[FRnOG] Pb de flood dns ?
Lo, depuis mardi on a plein de requettes dns vers 2 domaines russe et le nombre de requettes augmente de jour en jour. les domaines sont ultra-online.ru et ultracomp.ru les requettes ressemblent à : A? LWIRKW6aY8QGcNxkdA1y1at1I2KSFP82A4.ultra-online.ru A? f0O6A3147B27S0RK4172Ce1s4JRwh7J3.ultra-online.ru A? Y0dQV858AYIM6GaSOTYbUdo2Tv.ultra-online.ru A? 1I65SO1O6KpFbeEQ66RPhO4ehP28YD07O2cgB.ultracomp.ru etc... on en est à plusieurs 10ène de milliers de requettes par secondes et ca augmente (de plus en plus de nouveaux hosts qui se mettent a en faire). Quelqu'un a t'il entendu parlé d'un nouveau virus / botnet qui fait du ddos sur dns ou utilise le dns pour communiquer ? A+ ps : les requettes vers ces domaines sont filtrées chez nous mais bon le filtrage consomme aussi de la ressource cpu... -- GANDER Frédéric [EMAIL PROTECTED] - http://www.free.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Pb de flood dns ?
Le Thu, 11 Oct 2007 15:16:18 +0200 Frédéric Gander [EMAIL PROTECTED] écrit: depuis mardi on a plein de requettes dns vers 2 domaines russe et le nombre de requettes augmente de jour en jour. les domaines sont ultra-online.ru et ultracomp.ru les requettes ressemblent à : A? LWIRKW6aY8QGcNxkdA1y1at1I2KSFP82A4.ultra-online.ru A? f0O6A3147B27S0RK4172Ce1s4JRwh7J3.ultra-online.ru A? Y0dQV858AYIM6GaSOTYbUdo2Tv.ultra-online.ru A? 1I65SO1O6KpFbeEQ66RPhO4ehP28YD07O2cgB.ultracomp.ru Bonjour, je confirme le phénomène sur les DNS que je gère pour Numéricable. Il semble que chez 9cegetel, le phénomène soit le même, j'ai vu passé un message à ce propos sur une autre mailing liste. Pour l'instant, je n'ai pas plus de détail sur l'origine de l'attaque, mais je suis intéressé si quelqu'un à plus d'information. Bonne journée. -- Laurent Papier - 03 88 75 80 50 Admin. système - SdV Plurimedia - http://www.sdv.fr/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Pb de flood dns ?
On Thu, Oct 11, 2007 at 03:28:02PM +0200, Laurent Papier wrote: Le Thu, 11 Oct 2007 15:16:18 +0200 Frédéric Gander [EMAIL PROTECTED] écrit: depuis mardi on a plein de requettes dns vers 2 domaines russe et le nombre de requettes augmente de jour en jour. les domaines sont ultra-online.ru et ultracomp.ru les requettes ressemblent à : A? LWIRKW6aY8QGcNxkdA1y1at1I2KSFP82A4.ultra-online.ru A? f0O6A3147B27S0RK4172Ce1s4JRwh7J3.ultra-online.ru A? Y0dQV858AYIM6GaSOTYbUdo2Tv.ultra-online.ru A? 1I65SO1O6KpFbeEQ66RPhO4ehP28YD07O2cgB.ultracomp.ru Bonjour, je confirme le phénomène sur les DNS que je gère pour Numéricable. Il semble que chez 9cegetel, le phénomène soit le même, j'ai vu passé un message à ce propos sur une autre mailing liste. Pour l'instant, je n'ai pas plus de détail sur l'origine de l'attaque, mais je suis intéressé si quelqu'un à plus d'information. le problème c'est que la zone en face ne repond plus et que les virus font ca en boucle ... d'ou le fait qu'on drop les requettes (sinon ca bouffe des slots recursif et le cache se met à expirer car le serveur n'arrive plus a faire les requettes récursives légitime) mais après la question c'est : est ce que c'est le fait de les bloquer fait qui redemandent en boucle ? Bonne journée. -- Laurent Papier - 03 88 75 80 50 Admin. système - SdV Plurimedia - http://www.sdv.fr/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- GANDER Frédéric [EMAIL PROTECTED] - http://www.free.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Pb de flood dns ?
