KeyHelp Community

Ich habe momentan auf meinen beiden Servern (Debian 10, aktuelles Keyhelp) in /var/log/syslog jede Menge Einträge der Form

Code: Select all

Jul 15 21:33:02 meinserver named[630]: client @0x7fe724174f40 89.180.107.197#58382 (pizzaseo.com): query (cache) 'pizzaseo.com/RRSIG/IN' denied

Dabei variiert die IP des vermeintlichen Absenders der Abfrage, über den Tag kommt jede IP aber ca 200 Mal vor, insgesamt gibt es über 17000 solche Einträge mit unterschiedlichen IPs. Die Abfrage ist immer die selbe. Ich gehe davon aus, dass hier eine DNS Amplification Attack läuft und ich eingeladen bin mitzumachen.
Allerdings beruhigt mich jetzt doch das "denied" am Ende ein wenig. Soweit ich das verstehe, wird hier also keine Antwort an den armen Absender geschickt, der wohl eines der Opfer dieser Attacke ist. Liege ich damit richtig? Die Server belastet das auch nicht wirklich. Allerdings könnte ich auf die vollgemüllten Logdateien auch gern verzichten. Insofern, wie blocke ich das? Über die Firewall oder besser über fail2ban oder ist das nicht sinnvoll? Mit eigenen Nameservern hatte ich bisher nichts am Hut und benutze den Nameserver auch nicht für eigene oder Kundendomains. Macht es dann Sinn ihn komplett zu deaktivieren?

tab-kh wrote: ↑Fri 16. Jul 2021, 00:23 Ich habe momentan auf meinen beiden Servern (Debian 10, aktuelles Keyhelp) in /var/log/syslog jede Menge Einträge der Form
Code: Select all
Jul 15 21:33:02 meinserver named[630]: client @0x7fe724174f40 89.180.107.197#58382 (pizzaseo.com): query (cache) 'pizzaseo.com/RRSIG/IN' denied
Dabei variiert die IP des vermeintlichen Absenders der Abfrage, über den Tag kommt jede IP aber ca 200 Mal vor, insgesamt gibt es über 17000 solche Einträge mit unterschiedlichen IPs. Die Abfrage ist immer die selbe. Ich gehe davon aus, dass hier eine DNS Amplification Attack läuft und ich eingeladen bin mitzumachen.
Allerdings beruhigt mich jetzt doch das "denied" am Ende ein wenig. Soweit ich das verstehe, wird hier also keine Antwort an den armen Absender geschickt, der wohl eines der Opfer dieser Attacke ist. Liege ich damit richtig? Die Server belastet das auch nicht wirklich. Allerdings könnte ich auf die vollgemüllten Logdateien auch gern verzichten. Insofern, wie blocke ich das? Über die Firewall oder besser über fail2ban oder ist das nicht sinnvoll? Mit eigenen Nameservern hatte ich bisher nichts am Hut und benutze den Nameserver auch nicht für eigene oder Kundendomains. Macht es dann Sinn ihn komplett zu deaktivieren?

Erfahrungsgemäss wird die vom Antispam generiert. ( Das andere Anwendungen selbige generieren nicht ausgeschlossen (!) )
Auch sollte bei der gennanten Anzahl kein Grund zur Panik bestehen.

Allerdings denke ich wäre es nicht falsch wenn du im Fail2Ban die "named-refused" Regel aktivierst.
Das hält nicht nur deine Logdaten entspannter sondern sorgt meist nach kürzester Zeit für langfriste Ruhe.

Hat aber den Nachteil, dass bei UDP eben das IP spoofing problemlos möglich ist. Somit könnte ein beliebiger Angreifer dann problemlos jede beliebige IP inklusive meiner eigenen in den Jail schicken. Ok, kann man mit weiteren Einstellungen verhindern für bestimmte IPs, aber ich habe zuhause leider keine feste IP. Falls also hier tatsächlich der Müll im syslog der einzige Schaden ist und solange das Filesystem nicht droht vollzulaufen, warte ich erst nochmal ein paar Tage ab.

Sperre einfach die UDP-Anfragen an Bind mittels iptables. Im konkreten Falle von pizzaseo.com sieht das folgendermaßen aus:

Code: Select all

iptables -A INPUT -p udp -m udp --dport 53 -m string --hex-string "|0870697a7a6173656f03636f6d|" --algo kmp --to 65535 -m comment --comment "pizzaseo.com" -j DROP

Habe damit die Anfragen von ca. 15.000 / d auf 0 reduzieren können.

dk-one wrote: ↑Sun 25. Jul 2021, 13:23 Sperre einfach die UDP-Anfragen an Bind mittels iptables. Im konkreten Falle von pizzaseo.com sieht das folgendermaßen aus:
Code: Select all
iptables -A INPUT -p udp -m udp --dport 53 -m string --hex-string "|0870697a7a6173656f03636f6d|" --algo kmp --to 65535 -m comment --comment "pizzaseo.com" -j DROP
Habe damit die Anfragen von ca. 15.000 / d auf 0 reduzieren können.

