OVH Community, your new community space.

URGENTE!! Ayuda con DNS amplification Attack


rafael78
09/05/2013, 17:20
Como bien dice Samael parte del AntiHack sino todo se basa en el monitoreo si lo cierras por CSF no pueden monitorear y ala , es que vaya gracia el tema , menosmal que se supone que lo supervisan , si fuese automático cerrarían servidores a cientos todos los dias , que despropósito

buscavidas
09/05/2013, 16:40
por si acaso he metido en el allow a todas las ips de sus botijos, donde he confirmado la que he visto de casualidad. He mandado un nuevo ticket explicando toda la pelicula a ver si lo dan por bueno de forma definitiva, no se...

Samael
09/05/2013, 16:34
Si paras el monitoreo de tu servidor en el panel y bloqueas los acceso a esas sondas no debería decirles nada ya que no tienes activado el monitoreo, si te envían alguna alerta de algo no sería real o usarían otra forma, puede ser una opción de librar de sus avisitos pero luego te pondrán que tienen una norma en el contrato (contrato que rompen cuando quieren) que no puedes hacer eso, kuek.

buscavidas
09/05/2013, 16:00
De casualidad he interceptado el bot antihack de OVH. Tengo el host, su ip, etc. Dan ganas de meterlo en el ignore, aunque lo mismo eso es motivo de alerta para ellos...
a ver que me cuenta esta gente...

ralosevilla
09/05/2013, 15:49
Yo aun no he recibido nada de ellos via ticket, por telefono me han dicho que no me preocupe que solo falta el formalismo de recibir el ticket pero que internamente saben que todo va bien... Que raro es todo!

buscavidas
09/05/2013, 15:32
acojonante: Me dicen que está todo resuelto, y acabo de recibir otro antihack para la misma máquina, justo a la misma hora que ayer. Ahora ponte a explicarles a los tarugos estos toda la historia desde cero...

No entiendo nada.........

rafael78
09/05/2013, 15:06
Y solo os dicen eso , es decir no había problema ninguno ni resolvía inguna DNS ni nada y al final solo os dicen eso , ala te acojonamos pero al final no dicen nada más ? y 3 a la vez con problemas guau , raro , raro

buscavidas
09/05/2013, 14:51
Me acaban de responder:

"Estimado cliente,

Actualmente, el problema fue arreglado.
Podría ponerse en contacto con el soporte
técnico para tener más datos.

Cordialmente,
OVH Abuse Team"

Yo he cerrado el ticket una vez recibido este mensaje.

sdzzds
09/05/2013, 11:44
Sí, a mi me han dicho también lo mismo se supone que le problema ya no está, gracias.

ralosevilla
08/05/2013, 23:06
Gracias, yo les escribi en el ticket explicando esso, estoy esperando respuesta tambien.

Saludos.

buscavidas
08/05/2013, 21:31
Cita Publicado inicialmente por ralosevilla
He probado esto, con estos resultados:

dig orange.fr @[IP servidor]

; <<>> DiG 9.7.3 <<>> orange.fr @[IP servidor]
;; global options: +cmd
;; connection timed out; no servers could be reached


donde [IP servidor] es la ip de mi servidor, lo he probado con las 2 que tengo con mismo resultado. He probado orange.fr que es la que me decian en el ticket de ovh pero no se si usando dig de otra manera podria comprobarlo mejor.

Gracias.
En las pruebas que te hice antes no me sale que tengas ningun servidor DNS atendiendo nada...

buscavidas
08/05/2013, 21:30
Me ha respondido un técnico con esto:

"Estimado cliente,

Le agradezco por su reactividad.
Le ruego tomar las medidas necesarias para evitar este
género de problemas en el futuro."

Entiendo que da por buenos los pasos que he seguido para resolver el problema, pero siempre te dejan con la duda... les acabo de insistir si lo dan todo por arreglado para quedarme mas tranquilo.

ralosevilla
08/05/2013, 18:03
He probado esto, con estos resultados:

dig orange.fr @[IP servidor]

; <<>> DiG 9.7.3 <<>> orange.fr @[IP servidor]
;; global options: +cmd
;; connection timed out; no servers could be reached


donde [IP servidor] es la ip de mi servidor, lo he probado con las 2 que tengo con mismo resultado. He probado orange.fr que es la que me decian en el ticket de ovh pero no se si usando dig de otra manera podria comprobarlo mejor.

Gracias.

suicidal
08/05/2013, 18:00
Cita Publicado inicialmente por ralosevilla
Lo que no entiendo es como si mi servidor Windows no tiene instalado el DNS le puede pasar este problema...

Alguien sabe como puedo checkear desde fuera si mi servidor resuleve DNS?

Gracias
dig, nslookup, puerto 53 abierto...

ralosevilla
08/05/2013, 17:28
Lo que no entiendo es como si mi servidor Windows no tiene instalado el DNS le puede pasar este problema...

Alguien sabe como puedo checkear desde fuera si mi servidor resuleve DNS?

