Forums:
Hola compañeros!
tengo un servidor CentOS con bind 9.8.4 y hasta ahora todo bien pero desde ayer que me encuentro en los log's lo siguiente;
------------------------
May 7 22:20:16 bdns1 named[15096]: client 198.100.156.138#25859: query (cache) 'srqbit.vip.mia0pay.net/A/IN' denied
May 7 22:20:18 bdns1 named[15096]: client 198.100.156.138#16552: query (cache) 'oryjol.vip.mia0pay.net/A/IN' denied
May 7 22:20:18 bdns1 named[15096]: client 198.100.156.138#36102: query (cache) 'exqxkd.vip.mia0pay.net/A/IN' denied
May 7 22:20:18 bdns1 named[15096]: client 91.53.24.134#52464: query (cache) 'on.vip.mia0pay.net/A/IN' denied
May 7 22:20:19 bdns1 named[15096]: client 8.189.147.146#41740: query (cache) 'wbov.vip.mia0pay.net/A/IN' denied
May 7 22:20:19 bdns1 named[15096]: client 118.130.240.186#56256: query (cache) 'gf.vip.mia0pay.net/A/IN' denied
May 7 22:20:20 bdns1 named[15096]: client 34.8.15.178#20930: query (cache) 'ancnkfmnivgh.vip.mia0pay.net/A/IN' denied
May 7 22:20:21 bdns1 named[15096]: client 95.17.231.21#41785: query (cache) 'sfaxibyh.vip.mia0pay.net/A/IN' denied
May 7 22:20:21 bdns1 named[15096]: client 198.27.108.16#16420: query (cache) 'gngpkvmn.vip.mia0pay.net/A/IN' denied
May 7 22:20:21 bdns1 named[15096]: client 198.27.108.16#8530: query (cache) 'qh.vip.mia0pay.net/A/IN' denied
May 7 22:20:22 bdns1 named[15096]: client 110.116.45.101#2127: query (cache) 'qdmnavebszkv.www.yrwm.net/A/IN' denied
May 7 22:20:23 bdns1 named[15096]: client 198.100.156.138#48533: query (cache) 'ojijmxmtohsduhez.vip.mia0pay.net/A/IN' denied
May 7 22:20:23 bdns1 named[15096]: client 198.100.156.138#11806: query (cache) 'orgfqjchwpqxmxol.vip.mia0pay.net/A/IN' denied
May 7 22:20:24 bdns1 named[15096]: client 198.27.108.18#15404: query (cache) 'ehmxchirojulczgf.www.yrwm.net/A/IN' denied
May 7 22:20:25 bdns1 named[15096]: client 9.217.202.208#56450: query (cache) 'inczyxktqtyt.www.yrwm.net/A/IN' denied
May 7 22:20:25 bdns1 named[15096]: client 60.179.218.118#20958: query (cache) 'upylylwdcxct.www.yrwm.net/A/IN' denied
----------------------
esto todo el rato y cada segundo. Si corto el puerto 53 lógicamente deja de salir esos log's pero tengo que tener ese servidor en producción. en el fichero named.conf el
allow-recursion {
127.0.0.1;
otras ip's que pueden consultar*
};
* estas ip's las he quitado y hace lo mismo, son las de los servidores esclavos.
He aplicado una regla en iptables para que esos servidores esclavo puedan refrescar las dns y al menos paro el golpe porque los servidores esclavo estan haciendo su función pero me interesaría saber como puedo parar este golpe. He escaneado todo el servidor ( no tiene maquinas ni hace nat a red privada ) con clamscan -r --remove=yes /* y 0 virus así que ya no se que más mirar ;(
prueba con algo como fail2ban
prueba con algo como fail2ban ...
bye
;)
Ohh que bueno!
Pues si señor, no lo conocía la verdad! es fácil de configurar y por lo que veo muy eficaz! si señor me lo apunto para ponerlo por defecto en los servidores! :)
Gracias por tu rápida respuesta! :)
Genial que te haya servido, a
Genial que te haya servido, a ver si colaboras con tu configuración de fail2ban para bind ;) para incluirlo en el artículo:
http://www.ecualug.org/?q=alaja_el_fail2ban_para_combatir_a_los_crackers_hijos_de_puta
O tú mismo lo agregas como un comentario ;)
bye
;)
PD: me encanta eso de poder configurar el URL de los posts :D
exite un filtro en fail2ban
exite un filtro en fail2ban llamado, named-refused.conf, x default, el cual debe estar activado en jail.conf, prueba a ver con los tiempos de bloqueo!!
pero si están denegados.. no
pero si están denegados.. no hay de qué preocuparse pienso.
además:
1- si vas a tener un dns de zona, no le hagas también de caché...
2- el dns de caché no le expongas a internet
si me das tu ip publica te verifico si está actuando como un dns de cache de uso publico
Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre
Re:
Hola epe!
gracias por tu respuesta! he mirado y no esta como servidor dns cache pero si quieres dime como te puedo dar la ip ( para no ponerla públicamente o dime si existe alguna url que haga ese test :) pero con el fail2ban parece que ha parado el ataque, va muy bien la verdad! :) se ha vuelto esencial para mi jejeje!