Ataque contra mi servidor DNS

Imagen de al-serv

Forums: 

Hola compañeros!

tengo un servidor CentOS con bind 9.8.4 y hasta ahora todo bien pero desde ayer que me encuentro en los log's lo siguiente;

------------------------

May 7 22:20:16 bdns1 named[15096]: client 198.100.156.138#25859: query (cache) 'srqbit.vip.mia0pay.net/A/IN' denied
May 7 22:20:18 bdns1 named[15096]: client 198.100.156.138#16552: query (cache) 'oryjol.vip.mia0pay.net/A/IN' denied
May 7 22:20:18 bdns1 named[15096]: client 198.100.156.138#36102: query (cache) 'exqxkd.vip.mia0pay.net/A/IN' denied
May 7 22:20:18 bdns1 named[15096]: client 91.53.24.134#52464: query (cache) 'on.vip.mia0pay.net/A/IN' denied
May 7 22:20:19 bdns1 named[15096]: client 8.189.147.146#41740: query (cache) 'wbov.vip.mia0pay.net/A/IN' denied
May 7 22:20:19 bdns1 named[15096]: client 118.130.240.186#56256: query (cache) 'gf.vip.mia0pay.net/A/IN' denied
May 7 22:20:20 bdns1 named[15096]: client 34.8.15.178#20930: query (cache) 'ancnkfmnivgh.vip.mia0pay.net/A/IN' denied
May 7 22:20:21 bdns1 named[15096]: client 95.17.231.21#41785: query (cache) 'sfaxibyh.vip.mia0pay.net/A/IN' denied
May 7 22:20:21 bdns1 named[15096]: client 198.27.108.16#16420: query (cache) 'gngpkvmn.vip.mia0pay.net/A/IN' denied
May 7 22:20:21 bdns1 named[15096]: client 198.27.108.16#8530: query (cache) 'qh.vip.mia0pay.net/A/IN' denied
May 7 22:20:22 bdns1 named[15096]: client 110.116.45.101#2127: query (cache) 'qdmnavebszkv.www.yrwm.net/A/IN' denied
May 7 22:20:23 bdns1 named[15096]: client 198.100.156.138#48533: query (cache) 'ojijmxmtohsduhez.vip.mia0pay.net/A/IN' denied
May 7 22:20:23 bdns1 named[15096]: client 198.100.156.138#11806: query (cache) 'orgfqjchwpqxmxol.vip.mia0pay.net/A/IN' denied
May 7 22:20:24 bdns1 named[15096]: client 198.27.108.18#15404: query (cache) 'ehmxchirojulczgf.www.yrwm.net/A/IN' denied
May 7 22:20:25 bdns1 named[15096]: client 9.217.202.208#56450: query (cache) 'inczyxktqtyt.www.yrwm.net/A/IN' denied
May 7 22:20:25 bdns1 named[15096]: client 60.179.218.118#20958: query (cache) 'upylylwdcxct.www.yrwm.net/A/IN' denied
----------------------

esto todo el rato y cada segundo. Si corto el puerto 53 lógicamente deja de salir esos log's pero tengo que tener ese servidor en producción. en el fichero named.conf el

allow-recursion {
127.0.0.1;
otras ip's que pueden consultar*
};

* estas ip's las he quitado y hace lo mismo, son las de los servidores esclavos.

He aplicado una regla en iptables para que esos servidores esclavo puedan refrescar las dns y al menos paro el golpe porque los servidores esclavo estan haciendo su función pero me interesaría saber como puedo parar este golpe. He escaneado todo el servidor ( no tiene maquinas ni hace nat a red privada ) con clamscan -r --remove=yes /* y 0 virus así que ya no se que más mirar ;(

Ohh que bueno!

Imagen de al-serv

Pues si señor, no lo conocía la verdad! es fácil de configurar y por lo que veo muy eficaz! si señor me lo apunto para ponerlo por defecto en los servidores! :)

Gracias por tu rápida respuesta! :)

pero si están denegados.. no

Imagen de Epe

pero si están denegados.. no hay de qué preocuparse pienso.
además:
1- si vas a tener un dns de zona, no le hagas también de caché...
2- el dns de caché no le expongas a internet

si me das tu ip publica te verifico si está actuando como un dns de cache de uso publico

Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

Re:

Imagen de al-serv

Hola epe!

gracias por tu respuesta! he mirado y no esta como servidor dns cache pero si quieres dime como te puedo dar la ip ( para no ponerla públicamente o dime si existe alguna url que haga ese test :) pero con el fail2ban parece que ha parado el ataque, va muy bien la verdad! :) se ha vuelto esencial para mi jejeje!