Es kam eine E-Mail des BSI und von unserem Hosting-Provider herein, dass eine unserer IPs auf eine NTP DDOS Attacke reagiert hat, bzw. ausgenutzt wurde.

In verschiedenen Blog-Postings wurde über eine neue Möglichkeit der missbräuchlichen Nutzung von NTP Servern berichtet. Durch diese missbräuchliche Nutzung kann ein reflektierter und verstärkter Denial-of-Service-Angriff durchgeführt werden.

Es wird ein Update auf Version 4.2.7 oder höher empfohlen. Aufgrund des Verhältnisses von einer kleinen Anfrage (1 UDP Paket) zu einer sehr großen Antwort (max. 600 IP Adressen) wird von einem Verstärker (Amplifier) Angriff gesprochen. Das Feature wird seit Dez. 2013 aktiv für DDoS Angriffe ausgenutzt.

Es stellte sich heraus, dass es unsere vCenter-Server-Appliance selber ist, welche allerdings in der aktuellsten Version (seinerzeit 5.5.0.5201 Build 1476389) läuft.
Daher konnte lediglich über das Hinzufügen der Zeile

disable monitor

in die /etc/ntp.conf Abhilfe geschaffen werden. Ein anschließender Neustart der Appliance war nötig.

Loading