Nameserver Frage

tab-kh
Posts: 450
Joined: Thu 22. Apr 2021, 23:06

Nameserver Frage

Post by tab-kh »

Ich habe momentan auf meinen beiden Servern (Debian 10, aktuelles Keyhelp) in /var/log/syslog jede Menge Einträge der Form

Code: Select all

Jul 15 21:33:02 meinserver named[630]: client @0x7fe724174f40 89.180.107.197#58382 (pizzaseo.com): query (cache) 'pizzaseo.com/RRSIG/IN' denied
Dabei variiert die IP des vermeintlichen Absenders der Abfrage, über den Tag kommt jede IP aber ca 200 Mal vor, insgesamt gibt es über 17000 solche Einträge mit unterschiedlichen IPs. Die Abfrage ist immer die selbe. Ich gehe davon aus, dass hier eine DNS Amplification Attack läuft und ich eingeladen bin mitzumachen.
Allerdings beruhigt mich jetzt doch das "denied" am Ende ein wenig. Soweit ich das verstehe, wird hier also keine Antwort an den armen Absender geschickt, der wohl eines der Opfer dieser Attacke ist. Liege ich damit richtig? Die Server belastet das auch nicht wirklich. Allerdings könnte ich auf die vollgemüllten Logdateien auch gern verzichten. Insofern, wie blocke ich das? Über die Firewall oder besser über fail2ban oder ist das nicht sinnvoll? Mit eigenen Nameservern hatte ich bisher nichts am Hut und benutze den Nameserver auch nicht für eigene oder Kundendomains. Macht es dann Sinn ihn komplett zu deaktivieren?
User avatar
OlliTheDarkness
Posts: 1854
Joined: Tue 14. Aug 2018, 16:41
Location: Essen (NRW)

Re: Nameserver Frage

Post by OlliTheDarkness »

tab-kh wrote: Fri 16. Jul 2021, 00:23 Ich habe momentan auf meinen beiden Servern (Debian 10, aktuelles Keyhelp) in /var/log/syslog jede Menge Einträge der Form

Code: Select all

Jul 15 21:33:02 meinserver named[630]: client @0x7fe724174f40 89.180.107.197#58382 (pizzaseo.com): query (cache) 'pizzaseo.com/RRSIG/IN' denied
Dabei variiert die IP des vermeintlichen Absenders der Abfrage, über den Tag kommt jede IP aber ca 200 Mal vor, insgesamt gibt es über 17000 solche Einträge mit unterschiedlichen IPs. Die Abfrage ist immer die selbe. Ich gehe davon aus, dass hier eine DNS Amplification Attack läuft und ich eingeladen bin mitzumachen.
Allerdings beruhigt mich jetzt doch das "denied" am Ende ein wenig. Soweit ich das verstehe, wird hier also keine Antwort an den armen Absender geschickt, der wohl eines der Opfer dieser Attacke ist. Liege ich damit richtig? Die Server belastet das auch nicht wirklich. Allerdings könnte ich auf die vollgemüllten Logdateien auch gern verzichten. Insofern, wie blocke ich das? Über die Firewall oder besser über fail2ban oder ist das nicht sinnvoll? Mit eigenen Nameservern hatte ich bisher nichts am Hut und benutze den Nameserver auch nicht für eigene oder Kundendomains. Macht es dann Sinn ihn komplett zu deaktivieren?
Erfahrungsgemäss wird die vom Antispam generiert. ( Das andere Anwendungen selbige generieren nicht ausgeschlossen (!) )
Auch sollte bei der gennanten Anzahl kein Grund zur Panik bestehen.

Allerdings denke ich wäre es nicht falsch wenn du im Fail2Ban die "named-refused" Regel aktivierst.
Das hält nicht nur deine Logdaten entspannter sondern sorgt meist nach kürzester Zeit für langfriste Ruhe.
Mit freundlichen Grüßen
OlliTheDarkness

**************************************************************
Helden leben lange, Legenden sterben nie

:!: World Hack Organization :!:
**************************************************************
tab-kh
Posts: 450
Joined: Thu 22. Apr 2021, 23:06

Re: Nameserver Frage

Post by tab-kh »

Hat aber den Nachteil, dass bei UDP eben das IP spoofing problemlos möglich ist. Somit könnte ein beliebiger Angreifer dann problemlos jede beliebige IP inklusive meiner eigenen in den Jail schicken. Ok, kann man mit weiteren Einstellungen verhindern für bestimmte IPs, aber ich habe zuhause leider keine feste IP. Falls also hier tatsächlich der Müll im syslog der einzige Schaden ist und solange das Filesystem nicht droht vollzulaufen, warte ich erst nochmal ein paar Tage ab.
dk-one
Posts: 1
Joined: Sun 25. Jul 2021, 13:21

Re: Nameserver Frage

Post by dk-one »

Sperre einfach die UDP-Anfragen an Bind mittels iptables. Im konkreten Falle von pizzaseo.com sieht das folgendermaßen aus:

Code: Select all

iptables -A INPUT -p udp -m udp --dport 53 -m string --hex-string "|0870697a7a6173656f03636f6d|" --algo kmp --to 65535 -m comment --comment "pizzaseo.com" -j DROP

Habe damit die Anfragen von ca. 15.000 / d auf 0 reduzieren können.
User avatar
Ralph
Posts: 786
Joined: Mon 30. Mar 2020, 16:14

Re: Nameserver Frage

Post by Ralph »

dk-one wrote: Sun 25. Jul 2021, 13:23 Sperre einfach die UDP-Anfragen an Bind mittels iptables. Im konkreten Falle von pizzaseo.com sieht das folgendermaßen aus:

Code: Select all

iptables -A INPUT -p udp -m udp --dport 53 -m string --hex-string "|0870697a7a6173656f03636f6d|" --algo kmp --to 65535 -m comment --comment "pizzaseo.com" -j DROP

Habe damit die Anfragen von ca. 15.000 / d auf 0 reduzieren können.
Bei mir geht das gearde auch los ... kann man das irgendwie direkt aus der syslog mit Fail2Ban blockieren?
Die iptables rule scheint nicht zu greifen ...

### edit ###
hab das hier gefunden, beim f2b regex check zeigts aber keine matches an:
https://www.teaparty.net/technotes/dns-fail2ban.html
User avatar
Ralph
Posts: 786
Joined: Mon 30. Mar 2020, 16:14

Re: Nameserver Frage

Post by Ralph »

der filter scheint zu greifen ... kann man das so machen?

Code: Select all

[INCLUDES]
before = common.conf

[Definition]
failregex = client <HOST>#.*\(pizzaseo.com\): .* denied

ignoreregex =

Code: Select all

fail2ban-regex /var/log/syslog /etc/fail2ban/filter.d/pizzaseo.conf

Lines: 68106 lines, 0 ignored, 5476 matched, 62630 missed
[processed in 3.19 sec]

User avatar
Ralph
Posts: 786
Joined: Mon 30. Mar 2020, 16:14

Re: Nameserver Frage

Post by Ralph »

es gibt mehrere varianten, habe die conf mal erweitert:

Code: Select all

nano /etc/fail2ban/filter.d/pizzaseo.conf

[INCLUDES]
before = common.conf

[Definition]
failregex = client <HOST>#.*\(pizzaseo.com\): .* denied
            client @0x.* <HOST>#.*\(pizzaseo.com\): .* denied

ignoreregex =
Lines: 33354 lines, 0 ignored, 13690 matched, 19664 missed
[processed in 1.20 sec]
User avatar
space2place
Posts: 486
Joined: Tue 24. Mar 2020, 11:02
Contact:

Re: Nameserver Frage

Post by space2place »

Wenn man sich an die Anleitung von https://www.teaparty.net/technotes/dns-fail2ban.html genau hält klappt es sofort.. :)

Edit.. Dein Pattern greift aber auch auf die Syslog.. Somit passt das.
User avatar
Ralph
Posts: 786
Joined: Mon 30. Mar 2020, 16:14

Re: Nameserver Frage

Post by Ralph »

space2place wrote: Wed 4. Aug 2021, 12:43 Wenn man sich an die Anleitung von https://www.teaparty.net/technotes/dns-fail2ban.html genau hält klappt es sofort.. :)

Edit.. Dein Pattern greift aber auch auf die Syslog.. Somit passt das.
maxretry = 100, finde ich zu hoch angesetzt bei 60 sec. habe das bei mir auf maxretry = 2 gesetzt :shock:

mir ist das heute morgen zufällig aufgefallen, hab dann auch jede Menge aktuelle Vorfälle auf Google gefunden ...
also eine erhöhte Load konnte ich bisher dadurch nicht feststellen, das syslog wird allerdings komplett vollgemüllt und die IPs die ich gefunden habe haben alle eine miese Reputation ... bin mir ziemlich sicher das es sich hierbei um Attacken handelt möglicherweise um die AntiSpam Checks / Lookups zu stören ...
User avatar
space2place
Posts: 486
Joined: Tue 24. Mar 2020, 11:02
Contact:

Re: Nameserver Frage

Post by space2place »

Ich habe das auch nur geprüft, weil ich es hier gelesen habe.
Aktuell kommt immer noch einer durch

Code: Select all

client @0x7efd08100d80 182.239.209.153#53 (pizzaseo.com): query (cache) 'pizzaseo.com/RRSIG/IN' denied
Der wird mit den Pattern noch nicht geblockt

Edit: Ich habe die "findtime" mal auf 10 Minuten gesetzt. Jetzt passt es.
User avatar
Ralph
Posts: 786
Joined: Mon 30. Mar 2020, 16:14

Re: Nameserver Frage

Post by Ralph »

space2place wrote: Wed 4. Aug 2021, 13:10 Ich habe das auch nur geprüft, weil ich es hier gelesen habe.
Aktuell kommt immer noch einer durch

Code: Select all

client @0x7efd08100d80 182.239.209.153#53 (pizzaseo.com): query (cache) 'pizzaseo.com/RRSIG/IN' denied
Der wird mit den Pattern noch nicht geblockt

Edit: Ich habe die "findtime" mal auf 10 Minuten gesetzt. Jetzt passt es.
werde das auch mal mit 10 min. testen ...

probier mal mit

Code: Select all

: .* denied
am Ende
also:

Code: Select all

failregex = client <HOST>#.*\(pizzaseo.com\): .* denied
            client @0x.* <HOST>#.*\(pizzaseo.com\): .* denied
User avatar
space2place
Posts: 486
Joined: Tue 24. Mar 2020, 11:02
Contact:

Re: Nameserver Frage

Post by space2place »

Das erhöhen der findtime war richtig.. Die Pattern passen. Danke
User avatar
Ralph
Posts: 786
Joined: Mon 30. Mar 2020, 16:14

Re: Nameserver Frage

Post by Ralph »

die Attacke scheint gezielt auf Bind ausgelegt zu sein, habe noch einen PDNS Server wo nichts von pizzaseo zu finden ist ...
viele US & AU IP Adressen, sieht nach einem Botnet aus
User avatar
space2place
Posts: 486
Joined: Tue 24. Mar 2020, 11:02
Contact:

Re: Nameserver Frage

Post by space2place »

Die haben jetz erst einmal 10 Tage Urlaub bei mir.. Die Liste der IPs wird immer länger. :D
User avatar
Ralph
Posts: 786
Joined: Mon 30. Mar 2020, 16:14

Re: Nameserver Frage

Post by Ralph »

jetzt kommen requests ohne Kennung aus den gleichen Netzen (ASN)

Code: Select all

client @0x7f43c80330d0 76.177.106.61#80 (sl): query (cache) 'sl/ANY/IN' denied
Locked