Hi!

Dank offener memcached gibt es nun DDoS mit 1,7Tbps: https://www.pcmag.com/news/359693/powerful-ddos-attack-sets-new-record-at-1-7- tbps

cu,
Markus

===
# Origin: *** theca tabellaria *** (2:240/1661)
--- SBBSecho 3.03-Linux
* Origin: Region 15 HQ (1:15/0)

Hallo Markus!

10.03.2018 19:40, Markus Reschke schrieb an Alle:

Dank offener memcached gibt es nun DDoS mit 1,7Tbps: https://www.pcmag.com/news/359693/powerful-ddos-attack-sets-new-record -at-1-7- tbps

Diese Nachricht hatte ich auf heise.de auch gelesen.
Wahrscheinlich werden DDoS Angriffe noch intensiver und heftiger werden.
Durch solche Baukästen wie PoC ist das ja recht einfach.

Ich frag mich manchmal, wie dämlich manch eine standart Installation ist.
Das die Admins nichtmal die ganze man page durchlesen, ist schon frustrierend.

Die Auswirkungen dürften ähnlich der des smtp-spoofings für spam sein. Seit Jahrzehnten kämpfen wir gegen Spam, aber die Admins sind nicht in der lage, ihren smtpd sauber zu konfigurieren.

cu,
Markus

Bye/2 Torsten

... MAILBOX: 0:58h - up 9d 5h 48m load: 30 proc, 116 threads (tbupv1.1)
=== GoldED+ 1.1.5
# Origin: DatenBahn BBS Hamburg (2:240/5832)
--- SBBSecho 3.03-Linux
* Origin: Region 15 HQ (1:15/0)

Hallo Torsten!

2018-03-11 00:58 schrieb Torsten Bamberg an Markus Reschke:

Ich frag mich manchmal, wie dΣmlich manch eine standart Installation
ist. Das die Admins nichtmal die ganze man page durchlesen, ist schon frustrierend.

Ja, da kann man sich nur wundern. Eine der wichstigsten Regeln ist: Alle Dienste, die nicht von au▀en erreichbar sein mⁿssen, sollte man abschotten. Unix sockets statt IP, FW-Filter, tcp-wrapper, nur lokale IP-Adresse binden, integrierte ACLs usw. sind kein Hexenwerk.

Die Auswirkungen dⁿrften Σhnlich der des smtp-spoofings fⁿr spam
sein. Seit Jahrzehnten kΣmpfen wir gegen Spam, aber die Admins sind
nicht in der lage, ihren smtpd sauber zu konfigurieren.

Ich denke, da▀ man die offenen memcached mit offenen DNS Resolvern vergleichen kann. SPAM ist eine andere Geschichte.

cu,
Markus

===
# Origin: *** theca tabellaria *** (2:240/1661)
--- SBBSecho 3.03-Linux
* Origin: Region 15 HQ (1:15/0)

Hallo Markus!

Antwort auf eine Message von Markus Reschke an Torsten Bamberg:

Ich frag mich manchmal, wie dΣmlich manch eine standart
Installation ist. Das die Admins nichtmal die ganze man page
durchlesen, ist schon frustrierend.

Ja, da kann man sich nur wundern. Eine der wichstigsten Regeln ist:
Alle Dienste, die nicht von au▀en erreichbar sein mⁿssen, sollte
man abschotten. Unix sockets statt IP, FW-Filter, tcp-wrapper, nur
lokale IP-Adresse binden, integrierte ACLs usw. sind kein
Hexenwerk.

Standard mⁿsste sein: Alles wird geblockt. Sollte man doch mal etwas brauchen, dann muss es einzeln freigeschaltet werden.

Die Auswirkungen dⁿrften Σhnlich der des smtp-spoofings fⁿr spam
sein. Seit Jahrzehnten kΣmpfen wir gegen Spam, aber die Admins
sind nicht in der lage, ihren smtpd sauber zu konfigurieren.

Ich denke, da▀ man die offenen memcached mit offenen DNS Resolvern vergleichen kann. SPAM ist eine andere Geschichte.

Hab die Berichte nicht gelesen, weiss man wessen Server da offen war?

Gruss aus Neustadt

Andreas <<

=== FleetStreet 1.27.3.8d
# Origin: Two Wrongs Don't Make A Right, But Three Lefts Do. (2:2437/224)
--- SBBSecho 3.03-Linux
* Origin: Region 15 HQ (1:15/0)

Am 11 Mar 18 00:58:45 schrob Torsten Bamberg an Markus Reschke zum Thema <DDoS mit 1,7Tbps>

Ich frag mich manchmal, wie daemlich manch eine standart Installation ist.

Einbeinig waere eine Standart. :-)

Das die Admins nichtmal die ganze man page durchlesen, ist schon frustrierend.

Dafuer werden sie halt nicht bezahlt. Der Einkaeufer sucht fuer die IT-Abteilung den billigsten Dienstleister und der legt die DVD ein und klickt auf "next", bis die Installation durch ist. Wenn die Soll-Funktion da ist, ist er fertig.



Tschoe mit Oe
Gerhard
===
# Origin: (2:240/2188.575)
--- SBBSecho 3.03-Linux
* Origin: Region 15 HQ (1:15/0)

Hi Andreas!

2018-03-12 00:48 schrieb Andreas Weiss an Markus Reschke:

Standard mⁿsste sein: Alles wird geblockt. Sollte man doch mal etwas brauchen, dann muss es einzeln freigeschaltet werden.

Kann man auch machen, aber man mu▀ dann das fⁿr IP Notwendige (ICMP & Co) erlauben.

Hab die Berichte nicht gelesen, weiss man wessen Server da offen war?

Shodan fragen :) IIRC, sind 60k Server betroffen.

cu,
Markus

===
# Origin: *** theca tabellaria *** (2:240/1661)
--- SBBSecho 3.03-Linux
* Origin: Region 15 HQ (1:15/0)

* Antwort auf Message in MyMail

Hallo Markus!

Antwort auf eine Message von Markus Reschke an Andreas Weiss:

Standard mⁿsste sein: Alles wird geblockt. Sollte man doch mal
etwas brauchen, dann muss es einzeln freigeschaltet werden.

Kann man auch machen, aber man mu▀ dann das fⁿr IP Notwendige (ICMP
& Co) erlauben.

Wie Du schon gesagt hast, dann bitte sicher.

Hab die Berichte nicht gelesen, weiss man wessen Server da offen
war?

Shodan fragen :) IIRC, sind 60k Server betroffen.

Das Tool ist ja primΣr etwas fⁿr gro▀e Webserver gedacht. Von daher wohl essentiell bei Facebook und Co. Facebook, Amazon und Google dⁿrften wohl die gr÷▀ten (und neben den CDNs) auch die mit den fettesten Leitungen sein.

Gruss aus Neustadt

Andreas <<

=== FleetStreet 1.27.3.8d
# Origin: Enthaltsamkeit ist Mord am ungezeugten Leben! (2:2437/224)
--- SBBSecho 3.03-Linux
* Origin: Region 15 HQ (1:15/0)