[FUG-BR] DNS - Começou de novo

João Paulo Just jpjust em justsoft.com.br
Sexta Agosto 22 08:03:48 BRT 2008


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

mantunes wrote:
| João,
|
| Poderia me dizer quais foram suas conclusoes e como vc soube que era
| problema de DNS ??

Na verdade, a Embratel que informou que o problema estava nesse servidor
e que tinha a ver com o bind desatualizado. Informaram também que haviam
usado a falha pra clonar uma página do Orkut.

Ontem à noite, quando havia detectado o problema, vim correndo pro
datacenter pra descobrir qual a causa. No começo, achei ter sido
problema com o roteador, pois os pings dos servidores até o roteador
davam em torno de 23000 ms. Percebi que era um possível ataque porque
quando removia o cabo de um dos servidores, os pings normalizavam.

Comecei a verificar o tráfego com o trafshow, mas não encontrava nada
anormal. Inclusive, na máquina com o bind desatualizado, vi vários
pedidos de DNS, mas não desconfiei, pois essa máquina é DNS autoritativo
de vários domínios hospedados aqui.

Desliguei um dos servidores o qual eu suspeitava de ser a vítima (o que
normalizava os pings ao ser desconectado) e abri chamado na Embratel.
Hoje eles disseram que o outro servidor (o do bind desatualizado) estava
recebendo os ataques.

Concluí que o servidor desatualizado levou um cache poisoning pra clonar
uma página do Orkut, levando o usuário a abrir uma página no outro
servidor, o que havia sido desconectado. Acredito que o atacante criou
um redirecionamento de URL no nosso sistema (hospedamos um site de
redirecionamentos gratuitos) e envenenou o bind desatualizado pra que
fosse possível acessar o redirecionamento fraudulento.

Neste exato momento, todos os servidores estão conectados. Dei um stop
no bind do servidor desatualizado enquanto atualizo ele.

Por ter esquecido de atualizar somente UM servidor, TODO o datacenter
foi prejudicado, pois o link não suportou tanto pedido de DNS. Quem não
atualizou ainda, corra pra não levar fumo também. :(

- --
João Paulo Just
Diretor Executivo - Justsoft Informática Ltda.
http://www.justsoft.com.br/
- --
Feira de Santana, BA, Brasil.
+55 75 8104 8473
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFIrp0UXL+vuN2d7ZwRAhhxAKCqL9fbL+brlSmWMRyrFTZ+bUNgvQCfV3P9
yzhZUw0Ebclzna8KHWzJWFo=
=2tVU
-----END PGP SIGNATURE-----


Mais detalhes sobre a lista de discussão freebsd