server comprometido por dns spoofing, busco ayuda

Iniciado por diems, 6 Abril 2013, 22:06 PM

0 Miembros y 1 Visitante están viendo este tema.

diems

Estimados,

Hace exactamente 2 días vengo luchando con un problema de dns spoofing, donde aparantemente nuestro servidor bind9 esta siendo utilizado como amplificador, lo cual causa el colapso del servidor dado que el proceso named termina ocupando el 80 o 90 % de los recursos.

He habilitado todos los logs de bind9 e instalado y configurado fail2ban pero no logro dar con las directivas correctas para que bind escriba correctamente el log de security.log para que este sea utilizado por fail2ban

Actualmente estoy logeando todos los queries al dns en /var/logs/named/queries.log el cual se llena con queries del tipo:

06-Apr-2013 17:01:28.061 client 198.47.121.99#9317: query: . IN ANY +E

Miles de queries con distintas IP's, también aparece muchas veces el dominio deniedstresser.com y el dominio isc.org con entradas como la siguiente:

06-Apr-2013 17:01:28.063 client 184.154.62.139#8952: query: deniedstresser.com IN ANY +E
06-Apr-2013 17:01:28.076 client 188.165.220.115#50886: query: isc.org IN ANY +E


Agradezco cualquier ayuda que puedan brindarme




peib0l

isc.org son los que controlan BIND asi que no me extrañaría que estuvieran creando una red con la gente que lo uso, por otro lado, todas llamadas al DNS son desde la red externa? porque igual es desde dentro de la red y te estas volviendo loco.

el-brujo

¿No tendrás un servidor dns recursivo?

Añade al fichero conf:

Citarrecursion no;

  forwarders {
      8.8.8.8;
      8.8.4.4;
    };


y reinicia bind named