On Thu, Oct 11, 2007 at 03:54:31PM +0200, Spyou wrote: At 15:53 11/10/2007, you wrote: On Thu, Oct 11, 2007 at 03:28:02PM +0200, Laurent Papier wrote: Le Thu, 11 Oct 2007 15:16:18 +0200 Frédéric Gander [EMAIL PROTECTED] écrit: depuis mardi on a plein de requettes dns vers 2 domaines russe et le nombre de requettes augmente de jour en jour. les domaines sont ultra-online.ru et ultracomp.ru les requettes ressemblent à : A? LWIRKW6aY8QGcNxkdA1y1at1I2KSFP82A4.ultra-online.ru A? f0O6A3147B27S0RK4172Ce1s4JRwh7J3.ultra-online.ru A? Y0dQV858AYIM6GaSOTYbUdo2Tv.ultra-online.ru A? 1I65SO1O6KpFbeEQ66RPhO4ehP28YD07O2cgB.ultracomp.ru Bonjour, je confirme le phénomène sur les DNS que je gère pour Numéricable. Il semble que chez 9cegetel, le phénomène soit le même, j'ai vu passé un message à ce propos sur une autre mailing liste. Pour l'instant, je n'ai pas plus de détail sur l'origine de l'attaque, mais je suis intéressé si quelqu'un à plus d'information. le problème c'est que la zone en face ne repond plus et que les virus font ca en boucle ... d'ou le fait qu'on drop les requettes (sinon ca bouffe des slots recursif et le cache se met à expirer car le serveur n'arrive plus a faire les requettes récursives légitime) mais après la question c'est : est ce que c'est le fait de les bloquer fait qui redemandent en boucle ? Met un wilcard sur localhost et pouf :) deja fait en repondant 127.0.0.1 ca continue quand meme et ca charge bien le dns de repondre au lieu de dropper ... -- GANDER Frédéric [EMAIL PROTECTED] - http://www.free.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Pb de flood dns ?
Frédéric Gander wrote: les domaines sont ultra-online.ru et ultracomp.ru on en est à plusieurs 10ène de milliers de requettes par secondes et ca augmente (de plus en plus de nouveaux hosts qui se mettent a en faire). Quelqu'un a t'il entendu parlé d'un nouveau virus / botnet qui fait du ddos sur dns ou utilise le dns pour communiquer ? A priori ce sont des variantes de Sality qui communiquent via TCP/80 (HTTP GET) avec leur maitre, infection locale standard (mutex+fichiers), lookup DNS pour verifier l'acces Internet, detection de son IP locale et verification de sa presence dans differentes RBLs. A priori les postes infectes envoient du SPAM directement dans la foulee. Nico. -- Nicolas FISCHBACH Senior Manager - Network Engineering/Security - COLT Telecom e:([EMAIL PROTECTED]) w:http://www.securite.org/nico/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Pb de flood dns ?
