[FUG-BR] Ataque DNS
Pessoal, boa tarde. Sofremos o que pareceu ser um ateque ontem pela manhã, o alvo foram dois servidores DNS dentro da nossa rede. Vejam uma parte do tcpdump: 11:39:19.240474 IP 189.89.102.100.54036 xxx.xxx.xx.151.53: 58536+ [1au] ANY ANY? re. (31) 11:39:19.240483 IP 189.89.102.100.37878 xxx.xxx.xx.150.53: 5989+ [1au] ANY ANY? re. (31) 11:39:19.240489 IP 189.89.102.100.45591 xxx.xxx.xx.193.53: 27930+ [1au] ANY ANY? re. (31) 11:39:19.246150 IP 189.89.102.100.43027 xxx.xxx.xx.65.53: 40268+ [1au] ANY ANY? re. (31) 11:39:19.246165 IP 189.89.102.100.50745 xxx.xxx.xx.153.53: 629+ [1au] ANY ANY? re. (31) 11:39:19.247924 IP 189.89.102.100.48725 xxx.xxx.xx.150.53: 22654+ [1au] ANY ANY? re. (31) 11:39:19.248160 IP 189.89.102.100.54661 xxx.xxx.xx.151.53: 58655+ [1au] ANY ANY? re. (31) 11:39:19.248347 IP 189.89.102.100.60093 xxx.xxx.xx.193.53: 60843+ [1au] ANY ANY? re. (31) 11:39:19.253574 IP 189.89.102.100.44973 yyy.yy.yyy.1.53: 54651+ [1au] ANY ANY? re. (31) 11:39:19.254280 IP 189.89.102.100.26620 xxx.xxx.xx.153.53: 55883+ [1au] ANY ANY? re. (31) 11:39:19.254516 IP 189.89.102.100.54776 xxx.xxx.xx.65.53: 59779+ [1au] ANY ANY? re. (31) 11:39:19.256631 IP 189.89.102.100.65162 xxx.xxx.xx.150.53: 44624+ [1au] ANY ANY? re. (31) 11:39:19.256644 IP 189.89.102.100.22683 xxx.xxx.xx.193.53: 25792+ [1au] ANY ANY? re. (31) 11:39:19.256987 IP 189.89.102.100.9300 xxx.xxx.xx.151.53: 26582+ [1au] ANY ANY? re. (31) 11:39:19.259458 IP 189.89.102.100.52905 xxx.xxx.xx.153.53: 51522+ [1au] ANY ANY? re. (31) 11:39:19.259569 IP 189.89.102.100.37734 xxx.xxx.xx.65.53: 40851+ [1au] ANY ANY? re. (31) 11:39:19.261337 IP 189.89.102.100.62052 xxx.xxx.xx.150.53: 17283+ [1au] ANY ANY? re. (31) #named v BIND 9.4.-ESV-R5-P1 Alguém tem conhecimento de alguma falha de segurança na versão 9.4 do named, será que realmente pode ser uma falha? O pior é que esse ataque não foi a primeira vez que ocorreu, das outras vezes o IP de origem era diferente. Obs.: os IPs xxx.xxx.xx.65, xxx.xxx.xx.151, xxx.xxx.xx.153, xxx.xxx.xx.193, yyy.yy.yyy.1 estão no mesmo servidor. Já o xxx.xxx.xx.150 está em um outro. Fiz um deny no nosso roteador de borda para o tráfego vindo e indo para esse IP 189.89.102.100 e tudo voltou ao normal. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ataque DNS
, provavelment eh um bot Em 04/10/2012 08:25, Ricardo ricardobvolp...@yahoo.com.br escreveu: Pessoal, boa tarde. Sofremos o que pareceu ser um ateque ontem pela manhã, o alvo foram dois servidores DNS dentro da nossa rede. Vejam uma parte do tcpdump: 11:39:19.240474 IP 189.89.102.100.54036 xxx.xxx.xx.151.53: 58536+ [1au] ANY ANY? re. (31) 11:39:19.240483 IP 189.89.102.100.37878 xxx.xxx.xx.150.53: 5989+ [1au] ANY ANY? re. (31) 11:39:19.240489 IP 189.89.102.100.45591 xxx.xxx.xx.193.53: 27930+ [1au] ANY ANY? re. (31) 11:39:19.246150 IP 189.89.102.100.43027 xxx.xxx.xx.65.53: 40268+ [1au] ANY ANY? re. (31) 11:39:19.246165 IP 189.89.102.100.50745 