Aktuell werden NTP Server angegriffen, um diese zu einer „Reflection Attacke“ zu missbrauchen, daher haben wir ein kurzes Tutorial erstellt, das Ihnen helfen soll NTP reflection Attacken zu erkennen und zu verhindern.
Was ist eine NTP reflection Attacke?
Bei einer NTP reflection Attacke wird der Server dazu gebracht weitere Server im Internet mit NTP Paketen anzugreifen. Diese Angriffsart kann nur vorkommen, wenn Sie auf Ihrem Server einen NTP-Zeitserver zum Abgleich der Systemzeit nutzen.
Wie kann ich prüfen, ob mein Server von diesem Problem betroffen ist?
Unter Debian basierenden OS gibt es ein Programm namens „ntpdc“. Damit führen Sie folgendes Kommando aus:
root@server:~/# ntpdc -n -c monlist 127.0.0.1
Darauf erhalten Sie vom Server entweder folgende Antwort:
root@server:~/# ntpdc -n -c monlist 127.0.0.1 ***Server reports data not found
In diesem Fall ist Ihr Server nicht angreifbar!
Sollten Sie eine Statistik wie folgende erhalten, ist Ihr Server angreifbar:
remote address port local address count m ver rstr avgint lstint
===============================================================================
176.31.45.66 123 82.211.0.200 8 4 4 1d0 3 9
78.47.255.100 123 82.211.0.200 8 4 4 1d0 3 13
5.9.122.148 123 82.211.0.200 8 4 4 1d0 3 15
148.251.41.82 123 82.211.0.200 3 4 4 1d0 8 22
Was kann ich tun, wenn mein Server betroffen ist?
Zur Lösung des Problems fügen Sie bitte in Ihre /etc/ntp.conf als letzten Eintrag folgende Zeile ein:
disable monitor
anschließend mit dem Befehl
/etc/init.d/ntp restart
den NTP Service neu starten.
Anschließend führen Sie die Prüfung erneut durch. Die Liste sollte nun nicht mehr angezeigt werden.
Sollten Sie weitere Fragen zu dieser Vorgehensweise haben, stehen wir Ihnen gerne jederzeit zur Verfügung.
Update
Scheinbar wird in manchen Fällen die IPMI Schnittstelle attackiert.
Wir empfehlen daher bei IPMI die NTP Option komplett zu deaktivieren.
Dies ist über die IPMI Schnittstelle problemlos möglich: