tfwfactory
20/02/2014, 22:20
Lo jodido es que todos los ataques que tuvimos en logs muy largos , eran ips de servidores de OVH en Francia , eso es lo jodido de entender , no compredo que le pasa a la red de OVH , por otro lado los fallos que tuvimos se vieron o se dieron al mismo tiempo que los mayores ataques de tipo DDOS que tuvo OVH al parecer la semana pasada donde OLES sacó a relucir su increible ...... Anti DDOS que creo causa más problemas que otra cosa , per es mi opinión
Por lo demás sinceramente los ataques fueron claros , el Bind lo teniamos protegido , tambien teniamos fail2ban y csf y nullrouteamos esas ips tambien pero aun asi no se si coincidenca o no pero esos logs son tal cual , deberían mirar dentro de su propia red , tal vez ....... se contratan muchos servidores para afectar a otros usuarios dentro de la red y pq no quiero pensar mal de que nos pase esto a los usuarios de KS precisamente ......... ahí lo dejo , pero si no quieren usuarios con KS que no dejen contratarlos , como se suele decir hay muchas formas de largar a uno de su casa , causar ruido , vecinos molestos , no te largamos pero te incitamos a hacerlo , a buen entendedor pocas palabras , si nunca pasó una cosa asi , ahora que pasen todas juntas pues , tampoco , pero la tendencia parece esa ........
Saludos
Publicado inicialmente por
rweb
De cualquier forma una buena configuración en tu firewall te impediría que estas solicitudes lleguen a Bind y descargarían tu servidor de carga. Debería existir un límite por IP razonable para el servicio DNS y en general para cualquier servicio.
Es cierto que ello no te impediría un ataque distribuido o, en este caso, al tratarse del protocolo UDP un ataque en que se modifique la dirección de origen del paquete, pero si te permitiría mitigar ataques menos sofisticados como el que estás sufriendo.
Fail2ban de hecho tiene un jail para Bind pero te avisan claramente de que la jaula no puede separar peticiones legítimas de ilegitimas. Lo tuve una semana de pruebas y el resultado ha sido que incluso servidores DNS como el resolver de Jazztel hacia varias peticiones a un dominio (Todas legitimas) e igualmente las metia en la jaula.
Es un riesgo añadido pero sinceramente, recibo todo ese tráfico basura a mi servidor y la CPU apenas sube de un 0.1% según HTOP asi que no deberia ser problema.
De cualquier forma una buena configuración en tu firewall te impediría que estas solicitudes lleguen a Bind y descargarían tu servidor de carga. Debería existir un límite por IP razonable para el servicio DNS y en general para cualquier servicio.
Es cierto que ello no te impediría un ataque distribuido o, en este caso, al tratarse del protocolo UDP un ataque en que se modifique la dirección de origen del paquete, pero si te permitiría mitigar ataques menos sofisticados como el que estás sufriendo.
Un saludo.
MundoAlterno
14/02/2014, 08:51
Las gamas KS y SYS tienen proteccion DDos normal no DDos Pro como ovh es decir que solo se activa cuando tienes un ataque DDos y todo el trafico pasa por VAC hay beses que tarda entre 30 seg y 1 minuto en activarse pero normalmente se activa al instante puede que tengas segundos de perdidas de conexion.
tfwfactory
12/02/2014, 17:22
Precisamente es esta ip de OVH y otra más , se pasa todo el puñetero rato haciendo peticiones , la hemos bloqueado a ver que pasa pero para dos dominios nos los había medio jodido , que se hagan cargo de una santísima vez , es el únicoi "ataque" que tenemos y menos mal que tenemos el bind configurado y sin recursión
allow-query {any;};
recursion no;
additional-from-auth no;
additional-from-cache no;
Aun asi nos ha creado problemas y es coincidente con los problemas esos dias , cuando ha parado se recuperaron esos dominios , solemos tener peticiones pero poco más de 1 o dos por una ip y en general muy poco , nullrouteamos y bloqueamos en csf , a ver si está todo tranquilo ahora , saludos
Por si alguien la necesita : abuse@ovh.net , ese es el email , saludos
Si fuese un DDoS, saldria más IPs. Esto es únicamente un servidor que está intentando hacer una petición de una zona DNS que no tienes alojado en el servidor. Sobre si ese servidor está infectado, eso deberás reportarlo a
abuse@ovh.net aunque otra cosa es que te hagan caso.
De esos tengo latiras, de hecho no puedo borrar la zona hasta que el dominio deje de ser apuntado al servidor y/o caduque porque si no, me arma un cristo en el log.
tfwfactory
12/02/2014, 15:48
En esa web o subdominio de OVH no hay espacio para escribir a OVH solo son para suministrar información de SPAM o PHISING , pero esto es una ip entre varias mas TODAS DE OVH Atacando , entonces dame un email dondne escribir esa página no me sirve y está confirmado ahora por la mañana más de 300 entradas en lo logs de otra ip de OVH , todas DNS Attack , saludos
RubenColmenarejoOVH
12/02/2014, 13:37
Los reportes de ataques y abuses se han de reportar a través de
http://abuse.ovh.net/maxpaynecu
12/02/2014, 12:57
dudartia k funcionen :L con tanta limitacion aunque supuestamente te lo cobran
tfwfactory
12/02/2014, 03:10
Que opinaís de estos logs tan curiosos que se repiten constantemente , la mitigación de OVH no funciona en los KS ?
