OVH Community, your new community space.

URGENT ET IMPORTANT DNS resolver et DNS AMP


Siliconworld
06/06/2013, 01:47
Todo correcto con CentOS 6.4 x64 + Directadmin 1.43.1 RC1 + CSF/LFD, que fue el que me avisó de ello al pasar el Check Server Security scan muy útil y te orienta como dejarlo todo perfecto hasta alcanzar la puntuación 79/79...

Código:
Check for DNS recursion restrictions
You have a local DNS server running but do not appear to have any recursion restrictions set. This is a security and performance risk and you should look at restricting recursive lookups to the local IP addresses only
Recomiendo instalar siempre CSF/LFD en los Directadmin (y cualquier otro panel o sin el), trae plugin para acceder desde DA.

Un Saludo.

cyry
05/06/2013, 11:12
Yo uso plesk,y no tengo problemas ,he comprobado y me dice que los dns
estan seguros.

Guille
05/06/2013, 09:27
Con la configuración original de ISPConfig bajo Debian tampoco hay problemas pero por si las moscas he definido explicítamente la recursion en la configuracion del bind:
http://www.ovh.com/fr/g1082.comment-...re-serveur-dns

sdzzds
05/06/2013, 09:05
Bueno esperamos noticias por email en español del problema por si hay que revisar los servers. No creo que un mensaje en el foro en francés si es un tema urgente sea lo correcto.

oceano
05/06/2013, 08:45
Hola, buenos días.

Cita Publicado inicialmente por suicidal
+1 :d
yo tampoco tengo problemas, pero estoy con cPanel. Lo comprobé anoche y esta mañana nuevamente.

Espero podáis resolverlo pronto, ánimo !

Un saludo !

kennysamuerto
04/06/2013, 22:01
Cita Publicado inicialmente por manoleet
Plesk por defecto limita la recursividad a "localhost", por eso no te salta en ninguno de ellos.
Si, luego lo he mirado, y efectivamente, asi es.

Pues que quereis que os diga, lo he cambiado a los problematicos, que es un 5% de los servidores que tengo, y continua saliendo error. Aunque le ponga la recursividad a localhost, o como sea que lo ponga. Entiendo que la herramienta cachea y luego no comprueba correctamente...

Como le de al sistema automatico por enviar mail, y 24 horas, el mismo sistema le de por bloquear, se va a liar gorda...

Espero que al menos, antes de hacer nada con un servidor, lo inspeccionen manualmente....

manoleet
04/06/2013, 21:47
Cita Publicado inicialmente por kennysamuerto
En cambio, ningun Plesk sale con el error.
Plesk por defecto limita la recursividad a "localhost", por eso no te salta en ninguno de ellos.

davidlig
04/06/2013, 21:31
Y una de las IPs vuelve al encaminar por tilera y ahora la mitad de mis usuarios ni pueden acceder

suicidal
04/06/2013, 21:03
Cita Publicado inicialmente por samael
ninguno de mis server muestra error y uso solo paneles gnu viva el software libre !!!
+1 :d

Samael
04/06/2013, 20:35
Ninguno de mis server muestra error y uso solo paneles GNU viva el Software Libre !!!

kennysamuerto
04/06/2013, 18:24
Detectado en la mayoria de cPanel \ Directadmin anteriores a hace 3-4 meses.

En cambio, ningun Plesk sale con el error.

El tema esta, en que he modificado dos servidores (uno directadmin y otro cpanel) y he pasado el testeo de nuevo, dando de nuevo el error.

No se si tendremos que esperar propagacion o que...

oles@ovh.net
04/06/2013, 16:30
Bonjour,
Sur presque 160'000 serveurs physiques et plus
de 40'000 VM que nous gérons sur notre réseau,
certains ont une mauvaise configuration DNS qui
permet aux hackeurs d'utiliser le serveur DNS
pour lancer les attaques à partir de notre réseau
vers les cibles. Du DDoS, type DNS AMP.

Lors que nous détectons ce genre d'attaque,
nous aspirons l'IP attaquée et on regarde toutes
les IP sources qui participent aux attaques.
(Dans quelques semaines on va purger le trafic
pour le réinsérer propre sur l'Internet).
Ceci nous permet de trouver et fermer très facilement
et avec les preuves un serveur puis informer le
client qu'il a provoqué un incident de sécurité.

Depuis 1 semaine, on travaille sur les attaques
DNS AMP qui sont générés par nos clients à cause
de la mauvaise configuration du BIND. Un email
est déjà parti vers 500 premiers clients à qui
on demande la correction du problème et on
prépare l'email pour les 3000 clients restant.

En parallèle on gère les attaques qui sont
toujours en cours, plusieurs par jour, parce que
le BIND n'est toujours pas fixé, parce que le client
n'a pas le temps ou pense que ce n'est pas grave.

Nous avons donc aspiré les 3200 IP qui participent
depuis 2H à une attaque. L'aspiration va sur notre
infrastructures de mitigation VAC1 à RBX et on filtre
toutes les requêtes DNS réalisées de l'extérieur qui
ont pour but de lancer l'attaque. Les autres requêtes
ne sont pas filtrées et passent.

En parallèle, on envoie les emails aux clients afin
qu'il fixe le problème dans les 24H. A partir de
demain, on va lancer la compagne de suspension de
serveurs pour cause d'insécurité.

Est-ce que mon serveur DNS est sécurisé ?
Testez vos IP: http://ovh.to/DXgaKp2

Comment sécuriser le DNS ?
Le guide: http://ovh.to/VxN3Wr

Est-ce qu'Ovh peut le faire ?
Oui, ceci coûte 20E. il faut ouvrir le ticket
via le support http://ovh.to/75qHXTv

Amicalement
Octave