Schon seit Monaten nerven mich die immer wieder kehrenden Angriffe auf meinen bind9-Server. Dummerweise passiert es dabei auch schonmal, dass mein Server abstürzt und ich ihn dann von weitem neu-starten muss. Schon Anfang Mai habe ich deshalb meinen Firewall-Script erweitert und sperrte dann operativ alle die IP-Adressen, die mit ‚IN ANY +ED‚ – Einträgen im syslog auffielen. Scheinbar ist es dann aber manchmal schon zu spät und meine Server erholt sich danach nicht wieder.
Heute Abend habe ich nochmal meine bind-Konfiguration durchgesehen und festgestellt, dass ich nicht ganz unschuldig bin. (-O Ich hatte irgendwann den ‚recursion‚-Parameter auf yes gesetzt hatte. Damals ging es um Spielereien mit dyndns-Zonen. :oops: :evil: – Als erstes habe ich jetzt also diesen Konfiguration-Schalter ganz schnell wieder auf ’no‘ gestellt.
Außerdem habe ich auch etwas gegooglet und wurde diesmal bei How To Configure fündig. Dort habe ich eine zusätzliche Firewall-Rule gefunden, die ich nun sicherheitshalber auch noch aktiviert habe.
Übrigens hatte mein (bisheriger) Script im Laufe des heutigen Tages 82 IP-Adressen gesperrt. Ach ja, – und als das Problem vor ein paar Monaten bei mir das erstemal auftauchte, wurde noch nach der Domain ‚ripe.net‚ gefragt.

314
315
316
317
...
May  8 17:07:49 host named[3383]: client 91.205.41.175#53: query: ripe.net IN ANY +ED
May  8 17:07:50 host named[3383]: client 91.205.41.175#53: query: ripe.net IN ANY +ED
...

Nachtrag: Beim OpenNicProject fand ich auch noch einen anderen Script, aber erst mal warte ich ab, ob meine Änderungen reichen.