[FUG-BR] Ataque DNS
firebits
mrpa.security em gmail.com
Quinta Outubro 4 12:36:46 BRT 2012
Aproveita a deixa, e implementa um DNSSEC
Em 04/10/2012 09:06, "João Mancy" <joaocep em gmail.com> escreveu:
> Bom dia,
>
> Cara tem vários, só ler o SA do FreeBSD
>
> http://www.freebsd.org/security/advisories.html
>
> 4) Install and run BIND from the Ports Collection after the correction
> date. The following versions and newer versions of BIND installed from
> the Ports Collection are not affected by this vulnerability:
>
> bind96-9.6.3.1.ESV.R7.2
> bind97-9.7.6.2
> bind98-9.8.3.2
> bind99-9.9.1.2
>
> Acredito que a tua versão seja defasada :(
>
>
> É chato, mas infelizmente com DNS não tem arrego.
>
> um abraço.
>
> Em 4 de outubro de 2012 08:36, Cleiton Alves <cleitondebian em gmail.com
> >escreveu:
>
> > , provavelment eh um bot
> > Em 04/10/2012 08:25, "Ricardo" <ricardobvolpato em yahoo.com.br> escreveu:
> >
> > > Pessoal, boa tarde.
> > >
> > > Sofremos o que pareceu ser um ateque ontem pela manhã, o alvo foram
> dois
> > > servidores DNS dentro da nossa rede.
> > >
> > > Vejam uma parte do tcpdump:
> > >
> > > 11:39:19.240474 IP 189.89.102.100.54036 > xxx.xxx.xx.151.53: 58536+
> [1au]
> > > ANY ANY? re. (31)
> > >
> > > 11:39:19.240483 IP 189.89.102.100.37878 > xxx.xxx.xx.150.53: 5989+
> [1au]
> > > ANY
> > > ANY? re. (31)
> > >
> > > 11:39:19.240489 IP 189.89.102.100.45591 > xxx.xxx.xx.193.53: 27930+
> [1au]
> > > ANY ANY? re. (31)
> > >
> > > 11:39:19.246150 IP 189.89.102.100.43027 > xxx.xxx.xx.65.53: 40268+
> [1au]
> > > ANY
> > > ANY? re. (31)
> > >
> > > 11:39:19.246165 IP 189.89.102.100.50745 > xxx.xxx.xx.153.53: 629+ [1au]
> > ANY
> > > ANY? re. (31)
> > >
> > > 11:39:19.247924 IP 189.89.102.100.48725 > xxx.xxx.xx.150.53: 22654+
> [1au]
> > > ANY ANY? re. (31)
> > >
> > > 11:39:19.248160 IP 189.89.102.100.54661 > xxx.xxx.xx.151.53: 58655+
> [1au]
> > > ANY ANY? re. (31)
> > >
> > > 11:39:19.248347 IP 189.89.102.100.60093 > xxx.xxx.xx.193.53: 60843+
> [1au]
> > > ANY ANY? re. (31)
> > >
> > > 11:39:19.253574 IP 189.89.102.100.44973 > yyy.yy.yyy.1.53: 54651+ [1au]
> > ANY
> > > ANY? re. (31)
> > >
> > > 11:39:19.254280 IP 189.89.102.100.26620 > xxx.xxx.xx.153.53: 55883+
> [1au]
> > > ANY ANY? re. (31)
> > >
> > > 11:39:19.254516 IP 189.89.102.100.54776 > xxx.xxx.xx.65.53: 59779+
> [1au]
> > > ANY
> > > ANY? re. (31)
> > >
> > > 11:39:19.256631 IP 189.89.102.100.65162 > xxx.xxx.xx.150.53: 44624+
> [1au]
> > > ANY ANY? re. (31)
> > >
> > > 11:39:19.256644 IP 189.89.102.100.22683 > xxx.xxx.xx.193.53: 25792+
> [1au]
> > > ANY ANY? re. (31)
> > >
> > > 11:39:19.256987 IP 189.89.102.100.9300 > xxx.xxx.xx.151.53: 26582+
> [1au]
> > > ANY
> > > ANY? re. (31)
> > >
> > > 11:39:19.259458 IP 189.89.102.100.52905 > xxx.xxx.xx.153.53: 51522+
> [1au]
> > > ANY ANY? re. (31)
> > >
> > > 11:39:19.259569 IP 189.89.102.100.37734 > xxx.xxx.xx.65.53: 40851+
> [1au]
> > > ANY
> > > ANY? re. (31)
> > >
> > > 11:39:19.261337 IP 189.89.102.100.62052 > xxx.xxx.xx.150.53: 17283+
> [1au]
> > > ANY ANY? re. (31)
> > >
> > >
> > >
> > > #named –v
> > >
> > > BIND 9.4.-ESV-R5-P1
> > >
> > >
> > >
> > > Alguém tem conhecimento de alguma falha de segurança na versão 9.4 do
> > > named,
> > > será que realmente pode ser uma falha?
> > >
> > > O pior é que esse ataque não foi a primeira vez que ocorreu, das outras
> > > vezes o IP de origem era diferente.
> > >
> > >
> > >
> > > Obs.: os IPs xxx.xxx.xx.65, xxx.xxx.xx.151, xxx.xxx.xx.153,
> > xxx.xxx.xx.193,
> > > yyy.yy.yyy.1 estão no mesmo servidor. Já o xxx.xxx.xx.150 está em um
> > outro.
> > >
> > > Fiz um deny no nosso roteador de borda para o tráfego vindo e indo para
> > > esse
> > > IP 189.89.102.100 e tudo voltou ao normal.
> > >
> > >
> > >
> > >
> > >
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
>
>
> --
> João Luis Mancy dos Santos
> joaocep at gmail.com (msn too)
> http://joaocep.blogspot.com
> http://www.istf.com.br/perguntas/
> http://www.fug.com.br/content/view/20/69/
> uin 82889044
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Mais detalhes sobre a lista de discussão freebsd