..debut d' explication ? Конкуренты убили запись в DNS... Может им ещ е подсказать постоянно резервировать вес ь ассортимент товаров (если они еще этого не делают), чтобы купить ничего нельзя был о .--))) -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Fré déric Gander Sent: Thursday, October 11, 2007 4:04 PM To: Spyou Cc: frnog@frnog.org Subject: Re: [FRnOG] Pb de flood dns ? On Thu, Oct 11, 2007 at 03:54:31PM +0200, Spyou wrote: At 15:53 11/10/2007, you wrote: On Thu, Oct 11, 2007 at 03:28:02PM +0200, Laurent Papier wrote: Le Thu, 11 Oct 2007 15:16:18 +0200 Frédéric Gander [EMAIL PROTECTED] écrit: depuis mardi on a plein de requettes dns vers 2 domaines russe et le nombre de requettes augmente de jour en jour. les domaines sont ultra-online.ru et ultracomp.ru les requettes ressemblent à : A? LWIRKW6aY8QGcNxkdA1y1at1I2KSFP82A4.ultra-online.ru A? f0O6A3147B27S0RK4172Ce1s4JRwh7J3.ultra-online.ru A? Y0dQV858AYIM6GaSOTYbUdo2Tv.ultra-online.ru A? 1I65SO1O6KpFbeEQ66RPhO4ehP28YD07O2cgB.ultracomp.ru Bonjour, je confirme le phénomène sur les DNS que je gère pour Numéricable. Il semble que chez 9cegetel, le phénomène soit le même, j'ai vu passé un message à ce propos sur une autre mailing liste. Pour l'instant, je n'ai pas plus de détail sur l'origine de l'attaque, mais je suis intéressé si quelqu'un à plus d'information. le problème c'est que la zone en face ne repond plus et que les virus font ca en boucle ... d'ou le fait qu'on drop les requettes (sinon ca bouffe des slots recursif et le cache se met à expirer car le serveur n'arrive plus a faire les requettes récursives légitime) mais après la question c'est : est ce que c'est le fait de les bloquer fait qui redemandent en boucle ? Met un wilcard sur localhost et pouf :) deja fait en repondant 127.0.0.1 ca continue quand meme et ca charge bien le dns de repondre au lieu de dropper ... -- GANDER Frédéric [EMAIL PROTECTED] - http://www.free.fr --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Pb de flood dns ?
Bonjour à tous: Traduction:(grossière par une non informaticienne..) Les concurrents ont tué l'enregistrement DNS ... Peu être il veulent qu'on leurs disent de réserver en permanence tous un assortiments de marchandises (ou peu être il font déjà ca), dans le but que personne ne puissent le faire... =+ a mettre en forme en 'langage informatique'.. Ca parle a priori de réservation d'enregistrement de DNS dans un but de faire du Dos -- - Marc ALONSO Informatique - Réseau LE FIGARO - -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Wlodek Stankiewicz Sent: Thursday, October 11, 2007 4:10 PM Cc: frnog@frnog.org Subject: RE: [FRnOG] Pb de flood dns ? ..debut d' explication ? Конкуренты убили запись в DNS... Может им ещ е подсказать постоянно резервировать вес ь ассортимент товаров (если они еще этого не делают), чтобы купить ничего нельзя был о .--))) -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Fré déric Gander Sent: Thursday, October 11, 2007 4:04 PM To: Spyou Cc: frnog@frnog.org Subject: Re: [FRnOG] Pb de flood dns ? On Thu, Oct 11, 2007 at 03:54:31PM +0200, Spyou wrote: At 15:53 11/10/2007, you wrote: On Thu, Oct 11, 2007 at 03:28:02PM +0200, Laurent Papier wrote: Le Thu, 11 Oct 2007 15:16:18 +0200 Frédéric Gander [EMAIL PROTECTED] écrit: depuis mardi on a plein de requettes dns vers 2 domaines russe et le nombre de requettes augmente de jour en jour. les domaines sont ultra-online.ru et ultracomp.ru les requettes ressemblent à : A? LWIRKW6aY8QGcNxkdA1y1at1I2KSFP82A4.ultra-online.ru A? f0O6A3147B27S0RK4172Ce1s4JRwh7J3.ultra-online.ru A? Y0dQV858AYIM6GaSOTYbUdo2Tv.ultra-online.ru A? 1I65SO1O6KpFbeEQ66RPhO4ehP28YD07O2cgB.ultracomp.ru Bonjour, je confirme le phénomène sur les DNS que je gère pour Numéricable. Il semble que chez 9cegetel, le phénomène soit le même, j'ai vu passé un message à ce propos sur une autre mailing liste. Pour l'instant, je n'ai pas plus de détail sur l'origine de l'attaque, mais je suis intéressé si quelqu'un à plus d'information. le problème c'est que la zone en face ne repond plus et que les virus font ca en boucle ... d'ou le fait qu'on drop les requettes (sinon ca bouffe des slots recursif et le cache se met à expirer car le serveur n'arrive plus a faire les requettes récursives légitime) mais après la question c'est : est ce que c'est le fait de les bloquer fait qui redemandent en boucle ? Met un wilcard sur localhost et pouf :) deja fait en repondant 127.0.0.1 ca continue quand meme et ca charge bien le dns de repondre au lieu de dropper ... -- GANDER Frédéric [EMAIL PROTECTED] - http://www.free.fr --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Pb de flood dns ?