xxx.xxx.xx.153.53: 629+ [1au] ANY ANY? re. (31) 11:39:19.247924 IP 189.89.102.100.48725 xxx.xxx.xx.150.53: 22654+ [1au] ANY ANY? re. (31) 11:39:19.248160 IP 189.89.102.100.54661 xxx.xxx.xx.151.53: 58655+ [1au] ANY ANY? re. (31) 11:39:19.248347 IP 189.89.102.100.60093 xxx.xxx.xx.193.53: 60843+ [1au] ANY ANY? re. (31) 11:39:19.253574 IP 189.89.102.100.44973 yyy.yy.yyy.1.53: 54651+ [1au] ANY ANY? re. (31) 11:39:19.254280 IP 189.89.102.100.26620 xxx.xxx.xx.153.53: 55883+ [1au] ANY ANY? re. (31) 11:39:19.254516 IP 189.89.102.100.54776 xxx.xxx.xx.65.53: 59779+ [1au] ANY ANY? re. (31) 11:39:19.256631 IP 189.89.102.100.65162 xxx.xxx.xx.150.53: 44624+ [1au] ANY ANY? re. (31) 11:39:19.256644 IP 189.89.102.100.22683 xxx.xxx.xx.193.53: 25792+ [1au] ANY ANY? re. (31) 11:39:19.256987 IP 189.89.102.100.9300 xxx.xxx.xx.151.53: 26582+ [1au] ANY ANY? re. (31) 11:39:19.259458 IP 189.89.102.100.52905 xxx.xxx.xx.153.53: 51522+ [1au] ANY ANY? re. (31) 11:39:19.259569 IP 189.89.102.100.37734 xxx.xxx.xx.65.53: 40851+ [1au] ANY ANY? re. (31) 11:39:19.261337 IP 189.89.102.100.62052 xxx.xxx.xx.150.53: 17283+ [1au] ANY ANY? re. (31) #named –v BIND 9.4.-ESV-R5-P1 Alguém tem conhecimento de alguma falha de segurança na versão 9.4 do named, será que realmente pode ser uma falha? O pior é que esse ataque não foi a primeira vez que ocorreu, das outras vezes o IP de origem era diferente. Obs.: os IPs xxx.xxx.xx.65, xxx.xxx.xx.151, xxx.xxx.xx.153, xxx.xxx.xx.193, yyy.yy.yyy.1 estão no mesmo servidor. Já o xxx.xxx.xx.150 está em um outro. Fiz um deny no nosso roteador de borda para o tráfego vindo e indo para esse IP 189.89.102.100 e tudo voltou ao normal. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ataque DNS
Não se trata de falha do named. Vai acontecer coisas desse tipo as vezes, afinal, você por acaso sabe todos os ips que virão resolver nomes no seu servidor? pois é... -- Deve-se aprender sempre, até mesmo com um inimigo. (Isaac Newton) Atenciosamente, Saul Figueiredo Analista FreeBSD/Linux Linux Professional Institute Certification Level 2 Linux User: #554651 saulfelip...@gmail.com saul-fel...@hotmail.com Em 4 de outubro de 2012 08:36, Cleiton Alves cleitondeb...@gmail.comescreveu: , provavelment eh um bot Em 04/10/2012 08:25, Ricardo ricardobvolp...@yahoo.com.br escreveu: Pessoal, boa tarde. Sofremos o que pareceu ser um ateque ontem pela manhã, o alvo foram dois servidores DNS dentro da nossa rede. Vejam uma parte do tcpdump: 11:39:19.240474 IP 189.89.102.100.54036 xxx.xxx.xx.151.53: 58536+ [1au] ANY ANY? re. (31) 11:39:19.240483 IP 189.89.102.100.37878 xxx.xxx.xx.150.53: 5989+ [1au] ANY ANY? re. (31) 11:39:19.240489 IP 189.89.102.100.45591 xxx.xxx.xx.193.53: 27930+ [1au] ANY ANY? re. (31) 11:39:19.246150 IP 189.89.102.100.43027 xxx.xxx.xx.65.53: 40268+ [1au] ANY ANY? re. (31) 11:39:19.246165 IP 189.89.102.100.50745 xxx.xxx.xx.153.53: 629+ [1au] ANY ANY? re. (31) 11:39:19.247924 IP 189.89.102.100.48725 xxx.xxx.xx.150.53: 22654+ [1au] ANY ANY? re. (31) 11:39:19.248160 IP 189.89.102.100.54661 xxx.xxx.xx.151.53: 58655+ [1au] ANY ANY? re. (31) 11:39:19.248347 IP 189.89.102.100.60093 xxx.xxx.xx.193.53: 60843+ [1au] ANY ANY? re. (31) 11:39:19.253574 IP 189.89.102.100.44973 yyy.yy.yyy.1.53: 54651+ [1au] ANY ANY? re. (31) 11:39:19.254280 IP 189.89.102.100.26620 xxx.xxx.xx.153.53: 55883+ [1au] ANY ANY? re. (31) 11:39:19.254516 IP 189.89.102.100.54776 xxx.xxx.xx.65.53: 59779+ [1au] ANY ANY? re. (31) 11:39:19.256631 IP 189.89.102.100.65162 xxx.xxx.xx.150.53: 44624+ [1au] ANY ANY? re. (31) 11:39:19.256644 IP 189.89.102.100.22683 xxx.xxx.xx.193.53: 25792+ [1au] ANY ANY? re. (31) 11:39:19.256987 IP 189.89.102.100.9300 xxx.xxx.xx.151.53: 26582+ [1au] ANY ANY? re. (31) 11:39:19.259458 IP 189.89.102.100.52905 xxx.xxx.xx.153.53: 51522+ [1au] ANY ANY? re. (31) 11:39:19.259569 IP 189.89.102.100.37734 xxx.xxx.xx.65.53: 40851+ [1au] ANY ANY? re. (31) 11:39:19.261337 IP 189.89.102.100.62052 xxx.xxx.xx.150.53: 17283+ [1au] ANY ANY? re. (31) #named –v BIND 9.4.-ESV-R5-P1 Alguém tem conhecimento de alguma falha de segurança na versão 9.4 do named, será que realmente pode ser uma falha? O pior é que esse ataque não foi a primeira vez que ocorreu, das outras vezes o IP de origem era diferente. Obs.: os IPs xxx.xxx.xx.65, xxx.xxx.xx.151, xxx.xxx.xx.153, xxx.xxx.xx.193, yyy.yy.yyy.1 estão no mesmo servidor. Já o xxx.xxx.xx.150 está em um outro. Fiz um deny no nosso roteador de borda para o tráfego vindo e indo para esse IP 189.89.102.100 e tudo voltou ao normal. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ataque DNS
Bom dia, Cara tem vários, só ler o SA do FreeBSD http://www.freebsd.org/security/advisories.html 4) Install and run BIND from the Ports Collection after the correction date. The following versions and newer versions of BIND installed from the Ports Collection are not affected by this vulnerability: bind96-9.6.3.1.ESV.R7.2 bind97-9.7.6.2 bind98-9.8.3.2 bind99-9.9.1.2 Acredito que a tua versão seja defasada :( É chato, mas infelizmente com DNS não tem arrego. um abraço. Em 4 de outubro de 2012 08:36, Cleiton Alves cleitondeb...@gmail.comescreveu: , provavelment eh um bot Em 04/10/2012 08:25, Ricardo ricardobvolp...@yahoo.com.br escreveu: Pessoal, boa tarde. Sofremos o que pareceu ser um ateque ontem pela manhã, o alvo foram dois servidores DNS dentro da nossa rede. Vejam uma parte do tcpdump: 11:39:19.240474 IP 189.89.102.100.54036 xxx.xxx.xx.151.53: 58536+ [1au] ANY ANY? re. (31) 11:39:19.240483 IP 189.89.102.100.37878 xxx.xxx.xx.150.53: 5989+ [1au] ANY ANY? re. (31) 11:39:19.240489 IP 189.89.102.100.45591 xxx.xxx.xx.193.53: 27930+ [1au] ANY ANY? re. (31) 11:39:19.246150 IP 189.89.102.100.43027 xxx.xxx.xx.65.53: 40268+ [1au] ANY ANY? re. (31) 11:39:19.246165 IP 189.89.102.100.50745 xxx.xxx.xx.153.53: 629+ [1au] ANY ANY? re. (31) 11:39:19.247924 IP 189.89.102.100.48725 xxx.xxx.xx.150.53: 22654+ [1au] ANY ANY? re. (31) 11:39:19.248160 IP 189.89.102.100.54661 xxx.xxx.xx.151.53: 58655+ [1au] ANY ANY? re. (31) 11:39:19.248347 IP 189.89.102.100.60093 xxx.xxx.xx.193.53: 60843+ [1au] ANY ANY? re. (31) 11:39:19.253574 IP 189.89.102.100.44973 yyy.yy.yyy.1.53: 54651+ [1au] ANY ANY? re. (31) 11:39:19.254280 IP 189.89.102.100.26620 xxx.xxx.xx.153.53: 55883+ [1au] ANY ANY? re. (31) 11:39:19.254516 IP 189.89.102.100.54776 xxx.xxx.xx.65.53: 59779+ [1au] ANY ANY? re. (31) 11:39:19.256631 IP 189.89.102.100.65162 xxx.xxx.xx.150.53: 44624+ [1au] ANY ANY? re. (31) 11:39:19.256644 IP 189.89.102.100.22683 xxx.xxx.xx.193.53: 25792+ [1au] ANY ANY? re. (31) 11:39:19.256987 IP 189.89.102.100.9300 xxx.xxx.xx.151.53: 26582+ [1au] ANY ANY? re. (31) 11:39:19.259458 IP 189.89.102.100.52905 xxx.xxx.xx.153.53: 51522+ [1au] ANY ANY? re. (31) 11:39:19.259569 IP 189.89.102.100.37734 xxx.xxx.xx.65.53: 40851+ [1au] ANY ANY? re. (31) 11:39:19.261337 IP 189.89.102.100.62052 xxx.xxx.xx.150.53: 17283+ [1au] ANY ANY? re. (31) #named –v BIND 9.4.-ESV-R5-P1 Alguém tem conhecimento de alguma falha de segurança na versão 9.4 do named, será que realmente pode ser uma falha? O pior é que esse ataque não foi a primeira vez que ocorreu, das outras vezes o IP de origem era diferente. Obs.: os IPs xxx.xxx.xx.65, xxx.xxx.xx.151, xxx.xxx.xx.153, xxx.xxx.xx.193, yyy.yy.yyy.1 estão no mesmo servidor. Já o xxx.xxx.xx.150 está em um outro. Fiz um deny no nosso roteador de borda para o tráfego vindo e indo para esse IP 189.89.102.100 e tudo voltou ao normal. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- João Luis Mancy dos Santos joaocep at gmail.com(msn too) http://joaocep.blogspot.com http://www.istf.com.br/perguntas/ http://www.fug.com.br/content/view/20/69/ uin 82889044 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ataque DNS
Esqueci de mencionar, não tem nada errado, atualizar é se prevenir abração. Em 4 de outubro de 2012 08:54, Saul Figueiredo saulfelip...@gmail.comescreveu: Não se trata de falha do named. Vai acontecer coisas desse tipo as vezes, afinal, você por acaso sabe todos os ips que virão resolver nomes no seu servidor? pois é... -- Deve-se aprender sempre, até mesmo com um inimigo. (Isaac Newton) Atenciosamente, Saul Figueiredo Analista FreeBSD/Linux Linux Professional Institute Certification Level 2 Linux User: #554651 saulfelip...@gmail.com saul-fel...@hotmail.com Em 4 de outubro de 2012 08:36, Cleiton Alves cleitondeb...@gmail.com escreveu: , provavelment eh um bot Em 04/10/2012 08:25, Ricardo ricardobvolp...@yahoo.com.br escreveu: Pessoal, boa tarde. Sofremos o que pareceu ser um ateque ontem pela manhã, o alvo foram dois servidores DNS dentro da nossa rede. Vejam uma parte do tcpdump: 11:39:19.240474 IP 189.89.102.100.54036 xxx.xxx.xx.151.53: 58536+ [1au] ANY ANY? re. (31) 11:39:19.240483 IP 189.89.102.100.37878 xxx.xxx.xx.150.53: 5989+ [1au] ANY ANY? re. (31) 11:39:19.240489 IP 189.89.102.100.45591 xxx.xxx.xx.193.53: 27930+ [1au] ANY ANY? re. (31) 11:39:19.246150 IP 189.89.102.100.43027 xxx.xxx.xx.65.53: 40268+ [1au] ANY ANY? re. (31) 11:39:19.246165 IP 189.89.102.100.50745 xxx.xxx.xx.153.53: 629+ [1au] ANY ANY? re. (31) 11:39:19.247924 IP 189.89.102.100.48725 xxx.xxx.xx.150.53: 22654+ [1au] ANY ANY? re. (31) 11:39:19.248160 IP 189.89.102.100.54661 xxx.xxx.xx.151.53: 58655+ [1au] ANY ANY? re. (31) 11:39:19.248347 IP 189.89.102.100.60093 xxx.xxx.xx.193.53: 60843+ [1au] ANY ANY? re. (31) 11:39:19.253574 IP 189.89.102.100.44973 yyy.yy.yyy.1.53: 54651+ [1au] ANY ANY? re. (31) 11:39:19.254280 IP 189.89.102.100.26620 xxx.xxx.xx.153.53: 55883+ [1au] ANY ANY? re. (31) 11:39:19.254516 IP 189.89.102.100.54776 xxx.xxx.xx.65.53: 59779+ [1au] ANY ANY? re. (31) 11:39:19.256631 IP 189.89.102.100.65162 xxx.xxx.xx.150.53: 44624+ [1au] ANY ANY? re. (31) 11:39:19.256644 IP 189.89.102.100.22683 xxx.xxx.xx.193.53: 25792+ [1au] ANY ANY? re. (31) 11:39:19.256987 IP 189.89.102.100.9300 xxx.xxx.xx.151.53: 26582+ [1au] ANY ANY? re. (31) 11:39:19.259458 IP 189.89.102.100.52905 xxx.xxx.xx.153.53: 51522+ [1au] ANY ANY? re. (31) 11:39:19.259569 IP 189.89.102.100.37734 xxx.xxx.xx.65.53: 40851+ [1au] ANY ANY? re. (31) 11:39:19.261337 IP 189.89.102.100.62052 xxx.xxx.xx.150.53: 17283+ [1au] ANY ANY? re. (31) #named –v BIND 9.4.-ESV-R5-P1 Alguém tem conhecimento de alguma falha de segurança na versão 9.4 do named, será que realmente pode ser uma falha? O pior é que esse ataque não foi a primeira vez que ocorreu, das outras vezes o IP de origem era diferente. Obs.: os IPs xxx.xxx.xx.65, xxx.xxx.xx.151, xxx.xxx.xx.153, xxx.xxx.xx.193, yyy.yy.yyy.1 estão no mesmo servidor. Já o xxx.xxx.xx.150 está em um outro. Fiz um deny no nosso roteador de borda para o tráfego vindo e indo para esse IP 189.89.102.100 e tudo voltou ao normal. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- João Luis Mancy dos Santos joaocep at gmail.com(msn too) http://joaocep.blogspot.com http://www.istf.com.br/perguntas/ http://www.fug.com.br/content/view/20/69/ uin 82889044 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Instabilidade FreeBSD 9.0 no Hyper-V
Bom dia Pedro... Realmente não gostaria de trocar, mas se nao tiver outro jeito Sobre o hyperV tambem nao tenho como mudar mas obrigado. Vou tentar mais algumas coisas pra ver se para essas noia heh Valeu... Diogo Dalfovo Em 3 de outubro de 2012 21:47, Pedro Madsen pe...@madnix.com escreveu: Boa noite Diogo, Entendo que seja seu cenário usar Hyper-V, mas se é pra colocar uma criança pra carregar alguém, sugiro que coloque uma criança para carregar outra criança, não um adulto. Em outras palavras, sugiro que mude para o Linux. flames /dev/null []s` Pedro Madsen Em 3 de outubro de 2012 21:23, Diogo Dalfovo b1n4r1w...@gmail.com escreveu: Boa noite pessoal... Estou passando por dois problemas utilizando Freebsd 9 no HyperV. 