Gracias

sdzzds
08/05/2013, 17:13
En windows se hace facilmente siguiendo el link que pusiste, yo lo he hecho y me dice que no está disponible la recursividad, creo que con esto debe estar resuelto el tema.

ralosevilla
08/05/2013, 17:04
Ya te envie privado, si al menos yo tb pudiera comprobar ese problema podia probar cosas para elimnarlo...

Gracias

buscavidas
08/05/2013, 16:46
con windows no te puedo ayudar mucho, pero tiene toda la pinta de que tu servidor sí está resolviendo externamente a nivel DNS. Si quieres por privado pásame la ip de tu máquina y te lanzo algunas pruebas aunque antes tienes que encontrar una solución similar a la que ponía para un servidor linux y así vas sobre seguro.

Yo el procedimiento que he seguido ha sido responder el ticket antihack de ovh con el detalle de lo que he hecho a ver si les vale (he usado el dig a orange.fr que ellos ponian en el ejemplo para que vean que ya no devuelve lo que ellos ponen como referencia.)

Espero les valga

...por si acaso ya estoy levantando un servidor de emergencia por si les dan por jorobarla mañana...

ralosevilla
08/05/2013, 16:21
Segun he podido ver en diferentes tutoriales lo que has hecho para Linux es correcto y para windows se deberia hacer esto:

http://technet.microsoft.com/en-us/l.../cc771738.aspx

pero yo no tengo el servidor DNS instalado y no puedo acceder para hacerlo...

La pregunta es si podria tener instalado un servidor DNS en mi maquina de forma oculta??? como podria averiguarlo???

En este servidor tengo un Joomla un poco antiguo... podria tener algo que ver??

Gracias, espero algun consejo para solucionar este lio.

Saludos.

buscavidas
08/05/2013, 16:18
A ver, algo más de teoría a esta movida.

Si yo cojo desde otro servidor y hago esto:

root@server: dig google.com @Aqui pongo la IP afectada que dice OVH

debería devolver esto en un servidor sin la recursion externa permitida:

; <<>> DiG 9.6-ESV-R4 <<>> google.com @IP_AFECTADA
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 50904
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available

Entiendo que esto es lo que quiere OVH...

No vendría mal que alguien de OVH aclarara en qué se fijan sus bots anti-hack para hacer la prueba y quedarnos más tranquilos porque esto pinta muy fácil de corregir pero siempre quedan dudas por falta de info.

A ver si alguien más nos da más info porque de OVH no espero mucho...

buscavidas
08/05/2013, 16:03
Acabo de recibir el mismo aviso hace unos minutos con exactamente la misma información. En mi caso un centos 5.9 con cpanel actualizado.
Hasta donde he entendido dicen que pueden usar nuestros servidores DNS como relays externos. Tirando un poco de manual rápidamente he editado

/etc/named.conf

y en la sección "external" he puesto rescursion NO:

Os pego extracto de lo que he tocado en negrita

view "external"
{
/* This view will contain zones you want to serve only to "external" clients
* that have addresses that are not on your directly attached LAN interface subnets:
*/

recursion no;
// you'd probably want to deny recursion to external clients, so you don't
// end up providing free DNS service to all takers

¿Creeis que con esto es suficiente?.
Ya podían haber dado más info los "botijos" de OVH...

sdzzds
08/05/2013, 15:50
A mi me han enviado el mismo email, pero los logs me aparecen vacios con lo que a saber cómo atajar esto. En mi caso es un Windows 2008 también pero a través de una VM de Proxmox. Ahora mismo he parado el contenedor a la espera de ver alguna posible solución.

ralosevilla
08/05/2013, 15:42
Hola a todos, estoy bastante apurado con este tema ya que me ha llegado un email de OVH comentandome que mi servidor se esta usando como servidor DNS de forma fraudulenta y si no lo arreglo en 24 horas me lo cortaran... No se ni por donde empezar, asi que si alguien me puede dar algun tipo de informacion se lo agradeceria mucho.

Es un servidor con Windows Server 2008 R2 Standard, el cual no tiene configurado un servidor DNS aunque en OVH me dicen que algun hacker lo habra instalado sin mi consentimiento... Aqui os dejo el email de OVH:

we have received a complaint against your IP.
Your IP has been used to participate in DNS amplification Attack.

As you can see here:

dig orange.fr @#ip

You server is an open dns relay. This configuration is not to us in our network.
So you need to change your bind server (named).For further details please have a look at this link:
http://www.us-cert.gov/ncas/alerts/TA13-088A

If within 24 hours after this message your dns server will always respond as open relay, we are obliged to suspend the server / ip.
Below is logs mentionning the ip address which is acting as an open dns relay.
La solucion que me proponen en el link indicado no me sirve ya que no tengo ningun servidor DNS instalado.

Os rogaria algun tipo de ayuda por lo menos para ir empezar, que no por donde meterle mano a esto...

Muchas gracias