Feb 9 10:14:30 ks3270000 named[17273]: client 5.39.111.26#45883: query (cache) 'centro.miweb.com/MX/IN' denied
Feb 9 10:14:30 ks3270000 named[17273]: client 5.39.111.26#31161: query (cache) 'centro.miweb.com/MX/IN' denied
Feb 9 10:14:30 ks3270000 named[17273]: client 5.39.111.26#31131: query (cache) 'centro.miweb.com/MX/IN' denied
Feb 9 10:14:30 ks3270000 named[17273]: client 5.39.111.26#29633: query (cache) 'centro.miweb.com/MX/IN' denied
Feb 9 10:14:30 ks3270000 named[17273]: client 5.39.111.26#39277: query (cache) 'centro.miweb.com/MX/IN' denied
Feb 9 10:14:30 ks3270000 named[17273]: client 5.39.111.26#56662: query (cache) 'centro.miweb.com/MX/IN' denied
Feb 9 10:14:30 ks3270000 named[17273]: client 5.39.111.26#33209: query (cache) 'ns1.thefactorywebs.com/AAAA/IN' denied
Feb 9 10:14:30 ks3270000 named[17273]: client 5.39.111.26#13779: query (cache) 'ns2.thefactorywebs.com/AAAA/IN' denied
Feb 9 10:14:30 ks3270000 named[17273]: client 5.39.111.26#54202: query (cache) 'ns2.thefactorywebs.com/AAAA/IN' denied
Feb 9 10:14:30 ks3270000 named[17273]: client 5.39.111.26#28909: query (cache) 'ns1.thefactorywebs.com/AAAA/IN' denied
Feb 9 10:14:30 ks3270000 named[17273]: client 5.39.111.26#5311: query (cache) 'centro.miweb.com/MX/IN' denied
Feb 9 10:14:30 ks3270000 named[17273]: client 5.39.111.26#27504: query (cache) 'centro.miweb.com/MX/IN' denied
Feb 9 10:14:30 ks3270000 named[17273]: client 5.39.111.26#54280: query (cache) 'centro.miweb.com/MX/IN' denied
Feb 9 10:14:30 ks3270000 named[17273]: client 5.39.111.26#3833: query (cache) 'centro.miweb.com/MX/IN' denied
Feb 9 10:14:30 ks3270000 named[17273]: client 5.39.111.26#43570: query (cache) 'centro.miweb.com/MX/IN' denied
Feb 9 10:14:30 ks3270000 named[17273]: client 5.39.111.26#24604: query (cache) 'centro.miweb.com/MX/IN' denied
Feb 9 10:14:30 ks3270000 named[17273]: client 5.39.111.26#21067: query (cache) 'centro.miweb.com/MX/IN' denied
Feb 9 10:14:30 ks3270000 named[17273]: client 5.39.111.26#55926: query (cache) 'centro.miweb.com/MX/IN' denied
Feb 9 10:14:30 ks3270000 named[17273]: client 5.39.111.26#47672: query (cache) 'centro.miweb.com/MX/IN' denied
Feb 9 10:14:30 ks3270000 named[17273]: client 5.39.111.26#4558: query (cache) 'centro.miweb.com/MX/IN' denied
Feb 9 10:14:30 ks3270000 named[17273]: client 5.39.111.26#26083: query (cache) 'control.miweb.com/MX/IN' denied
Feb 9 10:14:30 ks3270000 named[17273]: client 5.39.111.26#4826: query (cache) 'centro.miweb.com/MX/IN' denied
Feb 9 10:14:30 ks3270000 named[17273]: client 5.39.111.26#35299: query (cache) 'centro.miweb.com/MX/IN' denied
Feb 9 10:14:30 ks3270000 named[17273]: client 5.39.111.26#12477: query (cache) 'centro.miweb.com/MX/IN' denied
Feb 9 10:14:30 ks3270000 named[17273]: client 5.39.111.26#36177: query (cache) 'centro.miweb.com/MX/IN' denied
Feb 9 10:14:30 ks3270000 named[17273]: client 5.39.111.26#61602: query (cache) 'centro.miweb.com/MX/IN' denied
Feb 9 10:14:30 ks3270000 named[17273]: client 5.39.111.26#5238: query (cache) 'centro.miweb.com/MX/IN' denied
Feb 9 10:14:30 ks3270000 named[17273]: client 5.39.111.26#61487: query (cache) 'centro.miweb.com/MX/IN' denied
Feb 9 10:14:30 ks3270000 named[17273]: client 5.39.111.26#10075: query (cache) 'centro.miweb.com/MX/IN' denied
Feb 9 10:14:30 ks3270000 named[17273]: client 5.39.111.26#40984: query (cache) 'centro.miweb.com/MX/IN' denied
Feb 9 10:14:30 ks3270000 named[17273]: client 5.39.111.26#12376: query (cache) 'centro.miweb.com/MX/IN' denied
Feb 9 10:14:30 ks3270000 named[17273]: client 5.39.111.26#3770: query (cache) 'centro.miweb.com/MX/IN' denied
Feb 9 10:14:30 ks3270000 named[17273]: client 5.39.111.26#19307: query (cache) 'centro.miweb.com/MX/IN' denied
Feb 9 10:14:30 ks3270000 named[17273]: client 5.39.111.26#41756: query (cache) 'centro.miweb.com/MX/IN' denied
Feb 9 10:14:30 ks3270000 named[17273]: client 5.39.111.26#39536: query (cache) 'centro.miweb.com/MX/IN' denied
Feb 9 10:14:30 ks3270000 named[17273]: client 5.39.111.26#55831: query (cache) 'centro.miweb.com/MX/IN' denied