Ce qui donne en anglais (traduction libre...): Competitors killed in the DNS record ... Could it back e suggest to reserve weight ü range of products (if they have this do not), not to buy anything was on A moins d'une traduction sérieuse et étayée par des allégations précises, je pense que le message précédent est un troll. Dont acte. Le 11 oct. 07 à 16:10, Wlodek Stankiewicz a écrit : Конкуренты убили запись в DNS... Может им ещ е подсказать постоянно резервировать вес ь ассортимент товаров (если они еще этого не делают), чтобы купить ничего нельзя был о --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Pb de flood dns ?
A moins d'une traduction sérieuse et étayée par des allégations précises, je pense que le message précédent est un troll. Dont acte. Ou un extrait de http://forum.ixbt.com/topic.cgi?id=42:3789-140 -- Nicolas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Pb de flood dns ?
A moins d'une traduction sérieuse et étayée par des allégations précises, je pense que le message précédent est un troll. Dont acte. Ou un extrait de http://forum.ixbt.com/topic.cgi?id=42:3789-140 -- OK. Cela donne des éléments pour avancer dans la compréhension du problème? --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Pb de flood dns ?
Bonjour, Oui, c'est la source ! The DNS request is very strange, is it really for name Y0dQV858AYIM6GaSOTYbUdo2Tv ? It looks like an encrypted string. So the target of the communication could be the authoritative (and possibly compromised) DNS server of the domain ultra-online.ru , maybe used control a botnet. -- Wlodek -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Gérald Glaise Sent: Thursday, October 11, 2007 4:30 PM To: frnog@frnog.org Subject: Re: [FRnOG] Pb de flood dns ? A moins d'une traduction sérieuse et étayée par des allégations précises, je pense que le message précédent est un troll. Dont acte. Ou un extrait de http://forum.ixbt.com/topic.cgi?id=42:3789-140 -- OK. Cela donne des éléments pour avancer dans la compréhension du problème? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Pb de flood dns ?
Wlodek Stankiewicz a écrit : ..debut d' explication ? Конкуренты убили запись в DNS... Может им ещ е подсказать постоянно резервировать вес ь ассортимент товаров (если они еще этого не делают), чтобы купить ничего нельзя был о .--))) avec les sous-titres ? --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Pb de flood dns ?
Oui, mais... Il me semble plutôt que c'est un botnet qui a 'perdu la tète', et les clients cherchent a établir connexion avec leur papa. Il faut trouver en IP client en France, chez vos clients chères FAI, et analyser le code du bot client. A+ wlodek -Original Message- From: Frédéric Gander [mailto:[EMAIL PROTECTED] Sent: Thursday, October 11, 2007 4:49 PM To: Wlodek Stankiewicz Cc: frnog@frnog.org Subject: Re: [FRnOG] Pb de flood dns ? On Thu, Oct 11, 2007 at 04:37:21PM +0200, Wlodek Stankiewicz wrote: Bonjour, Oui, c'est la source ! The DNS request is very strange, is it really for name Y0dQV858AYIM6GaSOTYbUdo2Tv ? It looks like an encrypted string. So the target of the communication could be the authoritative (and possibly compromised) DNS server of the domain ultra-online.ru , maybe used control a botnet. et donc comme le domaine ultra-online.ru et ultracom.ru on été blacklister les botnet n'arrivent plus a communiquer et font donc des requettes en boucle je suis pas dans la merde super -- Wlodek -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Gérald Glaise Sent: Thursday, October 11, 2007 4:30 PM To: frnog@frnog.org Subject: Re: [FRnOG] Pb de flood dns ? A moins d'une traduction sérieuse et étayée par des allégations précises, je pense que le message précédent est un troll. Dont acte. Ou un extrait de http://forum.ixbt.com/topic.cgi?id=42:3789-140 -- OK. Cela donne des éléments pour avancer dans la compréhension du problème? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- GANDER Frédéric [EMAIL PROTECTED] - http://www.free.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