Bei mir geht das gearde auch los ... kann man das irgendwie direkt aus der syslog mit Fail2Ban blockieren?
Die iptables rule scheint nicht zu greifen ...

### edit ###
hab das hier gefunden, beim f2b regex check zeigts aber keine matches an:
https://www.teaparty.net/technotes/dns-fail2ban.html

der filter scheint zu greifen ... kann man das so machen?

Code: Select all

[INCLUDES]
before = common.conf

[Definition]
failregex = client <HOST>#.*\(pizzaseo.com\): .* denied

ignoreregex =

Code: Select all

fail2ban-regex /var/log/syslog /etc/fail2ban/filter.d/pizzaseo.conf

Lines: 68106 lines, 0 ignored, 5476 matched, 62630 missed
[processed in 3.19 sec]

es gibt mehrere varianten, habe die conf mal erweitert:

Code: Select all

nano /etc/fail2ban/filter.d/pizzaseo.conf

[INCLUDES]
before = common.conf

[Definition]
failregex = client <HOST>#.*\(pizzaseo.com\): .* denied
            client @0x.* <HOST>#.*\(pizzaseo.com\): .* denied

ignoreregex =

Lines: 33354 lines, 0 ignored, 13690 matched, 19664 missed
[processed in 1.20 sec]

Wenn man sich an die Anleitung von https://www.teaparty.net/technotes/dns-fail2ban.html genau hält klappt es sofort..

Edit.. Dein Pattern greift aber auch auf die Syslog.. Somit passt das.

space2place wrote: ↑Wed 4. Aug 2021, 12:43 Wenn man sich an die Anleitung von https://www.teaparty.net/technotes/dns-fail2ban.html genau hält klappt es sofort..

Edit.. Dein Pattern greift aber auch auf die Syslog.. Somit passt das.

maxretry = 100, finde ich zu hoch angesetzt bei 60 sec. habe das bei mir auf maxretry = 2 gesetzt

mir ist das heute morgen zufällig aufgefallen, hab dann auch jede Menge aktuelle Vorfälle auf Google gefunden ...
also eine erhöhte Load konnte ich bisher dadurch nicht feststellen, das syslog wird allerdings komplett vollgemüllt und die IPs die ich gefunden habe haben alle eine miese Reputation ... bin mir ziemlich sicher das es sich hierbei um Attacken handelt möglicherweise um die AntiSpam Checks / Lookups zu stören ...

Ich habe das auch nur geprüft, weil ich es hier gelesen habe.
Aktuell kommt immer noch einer durch

Code: Select all

client @0x7efd08100d80 182.239.209.153#53 (pizzaseo.com): query (cache) 'pizzaseo.com/RRSIG/IN' denied

Der wird mit den Pattern noch nicht geblockt

Edit: Ich habe die "findtime" mal auf 10 Minuten gesetzt. Jetzt passt es.

space2place wrote: ↑Wed 4. Aug 2021, 13:10 Ich habe das auch nur geprüft, weil ich es hier gelesen habe.
Aktuell kommt immer noch einer durch
Code: Select all
client @0x7efd08100d80 182.239.209.153#53 (pizzaseo.com): query (cache) 'pizzaseo.com/RRSIG/IN' denied
Der wird mit den Pattern noch nicht geblockt

Edit: Ich habe die "findtime" mal auf 10 Minuten gesetzt. Jetzt passt es.

werde das auch mal mit 10 min. testen ...

probier mal mit

Code: Select all

: .* denied

am Ende
also:

Code: Select all

failregex = client <HOST>#.*\(pizzaseo.com\): .* denied
            client @0x.* <HOST>#.*\(pizzaseo.com\): .* denied

Das erhöhen der findtime war richtig.. Die Pattern passen. Danke

die Attacke scheint gezielt auf Bind ausgelegt zu sein, habe noch einen PDNS Server wo nichts von pizzaseo zu finden ist ...
viele US & AU IP Adressen, sieht nach einem Botnet aus

Die haben jetz erst einmal 10 Tage Urlaub bei mir.. Die Liste der IPs wird immer länger.

jetzt kommen requests ohne Kennung aus den gleichen Netzen (ASN)

Code: Select all

client @0x7f43c80330d0 76.177.106.61#80 (sl): query (cache) 'sl/ANY/IN' denied

KeyHelp Community

Nameserver Frage

Nameserver Frage

Re: Nameserver Frage

Re: Nameserver Frage

Re: Nameserver Frage

Re: Nameserver Frage

Re: Nameserver Frage

Re: Nameserver Frage

Re: Nameserver Frage

Re: Nameserver Frage

Re: Nameserver Frage

Re: Nameserver Frage

Re: Nameserver Frage

Re: Nameserver Frage

Re: Nameserver Frage

Re: Nameserver Frage