< HomePage | Снимки
<- Четвъртък, 22 Ноември 2007 | Начална страница | Събота, 24 Ноември 2007 ->
Петък, 23 Ноември 2007

От поне два месеца лог файловете на DNS сървърите ми се пълнят със записи подобни на показания по-долу:

Nov 20 10:14:53 ns named[947]: client 83.30.139.179#3794: query (cache) 'mx010.email.bg/A/IN' denied

Дълго време не им обръщах внимание, но в един момент ми стана интересно защо пък се опитват да ползват моя сървър като рекурсивен, за да търсят mx010.email.bg, с който нямам нищо общо? Чесах се по главата, чудих се, обаче чак като побъбрих с Весо ми светна, че mx010.email.bg всъщност е указан като MX на домейна top.bg.

Всеки нормален DNS resolver би трябвало да пита сървъра за имена на email.bg, а не моят къде се намира mx010.email.bg. Да, нормален resolver би трябвало да го прави, но в случая явно си нямам работа с нормален resolver.

Фактът, че заявките идваха от много и различни IP адреси, това се случваше постоянно и се питаше за IP адрес на mail exchanger за домейна, беше лампичката която трябваше да ми светне, за да се сетя, че си имам вземане-даване с някой от много бройните зомбирани Windows машини, които се ползват за spam и други чудесни неща.

Анализирайки логовете се оказва, че за около два месеца повече от 300000 уникални IP адреса са пратили невалидни заявки към сървъра ми. Това са доста заразени машини. Нямам представа с какво са заразени, но е тъжно, че заради олигофрените - windows потребители страдат всички.

Ако някой се интересува от адресите на заразените машини, мога да му ги предоставя. Ако бота има отдалечено управление, да вземе да им пусне един format c:

За да не се пълнят логовете на DNS сървъра с подобни записи се наложи да изключа канала security. Това се прави по следния начин - в /etc/named.conf добавете logging { category "security" { null; }; }; и накарайте сървъра да си презареди конфигурацията (rndc reconfig).

[ Коментари: 10 ]
Коментари

Е ти малък ли си да им пуснеш един format -- все пак за твоя сървър става дума :-))

cheers,
</wqw>

Написа wqw на 27-Nov-2007 13:55

Ааа такива неща не правим :) Пък и ме е гнус да се занимавам с виндовсите.

Написа Георги Чорбаджийски (www) на 27-Nov-2007 13:59

"... ми се пълнят сЪС записи", нищо де аз цял живот немога да науча кога се пише И и кога Й:-P

Написа freax на 27-Nov-2007 15:24

thnx, оправих го.

Написа Георги Чорбаджийски (www) на 27-Nov-2007 15:28

А нямаше ли възможност за regex мачване в конфигурацията на логващите канали за bind. Не съм го пипал от както го настроих и съм позабравил.

Написа zeridon (www) на 27-Nov-2007 15:34

Доколкото зная - не.

Написа Георги Чорбаджийски (www) на 27-Nov-2007 15:40

Мммм, само да отбележа следното (съжалявам, че ползвам отмиращият nslookup):

> set type=mx
> top.bg
Server: 83.148.104.97
Address: 83.148.104.97#53

Non-authoritative answer:
top.bg mail exchanger = 10 mx010.email.bg.

Authoritative answers can be found from:
top.bg nameserver = ns1.top.bg.
top.bg nameserver = ns2.top.bg.

> set type=ns
> email.bg
Server: localhost
Address: 127.0.0.1#53

Non-authoritative answer:
email.bg nameserver = ns1.globalenter.net.
email.bg nameserver = ns2.globalenter.net.

> set type=a
> ns1.globalcenter.net
Server: 83.148.104.97
Address: 83.148.104.97#53

** server can't find ns1.globalcenter.net: NXDOMAIN
> ns2.globalcenter.net
Server: 83.148.104.97
Address: 83.148.104.97#53

** server can't find ns2.globalcenter.net: NXDOMAIN

При тва положение, ако съм отчаян resolver вероятно ще запитам NS-a на top.bg дали не знае нещо все пак за A record на mx010.email.bg.

Така че не знам дали са зомби хостове или просто някой, който отчаяно иска да разбере адреса на вашия mail exchanger (по интересно стечение на обстоятелствата, листнат първи като MX record при вас).

Та тва де...не бързай да ги псуваш бозите :) Може би пък не всичките опити са такива :)

Поздрави :)

Написа gat3way (www) на 27-Nov-2007 22:26

Ъ, да му се не види, грешка, globalenter било, не globalcenter. Грешката е моя, оттеглям възраженията :)

Написа gat3way на 27-Nov-2007 22:40

При мен виждам следното (от компютъра вкъщи) и всичко изглежда наред. Определено са бозите виновни.


host -tMX email.bg ns1.globalenter.net.
Using domain server:
Name: ns1.globalenter.net.
Address: 87.118.141.1#53
Aliases:

email.bg mail is handled by 10 mx010.email.bg.
email.bg mail is handled by 20 mx020.email.bg.

==

host -tMX email.bg ns2.globalenter.net.
Using domain server:
Name: ns2.globalenter.net.
Address: 212.116.131.29#53
Aliases:

email.bg mail is handled by 10 mx010.email.bg.
email.bg mail is handled by 20 mx020.email.bg.

==

host mx010.email.bg
mx010.email.bg has address 89.25.32.13

==

host mx010.email.bg ns1.globalenter.net.
Using domain server:
Name: ns1.globalenter.net.
Address: 87.118.141.1#53
Aliases:

mx010.email.bg has address 89.25.32.13

==

host mx010.email.bg ns2.globalenter.net.
Using domain server:
Name: ns2.globalenter.net.
Address: 212.116.131.29#53
Aliases:

mx010.email.bg has address 89.25.32.13

Написа Георги Чорбаджийски (www) на 27-Nov-2007 22:44

@gat3way: Разбираема грешка. Добре че правих copy+paste, че иначе и аз бих объркал, защото си мислех, че е globalCenter, а не globalEnter :)

Написа Георги Чорбаджийски (www) на 27-Nov-2007 22:45