# Portmapper Dienst - Warnung des BSI



## bernie (31. März 2016)

Guten Morgen
Wir erhalten momentan Warnmeldungen des BSI betr. allfälligen Portmapper DDoS Attacken"


> der Portmapper-Dienst (portmap, rpcbind) wird bentigt, um RPC-Anfragen
> (Remote Procedure Calls) dem korrekten Dienst zuzuordnen. Der Portmapper-
> Dienst wird u.a. fr Netzwerkfreigaben ber das Network File System (NFS)
> bentigt. Der Portmapper-Dienst verwendet Port 111 tcp/udp [1].
> ...


Habt Ihr dazu irgendwelche Empfehlungen?
Vielen Dank.
Gruss
Bernie


----------



## darkness_08 (31. März 2016)

Ja, Hetzner verteilt diese Mails gerade.
Ich denke im ersten Schritt die Firewall einrichten. So wird es in den Links der Mail empfohlen.


----------



## suther (31. März 2016)

Ja, hab heute auch eine bekommen.
Soweit ich weiß, benötigt man rpcbind nur für NFS, oder? Von Haus aus sollte ispconfig das demnach nicht benötigen?!
Reicht es da, einfach den rpcbind zu stoppen:

```
service rpcbind stop
```
und gegen wiedereinschalten beim Startup zu sichern:

```
chkconfig rpcbind off
```
Oder würdet Ihr den laufen lassen, und einfach via IPTABLES den Port 111 von außerhalb abweisen?
So wie es hier beschrieben ist: https://access.redhat.com/documenta...nux/3/html/Security_Guide/s1-server-port.html


----------



## Till (31. März 2016)

ISPConfig braucht den nicht, ich würde ihn einfach stoppen wenn Du keinen anderen Dienst wie NFS laufen hast, der ihn benötigt.


----------



## florian030 (1. Apr. 2016)

Ich finde solche Mails vom BSI ziemlich frech. Es kann durchaus Gründe geben, warum ein portmapper laufen muss.


----------



## darkness_08 (2. Apr. 2016)

Naja, sie schreiben ja, dass es eine generelle Überprüfung war und nur ggf. Tätig werden sollte.
Hattest du eine der Mails gesehen?


----------



## nowayback (2. Apr. 2016)

ich weiß nicht, aber frech finde ich die mails nicht. ich stimme dir schon zu @florian030 dass es gründe geben kann warum ein portmapper laufen muss, aber muss der auf der internet ip laufen? 
wäre es da nicht sinnvoller einfach ein vpn aufzubauen und die entsprechenden dienste einfach durch den tunnel zu schicken? ich persönlich würde das auf jeden fall bevorzugen und mir ist bis heute noch kein fall untergekommen, in dem rpc via internet erreichbar sein musste.

davon abgesehen sollte man das schon als warnung verstehen, denn wenn der entsprechende server tatsächlich für einen angriff mitgenutzt wird, hat man warscheinlich mehr stress an der backe als einmal nen tunnel aufzusetzen.


----------



## Till (4. Apr. 2016)

Ein Kunde von mir hatte auch die Email bekommen und der Portmapper der dort lief war garnicht notwendig, von daher finde ich sowas durchaus OK, denn ich denke es gibt nicht so viele Setups die wirklich den portmapper Dienst auf einer öffentlichen IP benötigen.


----------



## bloody_noob (12. Mai 2017)

Das Hauptproblem sind doch nicht die Endanwender auf deren Rechnern rpcbind an 0.0.0.0 gebunden wurde, das Problem sind schlechte Defaulteinstellungen einiger Upstream-Pakete oder in den Bundles von Distributioen. Gibt es Zahlen oder Informationen dazu ob das BSI sich beim Upstream-Entwickler über schlechte Defaults beschweren oder gar beim Distributor?

Da das für mich intransparent ist behaupte ich: Hier werden Symptome bekämpft aber nicht deren Ursache!

Habe die Mail heute auch erhalten, auf dem betroffenem System läuft Ubuntu-Server und ich gehe jede Wette ein: portmapper/rpcbind wurde von einer Abhängigkeit oder einem empfohlenem Paket installiert welches in der Default Einstellung rpcbind an 0.0.0.0 bindet statt an localhost...


----------



## pgloor (21. Mai 2017)

Der Thread ist zwar nicht mehr ganz neu, aber ich antworte hier, weil es gerade wieder mal aktuell ist. Ich habe vorgestern auch so eine Mail bekommen und war zuerst erstaunt, da ich mir ganz sicher war, die Ports erst vor kurzem überprüft zu haben. Und in der Tat war rcbind an 0.0.0.0 statt an localhost gebunden. Ich denke, ich weiss bereits wie das zustande gekommen ist und falls meine Vermutung stimmt, dann werde ich das Problem als Fehler an geeigneter Stelle rapportieren.

Im Übrigen finde ich es eine gute Sache, wenn man auf solche "Löcher" aufmerksam gemacht wird. Ich empfinde das keinesfalls als Frechheit oder Schikane.


----------

