Meine Odysee mit einem gesperrten #
Hetzner #
server Hetzner sperrte mir einen Server, weil sie von ihm einen Portscan entdeckten. Laut dump den ich bekam, probierte der Server IP Adressen von 235.185.x.x jeweils auf Port 443 durch, ob jemand zuhört. Portscans sind von Hetznerservern aus nicht erlaubt. Also wird die IP gesperrt. Der Server war mein Wireguard Endpunkt, also erstmal suchen, wo der Fehler liegt. Ein vermuteter Plasterouter wurde von mir aus dem VPN genommen, Server wieder entsperrt. Wenige Tage passiert das nochmal, und die IP wird wieder gesperrt.
Nur dieses mal will Hetzner den Server nicht mehr entsperren, auch wenn er komplett neu aufgesetzt ist, alle Keys fürs Wireguard neu erstellt, etc. Nein, da muss ja irgendwo noch ein Fehler sein, den soll ich gefälligst erstmal finden. Das war auch kein Scan mit hunderten parallelen Anfragen, es wurden in etwas mehr als 3 Minuten ein paar Hundert IP Adressen auf Port 443 angeklopft. Es war halt genug, dass die Erkennung bei Hetzner ansprang, aber es wurde keine Netzwerkkapazität beeinträchtigt.
Da ich mein VPN gerne wieder gehabt hätte geht die Suche also weiter. Die IP Adressen gehören Criteo, Online Werbung. Ah-ha, hat sich irgendwer Werbesoftware im VPN eingetreten? Zeitstempel des Dumps von Hetzner angeschaut. Siehe da, zeitgleich war ich mit meinem Rechner bei wetteronline.de
Eine kurze Suche nach Criteo und wetteronline bringt folgendes hervor:
https://www.criteo.com/de/success-stories/wetteronline/ "WetterOnline verdoppelt die App-Umsätze mit Criteo Direct Bidder." Ah, ha. scannt sich da criteo etwa selbst? Also schnell ohne Überzieher, also Adblocker, auf wetteronline gesurft, und parallel einen TCPdump laufen lassen. Plötzlich kommt eine komische DNS Abfrage vorbei nach "gbc1.nl3.eu.criteo.com". Diese liefert 28 IP Adressen aus der gescannten range zurück. ( gbc2.xxxx bis gbc8.xxx liefern alle eine ähnliche Anzahl IPs zurück) Dann probiert irgendein Script auf der Homepage ein paar davon durch auf 443, bis es sich irgendwo verbindet.
Sprich criteo scannt sich selbst zum load balancing, und ich darf mich dafür rechtfertigen. Und so etwas findet man auch nicht in fünf Minuten raus, die Zeit hätte ich gerne anders genutzt.
Nachdem ich Hetzner mitgeteilt habe, dass eine Werbeschleuder sich selbst scannt, und versichert habe, dass ich den kompletten Criteo Adressblock per UFW ausgehend geblockt habe wurde mein Server wieder entsperrt.
Also, falls jemand UFW am laufen hat und keinen Bock auf criteo hat:
edited: UFW Regel nach Hinweis aus Kommentaren angepasst.
ufw deny out from any to 185.235.84.0/22
