[FUG-BR] Ataque DNS
João Mancy
joaocep em gmail.com
Quinta Outubro 4 09:06:18 BRT 2012
Bom dia,
Cara tem vários, só ler o SA do FreeBSD
http://www.freebsd.org/security/advisories.html
4) Install and run BIND from the Ports Collection after the correction
date. The following versions and newer versions of BIND installed from
the Ports Collection are not affected by this vulnerability:
bind96-9.6.3.1.ESV.R7.2
bind97-9.7.6.2
bind98-9.8.3.2
bind99-9.9.1.2
Acredito que a tua versão seja defasada :(
É chato, mas infelizmente com DNS não tem arrego.
um abraço.
Em 4 de outubro de 2012 08:36, Cleiton Alves <cleitondebian em gmail.com>escreveu:
> , provavelment eh um bot
> Em 04/10/2012 08:25, "Ricardo" <ricardobvolpato em yahoo.com.br> escreveu:
>
> > Pessoal, boa tarde.
> >
> > Sofremos o que pareceu ser um ateque ontem pela manhã, o alvo foram dois
> > servidores DNS dentro da nossa rede.
> >
> > Vejam uma parte do tcpdump:
> >
> > 11:39:19.240474 IP 189.89.102.100.54036 > xxx.xxx.xx.151.53: 58536+ [1au]
> > ANY ANY? re. (31)
> >
> > 11:39:19.240483 IP 189.89.102.100.37878 > xxx.xxx.xx.150.53: 5989+ [1au]
> > ANY
> > ANY? re. (31)
> >
> > 11:39:19.240489 IP 189.89.102.100.45591 > xxx.xxx.xx.193.53: 27930+ [1au]
> > ANY ANY? re. (31)
> >
> > 11:39:19.246150 IP 189.89.102.100.43027 > xxx.xxx.xx.65.53: 40268+ [1au]
> > ANY
> > ANY? re. (31)
> >
> > 11:39:19.246165 IP 189.89.102.100.50745 > xxx.xxx.xx.153.53: 629+ [1au]
> ANY
> > ANY? re. (31)
> >
> > 11:39:19.247924 IP 189.89.102.100.48725 > xxx.xxx.xx.150.53: 22654+ [1au]
> > ANY ANY? re. (31)
> >
> > 11:39:19.248160 IP 189.89.102.100.54661 > xxx.xxx.xx.151.53: 58655+ [1au]
> > ANY ANY? re. (31)
> >
> > 11:39:19.248347 IP 189.89.102.100.60093 > xxx.xxx.xx.193.53: 60843+ [1au]
> > ANY ANY? re. (31)
> >
> > 11:39:19.253574 IP 189.89.102.100.44973 > yyy.yy.yyy.1.53: 54651+ [1au]
> ANY
> > ANY? re. (31)
> >
> > 11:39:19.254280 IP 189.89.102.100.26620 > xxx.xxx.xx.153.53: 55883+ [1au]
> > ANY ANY? re. (31)
> >
> > 11:39:19.254516 IP 189.89.102.100.54776 > xxx.xxx.xx.65.53: 59779+ [1au]
> > ANY
> > ANY? re. (31)
> >
> > 11:39:19.256631 IP 189.89.102.100.65162 > xxx.xxx.xx.150.53: 44624+ [1au]
> > ANY ANY? re. (31)
> >
> > 11:39:19.256644 IP 189.89.102.100.22683 > xxx.xxx.xx.193.53: 25792+ [1au]
> > ANY ANY? re. (31)
> >
> > 11:39:19.256987 IP 189.89.102.100.9300 > xxx.xxx.xx.151.53: 26582+ [1au]
> > ANY
> > ANY? re. (31)
> >
> > 11:39:19.259458 IP 189.89.102.100.52905 > xxx.xxx.xx.153.53: 51522+ [1au]
> > ANY ANY? re. (31)
> >
> > 11:39:19.259569 IP 189.89.102.100.37734 > xxx.xxx.xx.65.53: 40851+ [1au]
> > ANY
> > ANY? re. (31)
> >
> > 11:39:19.261337 IP 189.89.102.100.62052 > xxx.xxx.xx.150.53: 17283+ [1au]
> > ANY ANY? re. (31)
> >
> >
> >
> > #named –v
> >
> > BIND 9.4.-ESV-R5-P1
> >
> >
> >
> > Alguém tem conhecimento de alguma falha de segurança na versão 9.4 do
> > named,
> > será que realmente pode ser uma falha?
> >
> > O pior é que esse ataque não foi a primeira vez que ocorreu, das outras
> > vezes o IP de origem era diferente.
> >
> >
> >
> > Obs.: os IPs xxx.xxx.xx.65, xxx.xxx.xx.151, xxx.xxx.xx.153,
> xxx.xxx.xx.193,
> > yyy.yy.yyy.1 estão no mesmo servidor. Já o xxx.xxx.xx.150 está em um
> outro.
> >
> > Fiz um deny no nosso roteador de borda para o tráfego vindo e indo para
> > esse
> > IP 189.89.102.100 e tudo voltou ao normal.
> >
> >
> >
> >
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
--
João Luis Mancy dos Santos
joaocep at gmail.com (msn too)
http://joaocep.blogspot.com
http://www.istf.com.br/perguntas/
http://www.fug.com.br/content/view/20/69/
uin 82889044
Mais detalhes sobre a lista de discussão freebsd