Nameserver Frage

tab-kh
Posts: 450
Joined: Thu 22. Apr 2021, 23:06

Re: Nameserver Frage

Post by tab-kh »

Ich habe das jetzt seither einfach ignoriert, die erzeugte Last ist ja auch marginal. Vor einigen Tagen habe ich einen dritten Server aufgesetzt, der hatte die pizzaseo DNS Queries noch nicht im syslog. Jetzt habe ich heute doch einige solche pizzaseo Anfragen gefunden, zwei IPs mit jeweils unterschiedlichen Anfragen

Code: Select all

45.61.184.84#37202 (pizzaseo.com): query (cache) 'pizzaseo.com/ANY/IN' denied
und

Code: Select all

209.141.59.224#41300 (pizzaseo.com): query (cache) 'pizzaseo.com/RRSIG/IN' denied
Mit 3 bzw 2 Anfragen seit heute Morgen. Vielleicht wird da ja mal vorsichtig angetestet ob sich hier auf dem neuen Server mehr Anfragen lohnen, keine Ahnung. Mal sehen wie sich das auf dem neuen Server entwickelt/aufbaut in den nächsten Tagen. ;)
Jedenfalls möchte ich das jetzt doch abstellen im Lauf der nächsten Tage.

Die verlinkte URL https://www.teaparty.net/technotes/dns-fail2ban.html hatte ich auch schon gefunden. Wenn ich richtig verstanden habe was ihr hier macht, dann habt ihr den Schritt, in der named.conf das Logging in eine separate Logdatei zu aktivieren weggelassen und analysiert direkt die /var/log/syslog. Die Regex von ElonMusk käme dann in die /etc/fail2ban/filter.d/pizzaseo.conf und das Jail [named-pizzaseo] wird dann entsprechend abgeändert bzgl logpath, findtime, bantime und maxretry.

Also etwa so, wobei man maxretry, findtime und bantime passend feintunen und dann regelmäßig die syslog kontrollieren und die Werte nötigenfalls anpassen müsste:

Code: Select all

[named-pizzaseo]
enabled  = true
filter   = pizzaseo
action   = iptables[name=named, port=53, protocol=udp, blocktype=DROP]
logpath  = /var/log/syslog
maxretry = 5
findtime = 300
bantime  = 1800
ignoreip = 127.0.0.1/8 ::1
User avatar
Ralph
Posts: 786
Joined: Mon 30. Mar 2020, 16:14

Re: Nameserver Frage

Post by Ralph »

geht beides, ich hab halt die syslog verwendet, dem entsprechend muss aber die pizzaseo.conf angepasst werden

Code: Select all

# DNS servers
[named-pizzaseo]
enabled  = true
filter   = pizzaseo
action   = iptables[name=named, port=53, protocol=udp, blocktype=DROP]
logpath  = /var/log/syslog
maxretry = 2
findtime = 600
bantime  = 48h
ignoreip = 127.0.0.1/8 ::1

Code: Select all

[INCLUDES]
before = common.conf

[Definition]
failregex = client <HOST>#.*\(pizzaseo.com\): .* denied
            client @0x.* <HOST>#.*\(pizzaseo.com\): .* denied

ignoreregex =
User avatar
space2place
Posts: 486
Joined: Tue 24. Mar 2020, 11:02
Contact:

Re: Nameserver Frage

Post by space2place »

Die Einstellung von ElonMusk funktionieren einwandfrei. Ich habe die Bantime auf 10 Tage gesetzt. Hoffe das die dann die Ips der Server aus ihrem Pool nehmen
tab-kh
Posts: 450
Joined: Thu 22. Apr 2021, 23:06

Re: Nameserver Frage

Post by tab-kh »

Gut, ich muss also nur die beiden Dateien ändern und fail2ban neu starten. Das werde ich jetzt erst mal an einem der beiden "alten" Server ausprobieren, der neue bekommt noch nicht genug DNS-Anfragen dafür.

Edit: 9 IPs im Jail, momentan ist erst einmal Ruhe.
tab-kh
Posts: 450
Joined: Thu 22. Apr 2021, 23:06

Re: Nameserver Frage

Post by tab-kh »

Jetzt habe ich das auch auf dem zweiten Server konfiguriert. Momentan habe ich bei beiden Servern die Konsole offen und beobachte die /var/log/syslog und sehe, dass die DNS-Queries praktisch parallel von der selben IP auf beiden Servern ankommen. Damit marschieren die jetzt halt auch im Gleichschritt ins Jail :mrgreen:.
User avatar
space2place
Posts: 486
Joined: Tue 24. Mar 2020, 11:02
Contact:

Re: Nameserver Frage

Post by space2place »

Die Liste der gebannten IPs ist ganz schön lang geworden. Seit gestern Abend 20:20 Uhr wurde keine ANfrage mehr ins Log geschrieben.
Auch ein neuer QUery ist dazu gekommen:

Code: Select all

named[26380]: client @0x7efd0811dca0 146.88.240.4#56971 (05fce111.asert-dns-research.com): query (cache) '05fce111.asert-dns-research.com/A/IN' denied
Edit: Man sollte schon auf die SSH Session achten :lol: :lol: DIe war Disconnected.. Ich habe also immer noch Queries im Log
tab-kh
Posts: 450
Joined: Thu 22. Apr 2021, 23:06

Re: Nameserver Frage

Post by tab-kh »

