LXC Container Trafficwarnung

[Pummeluff]

Guten Abend,

ich hoffe mal, hier gibt's ein paar Sicherheitsprofis. Eigentlich bin ich mir relativ sicher, dass ich hier keinen Mist gebaut hab. Wär aber schön, wenn ich mal ein paar zusätzliche Anregungen bekomm.

Ausgangslage/-konfiguration:
Ich hab bei Noez seit ein paar Monaten einen VServer gemietet.

• OS: Debian 11
• LX-Container (LXC)
• Preis: 1,29€/Monat
• Einsatzzweck: Wireguard-Server zwischen IPv6-Netz (Deutsche Glasfaser) + IPv4-Netz (Smartphones + Netz meiner Eltern). Ab und zu mal VNC für die Fernwartung. Ansonsten sind keine Datenschleudern dabei.
• Unbound DNS-Server: für interne DNS-Namen in den unterschiedlichen Netzen. Aufgrund der Firewall nicht von außen erreichbar (kein Public DNS-Resolver).

Noez hat mir heute eine Mail über eine Traffic-Warnung geschrieben:

wir schreiben Dir bezüglich deines vServers mit der ID xxxxx & der primären IP-Adresse 5.230.72.xxx. Wir haben festgestellt, dass Du deinen Server ausgiebig nutzt, was auch toll ist! Derzeit hat Dein Server ein Traffic-Volumen von 75% verbraucht.

In der Weboberfläche steht dazu:

Trafficverbrauch: 759.11 GB/1000 GB

Die Zahl ist mir unerklärlich.

Wie ist das Ding abgesichert:

• SSH-Port ist auf 222 gelegt. Login nur per Root mit SSH-Key. SSH per Login+Passwort ist deaktiviert. Einen anderen User mit Login-Shell gibt es nicht auf dem Server.
• Fail2ban steht unter Dauerattacke. Nach jedem 3. Fehlversuch landet die IP in einer Blacklist. Je nach Uptime stehen da gern mal ein paar Tausend IPs drin. Aus dem Log geht hervor, dass kaum eine attackierende IP mehrfach vorkommt.
• Wireguard läuft auf Port 580xx/UDP. Für das Wireguard-Device sind logischerweise alle Ports offen.
• Firewall ist NFTables: Alle eingehenden Verbindungen außer auf den Ports 580xx/UDP und SSH/222 sind dicht für eth0. (nmap bestätigt mir das für IPv4 + IPv6)

Jetzt hab ich aufgerüstet und iftop, nethog, dstat installiert. Bei dstat werden mir nur die erwarteten Prozesse angezeigt. rkhunter hat nichts Verdächtiges gefunden. Allerdings zeigen iftop und nethog:

NetHogs version 0.8.5-2+b1

    PID USER     PROGRAM                                               DEV        SENT      RECEIVED       
      ? root     5.230.73.78:50875-103.161.34.96:5422                              0.000     585.387 KB/sec
      ? root     5.230.73.78:54614-103.161.34.96:5422                              0.000     187.732 KB/sec
      ? root     5.230.71.28:8128-94.242.53.42:51925                               0.000       7.080 KB/sec
      ? root     5.230.67.240:40470-93.123.102.185:443                             0.000       0.587 KB/sec
      ? root     5.230.67.240:443-172.71.250.27:10816                              0.000       0.552 KB/sec
      ? root     5.230.67.240:41876-93.123.102.189:443                             0.000       0.523 KB/sec

Das für mich Interessante daran ist, dass keine IP (5.230.x.x) der meines V-Servers entspricht. Ich kann die Verbindungen auch nicht mit ss oder netstat anzeigen lassen.

Zusätzlich zu rkhunter hab ich noch die Cronjobs* und den Systemstart überprüft. Es gibt keine verdächtigen Dienste und keinerlei Cronjobs. "w" zeigt mir nur meine Nutzer an. Die Liste von ps ist sehr übersichtlich (26 Einträge). top langweilt sich. Mail (postfix) ist deinstalliert. /var/log/mail zeigt ein paar wenige Einträge vom Juli an, als ich den Server mal reinstallieren musste.

for i in $(cut -f1 -d: /etc/passwd); do crontab -l -u $i; done

Fazit:
Kann es sein, dass

• ich mit nethogs die Netz-Verbindungen der anderen LXC seh, die da auf dem Server noch laufen?
• eventuell die Traffic-Berechnung durch noez nicht ganz korrekt funktioniert?

Wie krieg ich ansonsten raus, ob auf dem V-Server nicht irgendwas läuft, was bisher vor meinen Augen verborgen geblieben ist?

 

[riversource]

Ok. Es sieht also wirklich so aus, als der Traffic da durch deinen Container rauscht - warum auch immer. Da ja auch Datenverkehr bei dir vorbeikommt, der gar nicht für deine IP ist, vermute ich ein Problem auf Layer 2 - also irgendwas mit der Software-Bridge oder so.

 

[h00bi]

Noch günstiger wäre ein Server bei Oracle. Nur hatte ich dafür bisher keine Zeit. Werd ich aber in Angriff nehmen, wenn ich mehr Zeit hab.

Umständlich ist das nur, wenn du debian drauf laufen lassen willst.
Wenn dir ein Ubuntu o.ä "reicht" dann ist das Ding ruck zuck eingerichtet.

Und du hast die Wahl zwischen ARM und x86 Hardware.

Bei Oracle wird allerdings deine Instanz hin und wieder ausgeschaltet, wenn sie zu lange am Stück im idle ist.
Das kann man mit dem Wechsel zu Pay As You Go (PAYG) statt always free vermeiden.

Ergänzung (12. Dezember 2023)

Achso: Weiterer Vorteil ist, du bekommst quasi dein eigenes kleines Netzwerk und kannst dort mehrere, schwächere VMs laufen lassen.

 

[Pummeluff]

Noez hat mein Ticket ziemlich schnell bearbeitet. "Unsere Techniker sind an dem Problem dran." Die temporäre Lösung besteht erst mal darin, dass ich statt 1TB vorübergehend 10TB monatlichen Traffic bekommen hab.

 

[riversource]

Da bin ich echt gespannt, was da am Ende bei rauskommt.

 

[CoMo]

Klingt irgendwie so, als ob die die Isolierung des Network Namespace verkackt haben.
Was sagt denn ip a?

 

[Pummeluff]

ip a zeigt alles korrekt an, wie's auch sein soll. Da ich normalerweise ip verwende und nicht ifconfig, ist mir der Traffic erst gar nicht aufgefallen. Letzteres zeigt halt zusätzlich noch die gesendeten und empfangenen Daten an.

Eigentlich würde ich ja denken, dass ein Cloudprovider da eine automatisierte Infrastruktur hat, die die Container ohne manuelle Konfiguration korrekt erstellt.

 

[Der Lord]

@Pummeluff Gesundes Neues! Und, hat sich noch was ergeben bzgl des seltsamen Trafficverbrauchs deiner Instanz?

 

[Pummeluff]

Nein. Ich seh den Traffic der Nachbarn noch immer, d. h. Quell- und Zieladressen. Und die 10 TB an monatlichem Trafficlimit hab ich auch noch. Also alles beim alten.