[AbuseID:XXX: AbuseBSI: [CB-Report#xxx] Offen erreichbare MySQL/MariaDB-Server in XXX

[katasun]

Guten Tag. bei hetzner.de habe ich ein Rootserver mit ISPConfig, aktuell und ohne Fehlermeldungen am laufen.

Folgende Nachricht habe ich erhalten, als Auszug

wir haben einen Sicherheitshinweis vom Bundesamt für Sicherheit in der Informationstechnik (BSI) für (die IP-Adresse) eines Servers erhalten, den Sie bei uns betreiben. Diese Meldung leiten wir automatisch an Sie weiter, zu Ihrer Information.

Tatsächlich ist die MySql Datenbank von aussen erreichbar, aber mit einem starken Passwort abgesichert. Ich habe mich dabei an die Installationsanleitung gehalten.

Kann ich den Zugriff auf MySQL begrenzen, bzw hat jemand eine ähnliche Nachricht erhalten und den ISPConfig Server weiter gehärtet?

Danke für Tipps.

Ralf

 

[Till]

Der Zugang ist über Passwort plus IP Sperre geschützt, also selbst wenn jemand das Passwort hätte könnte er nicht auf die DB (wenn man mal phpmyadmin ausnimmt). Das BSI versendet im Moment regelmäßig solche Emails, da sie nicht einschätzen können ob der Server gesichert ist oder nicht, versenden sie halt eine Warnung. Nicht umsonst sagen Hetzner als auch das BSI dass Sie keine Aktion oder Rückmeldung von Dir erwarten.

Wenn Du sicher bist dass Du die externe IP Freigabe für Datenbanken in ISPConfig nicht nutzen möchtest, kannst Du den MySQL Port in der Firewall sperren. Mir ist aber nicht bekannt dass jemand schon mal MySQL oder MariaDB auf einem ISPConfig Server gehacked hätte der über Passwort + IP Sperre geschützt ist, von daher halte ich das Risiko da für sehr überschaubar.

 

[pyte]

Tatsächlich ist die MySql Datenbank von aussen erreichbar

Hier ist eher die Frage warum die von aussen erreichbar ist. Welchen Grund gibt es dafür?

Kann ich den Zugriff auf MySQL begrenzen, bzw hat jemand eine ähnliche Nachricht erhalten und den ISPConfig Server weiter gehärtet?

In den Installationsanleitungen steht sogar wie die Firewall einzurichten ist. Ich würde den Port 3306 per Firewall einfach nicht von außen zulassen.

 

[Till]

Hier ist eher die Frage warum die von aussen erreichbar ist. Welchen Grund gibt es dafür?

Du kannst halt externen Zugriff in ISPConfig für die DB konfigurieren, ist sie in der Firewall zu dann geht das nicht mehr. Es gibt Leute die nutzen Desktop MySQL Modeling und Backup tools, die brauchen das dann.

In den Installationsanleitungen steht sogar wie die Firewall einzurichten ist. Ich würde den Port 3306 per Firewall einfach nicht von außen zulassen.

Wenn man keinen externen Zugriff benötigt, dann sollte man das in der Tat machen.

 

[snocer]

Du kannst halt externen Zugriff in ISPConfig für die DB konfigurieren, ist sie in der Firewall zu dann geht das nicht mehr. Es gibt Leute die nutzen Desktop MySQL Modeling und Backup tools, die brauchen das dann.

Würde theoretisch auch alles über die Konsole gehen, nur eben sehr umständlich. Daher sind MySQL Modelling Tools und oder Backup Tools (HeidiSQL oder Devart DB forge Studio for MySQL etc. und mit phpMyAdmin oder Adminer, kommst schnell an Deine Grenzen. langsam und bei sehr großen Datenmengen meist nicht mehr händelbar) eben sehr praktisch zu bedienen und man hat mit selten mehr als zwei Klicks die Aufgabe erledigt. Konsole min. das 5-10 fache an Aktionen die notwendig wären um diese Aufgaben zu erledigen.
In dem Hinweis von Hetzner zum Beispiel steht auch, man kann das ignorieren und muss oder sollte auch nicht drauf Antworten. Eine eingerichtet Azure DB ist auch von außen erreichbar, nur kommt hier vom Anbieter nicht so eine komische Warnung vom BSI.

Für reines Webhosting ist es selten notwendig den Zugriff von außen zu erlauben. Aber schon Shop-Hosting mit mehr als 30.000 Artikeln und v.a. kommst fast nicht darum herum.

 

[nowayback]

da hindert dich aber auch keiner dran, einen IP Filter davor zu bauen, z.b. mit iptables. Dann ist die immernoch public am Netz, aber nicht für jeden

 

[snocer]

@nowayback , genau den habe ich auch davor, aber trotzdem bekommst solche Meldungen über Hetzner vom BSI. Auf Nachfrage beim BSI, warum sie diverse Server Scannen, bzw. ganze IP Bereiche, bekommst keine Antwort. Auf Nachfrage warum wir die gleichen Warnungen nicht von Azure etc. durch das BSI bekommen, auch keine Antwort. Ein Schelm wer böses dabei denkt. Da stellt sich doch die Frage, woher wissen die den, dass sich hinter der IP ein SQL Server befindet, wen er nur von bestimmten IPs aus erreichbar ist. Oder sitzen sie schon in den Rechenzentren?
Des weiteren ist ja auch jeder Webserver public im Netz, also warum werden gerade SQL, MySQL Server etc. gescannt die auch noch hinter einem IP Filter liegen. Also eigentlich nicht komplett öffentlich erreichbar sind?
Muss mal bei Putin anfragen warum er noch nicht drauf war, dem BSI und dann einigen anderen scheint es ja dann doch möglich zu sein.
In RZ in den USA und oder FL scheinen sie noch nicht drin zu sein, da haben wir noch keine Meldungen deswegen erhalten. Auch das Admin Panel für Multiserver ist per ip table geschützt, aber die Anwender kann und will ich ja nicht aussperren, die sollten weiterhin ihre Einstellungen verwalten können.