Ich habe auch noch reichlich Anfragen, obwohl mittlerweile 238 IPs im Jail sind. Allerdings hat sich die Zahl der Anfragen verringert, zumindest gefühlt. Ich mache da heute Abend mal eine kleine Auswertung, wieviele pro Tag das im Moment sind. Das einige Tage lang, dann wird man schon sehen wohin die Reise geht und ob diese Methode auf Dauer sinnvoll ist. Es nutzt mir ja nichts, wenn nach einem Jahr dann alle verfügbaren IPs in meinem Jail sind. Das belastet den Server irgendwann mehr, als wenn ich die Anfragen einfach in Kauf nehme und ignoriere. Etwas mehr nehme ich gern in Kauf für weniger Müll im syslog, weniger Traffic und auch eine Entlastung der tatsächlich angegriffenen Systeme. Aber natürlich nicht beliebig viel. Dann ändere ich eher die Logdatei für named, damit ist dann die syslog auch entmüllt. Die erzeugte Last auf dem Server ohne Gegenmaßnahmen ist ja absolut vernachlässigbar, jedenfalls bei mir.
User avatar
Ralph
Posts: 786
Joined: Mon 30. Mar 2020, 16:14

Re: Nameserver Frage

Post by Ralph »

ja da kommt einiges zusammen ... eventl. die bantime runtersetzen wenns zu viel wird :mrgreen:
habe darunter auch private IPs von vodafone Kunden gefunden, aber ist schon suspekt ... vermutlich irgendwelche Malware auf den Kisten die zu einem Botnetz in Verbindung stehen was soll das sonst mit dieser pizzaseo Kennung und den vielen requests damit?
tab-kh
Posts: 450
Joined: Thu 22. Apr 2021, 23:06

Re: Nameserver Frage

Post by tab-kh »

Im Prinzip könnten das auch frei erfundene Fake-IPs sein, wäre ja kein Problem bei UDP. Bei der geringen Abfragerate könnte ich mit meinem Server bestimmt Hunderte anderer Server mit meinen Anfragen "bespassen" in dem lahmen Tempo, da braucht es nicht unbedingt ein Botnetz. Die sind zwar billig zu mieten, aber über eine solche Zeitspanne wie hier läppert es sich dann doch zusammen. Für ein Botnetz spricht m.E., dass jetzt nach 275 IPs im Jail nur noch wesentlich weniger Anfragen kommen. Etwa alle 10 Minuten eine neue IP. Insgesamt nur 636 Anfragen seit heute Morgen ca 6:20 Uhr. Das waren mal 20.000 pro Tag. Wären die IPs einfach frei erfunden/zufällig erzeugt, könnte man eine nicht mehr funktionierende IP ja einfach durch eine neue ersetzen. Obwohl, wenn das irgendwelche Skript-Kiddies sind, die sich den Code irgendwoher geladen haben, dann fehlt es vielleicht einfach an der Expertise :lol:. Außerdem ist eine IP aus meinem Jail wahrscheinlich bei vielen Servern nicht ausgesperrt, also nimmt man die paar in Kauf, die nicht mehr zum großen Ziel beitragen, wer oder was auch immer das Ziel im Detail sein mag.
User avatar
Ralph
Posts: 786
Joined: Mon 30. Mar 2020, 16:14

Re: Nameserver Frage

Post by Ralph »

wenn die alle auf einmal zuschlagen die hier noch antesten, dann wird es sich mit Sicherheit bermerkbar machen :mrgreen:
tab-kh
Posts: 450
Joined: Thu 22. Apr 2021, 23:06

Re: Nameserver Frage

Post by tab-kh »

Gibt jetzt bei mir auch noch andere Abfragen, die natürlich nicht erkannt werden.

Code: Select all

Aug  5 17:19:21 xxxxx named[671]: client @0x7f0450158020 162.142.125.31#15733 (ip.parrotdns.com): query (cache) 'ip.parrotdns.com/A/IN' denied

Code: Select all

Aug  5 17:28:28 xxxxx named[671]: client @0x7f0450174f40 109.152.211.252#80 (sl): query (cache) 'sl/ANY/IN' denied

Code: Select all

Aug  5 17:33:52 xxxxx named[671]: client @0x7f0450174f40 18.215.246.157#44549 (www.yahoo.com): query (cache) 'www.yahoo.com/A/IN' denied
Die vermehren sich jetzt so langsam, vermutlich weil pizzaseo.com nicht mehr so gut funktioniert :roll:
amazon.com hatte ich auch schon mal gesichtet :mrgreen:. Es geht also in die nächste Runde ;)
User avatar
Ralph
Posts: 786
Joined: Mon 30. Mar 2020, 16:14

Re: Nameserver Frage

Post by Ralph »

tab-kh wrote: Thu 5. Aug 2021, 17:36

Code: Select all

Aug  5 17:19:21 xxxxx named[671]: client @0x7f0450158020 162.142.125.31#15733 (ip.parrotdns.com): query (cache) 'ip.parrotdns.com/A/IN' denied
[
https://www.abuseipdb.com/check/162.142.125.31

tja, die rules könnte man da noch etwas erweitern ...
User avatar
latifolia
Posts: 42
Joined: Wed 18. Aug 2021, 09:08

Re: Nameserver Frage

Post by latifolia »

Sorry, I dont understand German, but by reading the similarity of the problem seems we have same common problem and I have alternative solution. Please take a look at my thread in English section : viewtopic.php?f=11&t=10786
Locked