elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Curso de javascript por TickTack


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking (Moderador: toxeek)
| | |-+  server comprometido por dns spoofing, busco ayuda
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: server comprometido por dns spoofing, busco ayuda  (Leído 3,365 veces)
diems

Desconectado Desconectado

Mensajes: 1


Ver Perfil
server comprometido por dns spoofing, busco ayuda
« en: 6 Abril 2013, 22:06 pm »

Estimados,

Hace exactamente 2 días vengo luchando con un problema de dns spoofing, donde aparantemente nuestro servidor bind9 esta siendo utilizado como amplificador, lo cual causa el colapso del servidor dado que el proceso named termina ocupando el 80 o 90 % de los recursos.

He habilitado todos los logs de bind9 e instalado y configurado fail2ban pero no logro dar con las directivas correctas para que bind escriba correctamente el log de security.log para que este sea utilizado por fail2ban

Actualmente estoy logeando todos los queries al dns en /var/logs/named/queries.log el cual se llena con queries del tipo:

06-Apr-2013 17:01:28.061 client 198.47.121.99#9317: query: . IN ANY +E

Miles de queries con distintas IP's, también aparece muchas veces el dominio deniedstresser.com y el dominio isc.org con entradas como la siguiente:

06-Apr-2013 17:01:28.063 client 184.154.62.139#8952: query: deniedstresser.com IN ANY +E
06-Apr-2013 17:01:28.076 client 188.165.220.115#50886: query: isc.org IN ANY +E


Agradezco cualquier ayuda que puedan brindarme



« Última modificación: 6 Abril 2013, 22:09 pm por diems » En línea

peib0l
Wiki

Desconectado Desconectado

Mensajes: 3.493


freedom


Ver Perfil WWW
Re: server comprometido por dns spoofing, busco ayuda
« Respuesta #1 en: 8 Abril 2013, 18:06 pm »

isc.org son los que controlan BIND asi que no me extrañaría que estuvieran creando una red con la gente que lo uso, por otro lado, todas llamadas al DNS son desde la red externa? porque igual es desde dentro de la red y te estas volviendo loco.
En línea

el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 21.637


La libertad no se suplica, se conquista


Ver Perfil WWW
Re: server comprometido por dns spoofing, busco ayuda
« Respuesta #2 en: 9 Abril 2013, 20:56 pm »

¿No tendrás un servidor dns recursivo?

Añade al fichero conf:

Citar
   recursion no;

  forwarders {
      8.8.8.8;
      8.8.4.4;
    };


y reinicia bind named
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Busco una guia para crear un server de Mu Online
Juegos y Consolas
Nosk 0 1,659 Último mensaje 29 Abril 2007, 21:29 pm
por Nosk
Proyecto ProFTPD comprometido y servidor troyanizado
Noticias
Novlucker 0 2,607 Último mensaje 2 Diciembre 2010, 16:01 pm
por Novlucker
Web spoofing - ayuda
Hacking
Maurice_Lupin 1 3,195 Último mensaje 20 Junio 2011, 03:47 am
por Maurice_Lupin
ayuda!,con dns spoofing (evitar saltar el navegador)
Hacking
Zeta1337 2 3,083 Último mensaje 1 Julio 2015, 21:02 pm
por Zeta1337
[Ayuda] Busco server de codecombat
Juegos y Consolas
danny920825 0 3,258 Último mensaje 23 Noviembre 2016, 15:33 pm
por danny920825
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines