Port-Scan auf Port 113 oder korrektes Exim?

Leider habe ich auf diese doch recht ernsthafte Frage weiterhin keine Antwort bekommen. Muss man nun damit leben, dass solche Serveraktivitäten als "Portscans" gewertet und evtl. mit der Serversperrung geahndet werden.

Es wäre doch überaus freundlich, wenn hierzu eine Aussag getätigt würde.

Dieser Vorgang ist ein "gutes" Beispiel für die Nachfrage von Anne-Claude "Was sollten wir bei unserem Support verbessern?" im Beitrag http://forum.ovh.de/showpost.php?p=28152&postcount=17 ....

Servus,

Wie sieht es denn mit einem konkreteren Statement zum Vorgehen in diesem und ähnlichen Fällen aus? Ich habe kein gutes Gefühl, wenn plötzlich mal 50 Kunden wegen einer groben Falschbewertung offline gehen.

Auch das lesen von http://forum.ovh.de/showpost.php?p=26968&postcount=67 und des gesamten Threads haben die Bedenken eher größer denn kleiner werden lassen.

Spätestens nachdem hier die Vermutungen des obigen Threads Realität und aufgrund einer Fehleinschätzung Aktiviäten veranlasst wurden würde ich mir eine Regelung wünschen, die es Hostern gestattet die Dienste von OVH mit guten Gefühl weiter zu nutzen. Ohne das Risiko, dass wegen einem Irrtum oder eines schwarzen Schafes gleich alle Kunden vorübergehend terminiert werden.

Kann man hierzu zeitnah mit verbindlichen Aussagen rechnen?
--
mfg Matthias

danke für die "vorbeihuschenden" Infos Angie!

Alles andere wäre auch grober Blödsinn.

Ich werde nun erst einmal abwarten..
Wir haben einen EG+L bei euch, mal sehen wie er sich macht.
Bei Hetzner gibt es allerdings auch gute Angebote..
Vor allem, daß man dort für "Übertraffic" einfach zahlen kann ohne in die Gefahr zu laufen daß einem die Bandbreite gedrosselt wird. Ich weiss.. ihr habt euer Streaming Angebot für 1000EUR / Monat - aber alles was dazwischen ist rechnet sich dann nicht mehr.. egal.. mal sehen.. Danke für die Info jedenfalls!

Danke fürs vorbeihuschen.

Solange erst mal eine Mail geschickt wird geht das ja noch, solange nicht einfach ein Server gesperrt wird.

Allerdings sollte nach so einer "Notfalleinsatz" Email auch nicht erst nach 4 Tagen auf Nachfrage eine nahezu inhaltsfreie Email kommen, sondern eher ein bischen zeitnaher (Falls es doch mal ein Hack ist).

Hallo,

hab also heute im Vorbeihuschen an dem Octave deutig die Aussage gehört das er sich das mit dem Port 113 genauer ansieht. Das wir was machen müssen wegen den Scans aber das dies durch exim sehr komplex wird.

Also wenn er solche Sachen sagt denk ich mal nicht das er euch einfach 'nen Port sperrt.

Nur so im Vorbeihuschen an euch weiter verraten

Angie

Achso... :-) Na dann.. gute Nacht!

@OVH: Einen Server zu sperren weil er normale requests an port 113 (über den nun wirklich keiner einen Angriff startet..) wäre für mich ein no-go!

Dann habe ich Deinen Post nicht verstanden, bzw. weiss nicht auf welche Email Du Dich beziehst.

Naja das bist dann wohl DU, oder SIE? Herr / Kollege / mstuebner

Sind wir jetzt schon beim Siezen in Internetforen????!

Ich bezog mich eher auf:

...wer immer auch DU ist...

Mein Fehler.. Ein RFC ist ein "release for comment" - das sind sinngemäss die Dokumente die das Internet "damals" geformt haben.. Egal

http://www.google.de/search?q=RFC1413

Erster Klick.. oder zweiter..

Es macht das Verständnis einfacher, wenn Du angibst auf welchen Post/Absender Du Dich beziehst!

Ähm du hast die Mail von OVH bekommen?

Wenn.. dann sollte der check dringend überprüft werden. Ein Check eines SMTP gegen port 113 des sendenden hosts ist.. ähm.. normal!

@ OVH: bitte mal RFC1413 lesen

Hier bitte: ns28064.ovh.net

Hallo,

wie ist denn die Nummer Deines Servers?

Mathias

ich bekomme seit 4 tagen keine antwort wegen des hack vom support, was ist da los?

Dann bin ich mal gespannt, was OVH-Support dazu meint.

Solange es sich um eine Warnung handelt tut das ja nicht weh, wenn aber jemand auf die Idee kommt aus Unkenntnis/Verwechslung einen Server zu sperren ist das dann doch ernster.

ja, bei mir ist auch passiert.


ich habe meine server neu aufgesetzt, etch from scratch installiert, da war exim4 auch dabei.


kurz um 0 uhr wurde meine server wegen angeblichen hack gesperrt.

Moin,

nachdem ich überraschend eine Email über von einem Server ausgehende Portscans erhielt, hatte ich heute Zeit mich ein wenig tiefer mit der Materie zu beschäftigen und habe dabei überraschendes herausgefunden.

Es wurde festgestellt, dass von einem Server aus auf verschiedenste IPs Verbindungen auf den Port 113 aufgebaut wurden, was seitens OVH als Portscan klassifiziert und mir die Warnung eines "Semi-Hacks" geschickt wurde. (Positiver Weise wurde der Server nicht angefasst/gesperrt.)

Port 113 ist aber ganz gewöhnlicher Bestandteil des von Exim genutzten IDENT Protocols (http://exim.sipo.nl/exim-html-4.40/doc/html/FAQ_19.html). Der Prozess der die Verbindungen aufbaut ist auch exim bzw. mailnull. Zudem ist dieses "Verhalten" auf allen Servern zu finden.

Das Nutzen des IDENT lässt sich zwar in Exim über rfc1413_query_timeout = 0s abschalten. Bedenklich ist jedoch, dass derartige Standardkonfigurationen seitens OVH urplötzlich als "Semi-Hack" bezeichnet werden und der Server schlimmstenfalls auch noch gesperrt wird!?

Wie ist Exim (so benutzt) bei euch konfiguriert und nutzt Exim bei euch auch das IDENT Protokoll bzw. (falls Ja) habt ihr diesbezüglich schon mal Hack-Warnungen von OVH erhalten?