1º - Instabilidade: Fiz o procedimento para instalar o IC do windows [1] sem problema algum, porem, as vezes reinicio a maquina e ela fica dando kernel panic e fica em loop ate eu dar um enter na contagem no boot e ela sobe sem problemas. Simples assim como se nao tivesse nada. Fiz a mesma coisa num Freebsd 8.3 e ate agora nao tive problema algum rodando 100% 2º - Redundancia com Carp: Fiz os procedimentos padroes pra configurar o carp mas nao tem santo que faça ele funcionar. Master: carp0: flags=9UP,LOOPBACK metric 0 mtu 1500 nd6 options=29PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL carp: INIT vhid 1 advbase 1 advskew 1 [root@ns6 ~]# cat /etc/rc.conf ... cloned_interfaces=carp0 #ifconfig_carp0=inet 10.1.254.10 netmask 255.255.255.0 vhid 1 pass SENHA ifconfig_carp0=vhid 1 advskew 1 pass SENHA 10.1.254.10 netmask 255.255.255.0 carpdev hn0 Nenhuma das duas confs funcionaram [root@ns6 ~]# sysctl -a|grep carp device carp net.inet.ip.same_prefix_carp_only: 0 net.inet.carp.allow: 1 net.inet.carp.preempt: 1 net.inet.carp.log: 1 net.inet.carp.arpbalance: 0 net.inet.carp.suppress_preempt: 0 O que chama atençao é nao estar aparecendo RUNNING e no lugar do INIT deveria estar como MASTER correto? Mesmo acontece com o segundo servidor. Procurando alguma soluçao na internet achei esse cara aqui [2] porem usando VMware. Existe solução para estes dois problemas ?Ou vou ter que migrar para o linux? [1] http://blog.chrisara.com.au/2012/08/hyper-v-integration-components-for_13.html [2]http://doc.pfsense.org/index.php/CARP_Configuration_Troubleshooting Diogo Dalfovo - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ataque DNS
Aproveita a deixa, e implementa um DNSSEC Em 04/10/2012 09:06, João Mancy joao...@gmail.com escreveu: Bom dia, Cara tem vários, só ler o SA do FreeBSD http://www.freebsd.org/security/advisories.html 4) Install and run BIND from the Ports Collection after the correction date. The following versions and newer versions of BIND installed from the Ports Collection are not affected by this vulnerability: bind96-9.6.3.1.ESV.R7.2 bind97-9.7.6.2 bind98-9.8.3.2 bind99-9.9.1.2 Acredito que a tua versão seja defasada :( É chato, mas infelizmente com DNS não tem arrego. um abraço. Em 4 de outubro de 2012 08:36, Cleiton Alves cleitondeb...@gmail.com escreveu: , provavelment eh um bot Em 04/10/2012 08:25, Ricardo ricardobvolp...@yahoo.com.br escreveu: Pessoal, boa tarde. Sofremos o que pareceu ser um ateque ontem pela manhã, o alvo foram dois servidores DNS dentro da nossa rede. Vejam uma parte do tcpdump: 11:39:19.240474 IP 189.89.102.100.54036 xxx.xxx.xx.151.53: 58536+ [1au] ANY ANY? re. (31) 11:39:19.240483 IP 189.89.102.100.37878 xxx.xxx.xx.150.53: 5989+ [1au] ANY ANY? re. (31) 11:39:19.240489 IP 189.89.102.100.45591 xxx.xxx.xx.193.53: 27930+ [1au] ANY ANY? re. (31) 11:39:19.246150 IP 189.89.102.100.43027 xxx.xxx.xx.65.53: 40268+ [1au] ANY ANY? re. (31) 11:39:19.246165 IP 189.89.102.100.50745 