Sonnenuntergang an der Elbe

isc.org ANY query – Attack

Schon seit Monaten nerven mich die immer wieder kehrenden Angriffe auf meinen bind9-Server. Dummerweise passiert es dabei auch schonmal, dass mein Server abstürzt und ich ihn dann von weitem neu-starten muss. Schon Anfang Mai habe ich deshalb meinen Firewall-Script erweitert und sperrte dann operativ alle die IP-Adressen, die mit ‚IN ANY +ED‚ – Einträgen im syslog auffielen. Scheinbar ist es dann aber manchmal schon zu spät und meine Server erholt sich danach nicht wieder.
Heute Abend habe ich nochmal meine bind-Konfiguration durchgesehen und festgestellt, dass ich nicht ganz unschuldig bin. (-O Ich hatte irgendwann den ‚recursion‚-Parameter auf yes gesetzt hatte. Damals ging es um Spielereien mit dyndns-Zonen. :oops: :evil: – Als erstes habe ich jetzt also diesen Konfiguration-Schalter ganz schnell wieder auf ’no‘ gestellt.
Außerdem habe ich auch etwas gegooglet und wurde diesmal bei How To Configure fündig. Dort habe ich eine zusätzliche Firewall-Rule gefunden, die ich nun sicherheitshalber auch noch aktiviert habe.
Übrigens hatte mein (bisheriger) Script im Laufe des heutigen Tages 82 IP-Adressen gesperrt. Ach ja, – und als das Problem vor ein paar Monaten bei mir das erstemal auftauchte, wurde noch nach der Domain ‚ripe.net‚ gefragt.

314
315
316
317
...
May  8 17:07:49 host named[3383]: client 91.205.41.175#53: query: ripe.net IN ANY +ED
May  8 17:07:50 host named[3383]: client 91.205.41.175#53: query: ripe.net IN ANY +ED
...

Nachtrag: Beim OpenNicProject fand ich auch noch einen anderen Script, aber erst mal warte ich ab, ob meine Änderungen reichen.

Tags :

About the Author

Uwe

Uwe beschäftigt sich seit vielen Jahren mit Linux und Webdesign, seit 2006 benutzt er WordPress zum schreiben eines 'Tagebuchs'. Tätig ist Uwe als Webmaster und Netzwerkadministrator, er arbeitet und lebt seit 2001 in Oberhausen. In seiner Freizeit ist er viel mit dem Mountainbike und dem Fotoapparat unterwegs.

2 thoughts on “isc.org ANY query – Attack

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.