Tak som zase raz ddosoval

Vcera mi prisla prijemna sms sprava o tom, ze z mojich serverov sa veselo ddosuje do celeho sveta. Po uvodnej panike som si uvedomil, ze len jedna IP je moja, cize ostatne servre boli cudzie.
Okrem boja s 35 mutaciou policajneho viru som sa teda pustil do analyzy problemu a zistil som uz cez 2 tyzdne moj bind veselo ddosuje cely svet. Problem nastal, ze som nezistil ziandu vulnerability a hoci je to system stary niekolko rokov nevedel som za ten svet prist na to, co binda zneuziva.
Spravil som beznu kontrolu na rootnutie systemu jadra, prebehol som cely system a hladal som co a ako bolo zneuzite. Bohuzial som dodnes na nic neprisiel, takze system caka dnes renovacia.
Otazka znie, ci sa niekto v poslednej dobe stretol s niecim podobnym, system je debilian 4 (rucne prevedeny upgrade jadra na 2.6.24-etchnhalf.1-amd64) a doteraz s nim neboli ziadne problemy.

Předmět	Autor	Datum
a co třeba vyměnit děravého binda třeba za Knot nebo djbdns? edit: jakou verzi binda tam provozuješ… touchwood 28.03.2013 10:57	touchwood	28.03.2013 10:57
Uz teraz neviem, bola to verzia este zo sarge, ten system bol upgradnuty kedysi na etch. Ale ako prv… fleg 28.03.2013 11:40	fleg	28.03.2013 11:40
podle mě byla totiž díra přímo v bindu. Jestli to je pouze autoritativní server, tak bych rozhodně… touchwood 28.03.2013 11:50	touchwood	28.03.2013 11:50
Je to primarny nsko pre asi 30 domen preto sa mi nechce moc prechadzat na iny sw, ale ak ina cesta n… fleg 28.03.2013 12:09	fleg	28.03.2013 12:09
v tom případě bych bral ten Knot. V Debianu je v repository, zonefiles jsou stejné, jen hlavní konfi… touchwood 28.03.2013 12:58	touchwood	28.03.2013 12:58
Po 6h sa mi podaril remotny upgrade, zatial funguju vsetky testovane sluzby, uvidime ako sa bude spr… poslední fleg 28.03.2013 13:40	fleg	28.03.2013 13:40

a co třeba vyměnit děravého binda třeba za Knot nebo djbdns?

edit: jakou verzi binda tam provozuješ?
edit2: jak máš nastavené zóny?

Uz teraz neviem, bola to verzia este zo sarge, ten system bol upgradnuty kedysi na etch. Ale ako prve som upgradol v ramci distra Bind9, nempomohlo, takze som teraz spravil upgrade na lennyho (celkom aadrenalin na dialku;o)) a Bind9 sice ide, ale nic neresolvuje, hadze nejaku chybu (nslookup: undefined symbol: isc_net_pton), takze este raz prekopavam cely system.

podle mě byla totiž díra přímo v bindu.

Jestli to je pouze autoritativní server, tak bych rozhodně doporučil ten Knot. Zonefiles jsou AFAIK totožné s bindovskými a konfigurace základu je o dost čitelnější.

Je to primarny nsko pre asi 30 domen preto sa mi nechce moc prechadzat na iny sw, ale ak ina cesta nebude...
Ten upgrade nedopadol moc dobre, musim latat rucne skoro kazdu sluzbu kvoli zavislostiam.

v tom případě bych bral ten Knot. V Debianu je v repository, zonefiles jsou stejné, jen hlavní konfigurace, a ta je velmi jednoduchá.

Po 6h sa mi podaril remotny upgrade, zatial funguju vsetky testovane sluzby, uvidime ako sa bude spravat Bind. Dik za tip.
Vyzera to, ze bol naozaj dervay Bind, verzia 9.6-ESV-R4 sa sprava zatial korektne a dieru v systeme som naozaj nenasiel.

Zpět do poradny Odpovědět na původní otázku Nahoru