Hympendahlbrücke

Manchmal geht das Leben von hinten durch’s Knie: dadurch, dass die Bahnstrecke zwischen Dortmund und Hamm wegen Bauarbeiten gesperrt ist, habe ich gelegentlich das Vergnügen mit der RE11 direkt nach Unna zu fahren. Bei der Gelegenheit schaute ich genau zum richtigen Zeitpunkt aus dem Fenster und entdeckte eine malerische Brückenruine. Ich forschte etwas nach und heute haben wir uns die Gegend angesehen.

Was ich da gesehen hatte, war die Hympendahlbrücke, eine Brücke, über die bei Hoesch die Schlacke aus den Hochöfen abtransportiert wurde. In den fünfziger Jahren ist dann ein Teil der Brücke zusammengebrochen. Inzwischen sind die meisten Industrieanlagen verschwunden und die Gegend ist schön begrünt. Und nachdem wir auch schon auf ziemlich vielen Abraumhalden unterwegs gewesen waren, war es das erste Mal, dass wir auf eine Schlackehalde standen.

Gleich in der Nähe hat Bergmann-Bier (Harte Arbeit. Ehrlicher Lohn) seine Brauerei zusammen mit einer Stehbierhalle gebaut … in der  man auch sitzen kann. Heute war auch der Biergarten geöffnet, der vor allem von Radwanderern gut besucht war. Ein netter Ausgangs- und Rückkehrpunkt, um das ehemalige Hoeschgelände zu erkunden. Und da ist für uns noch einiges zu entdecken.

Unerwünschtes rpcbind

Es ist wirklich doof, wenn man von seinem Webhoster (in meinem Fall netcup) eine Mail vom CERT Bund weitergeleitet bekommt, in dem die Rede von einem möglichen Sicherheitsrisiko auf dem eigenen Server ist. Genauer gesagt ging es um diesen Scan:

Log:
"asn","ip","timestamp","rpc_response"
[...]
​
"197540","46.38.233.137","2018-08-06 04:21:33","100000 4 111/udp; 100000 3 111/udp; 100000 2 111/udp; 100000 4 111/udp; 100000 3 111/udp; 100000 2 111/udp;"
​
[...]

Er zeigt, dass rcpbind offen nach außen ist. Damit könnte mein Rechner für DDoS-Reflection-Angriffe missbraucht werden.

Also erst mal schnell auf der Maschine gescannt:

root@somesystem:~# netstat -anp | grep LISTEN 
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      31653/mysqld        
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      653/rpcbind         
tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      6169/systemd-resolv 
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      832/sshd            
tcp6       0      0 :::111                  :::*                    LISTEN      653/rpcbind         
tcp6       0      0 :::80                   :::*                    LISTEN      899/apache2         
tcp6       0      0 :::22                   :::*                    LISTEN      832/sshd            
tcp6       0      0 :::443                  :::*                    LISTEN      899/apache2 

Und tatsächlich: da ist ein rcpbind, der da nichts zu suchen hat. Er ist da reingeraten, als ich vor ein paar Wochen meinen Server neu installiert habe und die Daten auf einem externen NFS-Mount zwischenlagerte. Dazu hatte ich nur nfs-common installiert, also nur den NFS-Client, nicht den Server. Und nur letzterer braucht rpcbind. Aber durch die Abhängigkeitsstuktur von nfs-common hatte ich da plötzlich ein Sicherheitsproblem durch ein rpcbind, das ich gar nicht bemerkt hatte.

In meinem Fall war die Lösung simpel.

apt remove nfs-common

Das deinstallierte automatisch libnfsidmap2, libtirpc1 und rpcbind.

Der nächste Scan sah besser aus

root@somesystem:~# netstat -anp | grep LISTEN
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      31653/mysqld        
tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      6169/systemd-resolv 
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      832/sshd            
tcp6       0      0 :::80                   :::*                    LISTEN      899/apache2         
tcp6       0      0 :::22                   :::*                    LISTEN      832/sshd            
tcp6       0      0 :::443                  :::*                    LISTEN      899/apache2         
​

Fazit: als Abschluss nach einer Neuinstallation immer netstat -anp | grep LISTEN durchführen