[Problem] Z bind i widocznością serwera

[czerep 0]

Witam. Otrzymałem od OVH informacje o tym że muszę dokonać modyfikacji konfiguracji bind ze względu na możliwość dokonywania ataków z serwera. Wcześniejsza konfiguracja działała dobrze nie było żadnych problemów. Po wprowadzeniu zmian które nakazało OVH serwer zaczął dzienie się zachowywać, mianowicie dochodzi 1% maili, resetowane połączenia. Robiłem różne testy i nic nie mówi dlaczego tak się dzieje. Po przywróceniu starej konfiguracji problem wcale nie zniknął co mnie mocno zdziwiło.

 

Zamiana jaką kazało zrobić OVH jest opisana tutaj:

http://www.ovh.com/fr/g1082.comment-securiser-votre-serveur-dns

 

Proszę o pomoc gdyż już kończą mi się pomysły co może być przyczyną.

Edytowano Czerwiec 2, 2013 przez czerep (zobacz historię edycji)

[Gość patrys]

Jak możesz zarządzać tym serwerem nie mając podstawowej wiedzy ?

 

Tłumacząc z grubsza, pod francuskim linkiem masz jedynie wyłączenie żądań rekursywnych dla innych niż lokalne.

Problem z pocztą pojawił się pewnie przez wpisy resolv.conf, sprawdź czy działa lokalnie serwer dns i jeżeli działa to ustaw w wcześniej wymienionym pliku na pierwszej pozycji adres 127.0.0.1.

[czerep 0]

Lokalny serwer działa a wpis w resolv.conf jest na pierwszym miejscu na drugim jest ip z OVH.

[patryk 451]

Sprawdź sobie zachowanie wgeta dla jakiegoś większego pliku, np:

wget noc.gts.pl/100mb.gts

 

Jeśli przerwie Ci po kilku MB i transfer spadnie do zera to załapałeś się na jakąś tajemniczą awarię z OVH, którą też obserwuje od 3 dni na jednej z maszyn i nie ma raczej związku z konf. DNS (choć rzeczywiscie składa się to z terminem, kiedy OVH zaczęły przeszkadzać rekursywne DNSy w ich sieci).

 

Oczywiście z hosta w sieci OVH wszystko leci dobrze ;-).

 

[czerep 0]

Rano prubowałem speedtest.net i zawiesił się. Teraz dałem polecenie wget i również zwiecha. Rozumiem że mam cisnąć do ovh że to oni coś znowu spaprali?

[patryk 451]

Tak, w rescue mode, na innym kernelu itd jest to samo, więc możesz odpuścić testy, to coś u nich.

[czerep 0]

Ehh jak zwykle OVH nakąbinowało i teraz martw się biedny administratorze co zrobić. W sumie to tylko na jednym serwerze po zamianie wymuszonej przez OVH przestały dochodzić maile więc było to dla mnie strasznie dziwne. Ale teraz już wiem kogo ścigać aby to naprawił.

[patryk 451]

Maile dochodzą jak chcą bo co któreś połączenie kończy się "connection reset by peer". Gmail w takim przypadku w ogóle olewa dostarczenie nawet na 24h..

[czerep 0]

Co któreś to mało powiedziane 2 maile ze 100 testowych które wysłałem z gmail doszły z wp 11 na 100 :/

[Gość patrys]

To jakiś jeden z magicznych filtrów OVH, jednak winnym jest i tak osoba która zarządzała tym serwerem.

Przez podobne serwery mamy tylko problemy na sieciach, bo są do wykorzystywane do różnych ataków.

[czerep 0]

jednak winnym jest i tak osoba która zarządzała tym serwerem

 

Haha co róż to się coś zmienia, każdy konfiguruje swój serwer jak chce starając się dostosować do standardów jednak nie da się dostosować do wszystkich. Założe się że i na Twoich serwerach znalazły by się luki przez które można atakować.

[Gość patrys]

To ciekawa zmiana, bo nigdy nie powinno się udostępniać publicznie serwerów DNS do zapytań rekursywnych.

 

ps. mamy kilka botnetów, fajne są

[mmmm21 98]

Witam. Otrzymałem od OVH informacje o tym że muszę dokonać modyfikacji konfiguracji bind ze względu na możliwość dokonywania ataków z serwera. Wcześniejsza konfiguracja działała dobrze nie było żadnych problemów. Po wprowadzeniu zmian które nakazało OVH serwer zaczął dzienie się zachowywać, mianowicie dochodzi 1% maili, resetowane połączenia. Robiłem różne testy i nic nie mówi dlaczego tak się dzieje. Po przywróceniu starej konfiguracji problem wcale nie zniknął co mnie mocno zdziwiło.

 

Zamiana jaką kazało zrobić OVH jest opisana tutaj:

http://www.ovh.com/fr/g1082.comment-securiser-votre-serveur-dns

 

Proszę o pomoc gdyż już kończą mi się pomysły co może być przyczyną.

 

Zerknij http://www.webhostingtalk.pl/topic/42762-zabezpieczenie-serwera-dns/?p=365040

 

Poprawna konfiguracja bind-a powinna rozwiązać problemy.

 

3.1 Sample Configurations

3.1.1 A Caching-only Name Server

The following sample configuration is appropriate for a caching-only name server for use by clients

internal to a corporation. All queries from outside clients are refused using the allow-query option.

Alternatively, the same effect could be achieved using suitable firewall rules.

 

// Two corporate subnets we wish to allow queries from.

acl corpnets { 192.168.4.0/24; 192.168.7.0/24; };

options {

// Working directory

directory "/etc/namedb";

allow-query { corpnets; };

};

// Provide a reverse mapping for the loopback

// address 127.0.0.1

zone "0.0.127.in-addr.arpa" {

type master;

file "localhost.rev";

notify no;

};

 

3.1.2 An Authoritative-only Name Server

options {

// Working directory

directory "/etc/namedb";

// Do not allow access to cache

allow-query-cache { none; };

// This is the default

allow-query { any; };

// Do not provide recursive service

recursion no;

};

 

 

Źródło: http://ftp.isc.org/isc/bind9/cur/9.7/doc/arm/Bv9ARM.pdf

 

Dotyczy Cię opcja z punktu 3.1.2. Powinno, to załatwić sprawę z ovh.

Edytowano Czerwiec 3, 2013 przez mmmm21 (zobacz historię edycji)

[ednet 136]

samo naprawienie konfiguracji niewiele da.

przy okazji nakładania tych ich filtrów chyba coś pomieszali bo ja już mam IP zdjęte z "kwarantanny" a poczta dalej nie działa.

 

dostałem info ze mam się dopisać do listy mejlingowej do samego szefa Oles.

 

przyznali ze jest problem częscią sieci ale nie wiem ile serwerów jest nią objęte.

[mmmm21 98]

Witam,

 

Ponad 160,000 fizycznych serwerów oraz ponad 40,000 VM w naszej sieci ma nieprawidłową konfigurację DNS, która umożliwia hackerom wykorzystanie serwera DNS do ataków (DDos, DNS AMP) na zewnętrzne cele z naszej sieci.

 

W przypadku wykrycia ataku tego rodzaju, adresy atakowane IP są umieszczane w kwarantannie i weryfikujemy źródłowe IP, które brały udział w atakach (W najbliższych tygodniach taki ruch będzie blokowany).

W ten sposób znajdziemy i zablokujemy serwer, a administrator serwera otrzyma email z dowodami ataku.

 

W ciągu ostatniego tygodnia pracowaliśmy nad ograniczneniem ilości ataków DNS AMP generowanych przez klientów z nieprawidłową konfiguracją BIND na serwerze. Email w tej sprawie został wysłany do 500 klientów z prośbą o skorygowanie problemu i przygotowujemy email do kolejnych 3000 klientów.

 

Jednocześnie kontrolujemy trwające ataki, kilka razy dziennie ponieważ BIND nie został proprawiony, gdyż klienci nie mają czasu na naprawę lub uważają, że to nie jest poważny problem.

Od godziny 13 dodaliśmy do kwarantanny 3200 IP biorących udzuał w ataku. Kwarantanna jest realizowana przez naszą infrastrukturę VAC1 w RBX i filtrujemy wszystkie zewnetrzne zapytania DNS, które mają na celu wykonanie ataku. Inne zapytania nie są filtrowane.

 

Klienci, których serwery są uwikłane w ataki otrzymują emaile dotyczące tego problemu oraz 24h na naprawę. Od jutra zaczniemy zawieszanie serwerów z powodu naruszenia bezpieczeństwa w sieci.

Czy twój serwer DNS jest zabezpieczony?

Sprawdź swoje IP tutaj: http://ovh.to/6bc7evq

 

Jak zabezpieczyć DNS?

Skorzystaj z instrucji w przewodniku o konfiguracji DNS.

http://ovh.to/VxN3Wr

 

Czy OVH może wykonać za mnie zabezpieczenie serwera DNS?

Tak, możesz otworzyć płatne zgłoszenie do działu incidnet. Koszt interwencji to 80PLN netto.

 

Pozdrawiam,

 

Octave

 

 

Źródło: http://prace.ovh.pl/?do=details&id=15995

 

Będą zawieszać serwery, będzie się działo

[czerep 0]

samo naprawienie konfiguracji niewiele da.

przy okazji nakładania tych ich filtrów chyba coś pomieszali bo ja już mam IP zdjęte z "kwarantanny" a poczta dalej nie działa.

 

dostałem info ze mam się dopisać do listy mejlingowej do samego szefa Oles.

 

przyznali ze jest problem częscią sieci ale nie wiem ile serwerów jest nią objęte.

 

Gdzie można przyłączyć się do takiej listy mailingowej?

 

[ednet 136]

musisz od nich dostac informacje ze masz wysłać mejla pod konkretny adres.

 

u mnie już poczta działa OK, ale mam problem z pobraniem wiekszego pliku np

wget ftp://ftp.atman.pl/test64mb

po kilku procentach się zatrzymuje.

Pliki testowe z serwerów OVH sciągają się prawidłowo.

Edytowano Czerwiec 3, 2013 przez ednet (zobacz historię edycji)

[Pan Kot 1535]

Chyba OVH przeczytało mój temacik odnośnie DNS Amplification na WHT i zaczęło coś w związku z tym robić .