xxx.xxx.xx.153.53: 629+ [1au] ANY ANY? re. (31) 11:39:19.247924 IP 189.89.102.100.48725 xxx.xxx.xx.150.53: 22654+ [1au] ANY ANY? re. (31) 11:39:19.248160 IP 189.89.102.100.54661 xxx.xxx.xx.151.53: 58655+ [1au] ANY ANY? re. (31) 11:39:19.248347 IP 189.89.102.100.60093 xxx.xxx.xx.193.53: 60843+ [1au] ANY ANY? re. (31) 11:39:19.253574 IP 189.89.102.100.44973 yyy.yy.yyy.1.53: 54651+ [1au] ANY ANY? re. (31) 11:39:19.254280 IP 189.89.102.100.26620 xxx.xxx.xx.153.53: 55883+ [1au] ANY ANY? re. (31) 11:39:19.254516 IP 189.89.102.100.54776 xxx.xxx.xx.65.53: 59779+ [1au] ANY ANY? re. (31) 11:39:19.256631 IP 189.89.102.100.65162 xxx.xxx.xx.150.53: 44624+ [1au] ANY ANY? re. (31) 11:39:19.256644 IP 189.89.102.100.22683 xxx.xxx.xx.193.53: 25792+ [1au] ANY ANY? re. (31) 11:39:19.256987 IP 189.89.102.100.9300 xxx.xxx.xx.151.53: 26582+ [1au] ANY ANY? re. (31) 11:39:19.259458 IP 189.89.102.100.52905 xxx.xxx.xx.153.53: 51522+ [1au] ANY ANY? re. (31) 11:39:19.259569 IP 189.89.102.100.37734 xxx.xxx.xx.65.53: 40851+ [1au] ANY ANY? re. (31) 11:39:19.261337 IP 189.89.102.100.62052 xxx.xxx.xx.150.53: 17283+ [1au] ANY ANY? re. (31) #named –v BIND 9.4.-ESV-R5-P1 Alguém tem conhecimento de alguma falha de segurança na versão 9.4 do named, será que realmente pode ser uma falha? O pior é que esse ataque não foi a primeira vez que ocorreu, das outras vezes o IP de origem era diferente. Obs.: os IPs xxx.xxx.xx.65, xxx.xxx.xx.151, xxx.xxx.xx.153, xxx.xxx.xx.193, yyy.yy.yyy.1 estão no mesmo servidor. Já o xxx.xxx.xx.150 está em um outro. Fiz um deny no nosso roteador de borda para o tráfego vindo e indo para esse IP 189.89.102.100 e tudo voltou ao normal. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- João Luis Mancy dos Santos joaocep at gmail.com(msn too) http://joaocep.blogspot.com http://www.istf.com.br/perguntas/ http://www.fug.com.br/content/view/20/69/ uin 82889044 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ataque DNS
Em 4 de outubro de 2012 12:36, firebits mrpa.secur...@gmail.com escreveu: Aproveita a deixa, e implementa um DNSSEC Em 04/10/2012 09:06, João Mancy joao...@gmail.com escreveu: Bom dia, Cara tem vários, só ler o SA do FreeBSD http://www.freebsd.org/security/advisories.html 4) Install and run BIND from the Ports Collection after the correction date. The following versions and newer versions of BIND installed from the Ports Collection are not affected by this vulnerability: bind96-9.6.3.1.ESV.R7.2 bind97-9.7.6.2 bind98-9.8.3.2 bind99-9.9.1.2 Acredito que a tua versão seja defasada :( É chato, mas infelizmente com DNS não tem arrego. Implementa DNSSEC e umas regrinhas de limit-rate. Foi discutido isso aqui na Lista [1] [1] - http://www.fug.com.br/historico/html/freebsd/2012-09/msg00286.html -- .:: Lucas Dias .:: OS3 Soluções em TI .:: (82) 8813-1494 / 8111-2288 .:: Antes de imprimir, veja se realmente é necessário!!! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd