nsxxxxxx.ovh.net wurden unnormale Aktivitaten festgestellt.
Zoegern Sie nicht, den Support zu kontaktieren, damit die Situation nicht 
kritisch wird.
Hier die von unserem System aufgefuehrten Logs, die zu diesem Alarm gefuehrt 
haben: 
-  BEGINN DER ZUSATZINFORMATIONEN  -

Nous avons ete informe  que votre serveur avec l'ip   4x.xxx.xxx.xxx  a participe a une attaque en deni de service distribue contre une organisation canadienne.

Une vulnerabilite dans "ntpd" a ete exploite permettant une attaque par amplification.

Les elements techniques utiles peuvent etre consultes ici :

http://www.cert.ssi.gouv.fr/site/CERTA-2014-AVI-034/
http://support.ntp.org/bin/view/Main/SecurityNotice#DRDoS_Amplification_Attack_using
https://www.us-cert.gov/ncas/alerts/TA14-013A
Fehlermeldung in französisch? Schön dass sich niemand die Mühe macht die Meldung zu mindestens in englisch zu schreiben!? (Für 15x Eur im Monat kann man das ja auch nicht erwarten...)
google Translate: Grob übersetzt, steht da, dass mein Server an einem Ddos auf ein kanadisches Unternehmen teilgenommen haben. Auf der Kiste läuft VmWare EsXi Server 4.1.

Nun stellt sich mir die Frage, wurde der Angriff von der Hostmaschine gesendet oder von den virtuellen Maschinen?
Wenn von HN, wie lässt sich die Kiste fixen ohne eine Neuinstallation? Habe keinen fix auf der Seite von Vmware gefunden.