The Diary
Дневникът на Георги
<- Четвъртък, 22 Ноември 2007 | Начална страница | Събота, 24 Ноември 2007 ->
Петък, 23 Ноември 2007
От поне два месеца лог файловете на DNS сървърите ми се пълнят със записи подобни
на показания по-долу:
Nov 20 10:14:53 ns named[947]: client 83.30.139.179#3794: query (cache) 'mx010.email.bg/A/IN' denied
Дълго време не им обръщах внимание, но в един момент ми стана интересно защо пък се опитват да ползват моя сървър като рекурсивен, за да търсят mx010.email.bg, с който нямам нищо общо? Чесах се по главата, чудих се, обаче чак като побъбрих с Весо ми светна, че mx010.email.bg всъщност е указан като MX на домейна top.bg.
Всеки нормален DNS resolver би трябвало да пита сървъра за имена на email.bg, а не моят къде се намира mx010.email.bg. Да, нормален resolver би трябвало да го прави, но в случая явно си нямам работа с нормален resolver.
Фактът, че заявките идваха от много и различни IP адреси, това се случваше постоянно и се питаше за IP адрес на mail exchanger за домейна, беше лампичката която трябваше да ми светне, за да се сетя, че си имам вземане-даване с някой от много бройните зомбирани Windows машини, които се ползват за spam и други чудесни неща.
Анализирайки логовете се оказва, че за около два месеца повече от 300000 уникални IP адреса са пратили невалидни заявки към сървъра ми. Това са доста заразени машини. Нямам представа с какво са заразени, но е тъжно, че заради олигофрените - windows потребители страдат всички.
Ако някой се интересува от адресите на заразените машини, мога да му ги предоставя. Ако бота има отдалечено управление, да вземе да им пусне един format c:
За да не се пълнят логовете на DNS сървъра с подобни записи се наложи да изключа канала security. Това се прави по следния начин - в /etc/named.conf добавете logging { category "security" { null; }; }; и накарайте сървъра да си презареди конфигурацията (rndc reconfig).
[ Коментари: 10 ]Коментари
Ааа такива неща не правим :) Пък и ме е гнус да се занимавам с виндовсите.
"... ми се пълнят сЪС записи", нищо де аз цял живот немога да науча кога се пише И и кога Й:-P
thnx, оправих го.
А нямаше ли възможност за regex мачване в конфигурацията на логващите канали за bind. Не съм го пипал от както го настроих и съм позабравил.
Доколкото зная - не.
Мммм, само да отбележа следното (съжалявам, че ползвам отмиращият nslookup):
> set type=mx
> top.bg
Server: 83.148.104.97
Address: 83.148.104.97#53
Non-authoritative answer:
top.bg mail exchanger = 10 mx010.email.bg.
Authoritative answers can be found from:
top.bg nameserver = ns1.top.bg.
top.bg nameserver = ns2.top.bg.
> set type=ns
> email.bg
Server: localhost
Address: 127.0.0.1#53
Non-authoritative answer:
email.bg nameserver = ns1.globalenter.net.
email.bg nameserver = ns2.globalenter.net.
> set type=a
> ns1.globalcenter.net
Server: 83.148.104.97
Address: 83.148.104.97#53
** server can't find ns1.globalcenter.net: NXDOMAIN
> ns2.globalcenter.net
Server: 83.148.104.97
Address: 83.148.104.97#53
** server can't find ns2.globalcenter.net: NXDOMAIN
При тва положение, ако съм отчаян resolver вероятно ще запитам NS-a на top.bg дали не знае нещо все пак за A record на mx010.email.bg.
Така че не знам дали са зомби хостове или просто някой, който отчаяно иска да разбере адреса на вашия mail exchanger (по интересно стечение на обстоятелствата, листнат първи като MX record при вас).
Та тва де...не бързай да ги псуваш бозите :) Може би пък не всичките опити са такива :)
Поздрави :)
Ъ, да му се не види, грешка, globalenter било, не globalcenter. Грешката е моя, оттеглям възраженията :)
При мен виждам следното (от компютъра вкъщи) и всичко изглежда наред. Определено са бозите виновни.
host -tMX email.bg ns1.globalenter.net.
Using domain server:
Name: ns1.globalenter.net.
Address: 87.118.141.1#53
Aliases:
email.bg mail is handled by 10 mx010.email.bg.
email.bg mail is handled by 20 mx020.email.bg.
==
host -tMX email.bg ns2.globalenter.net.
Using domain server:
Name: ns2.globalenter.net.
Address: 212.116.131.29#53
Aliases:
email.bg mail is handled by 10 mx010.email.bg.
email.bg mail is handled by 20 mx020.email.bg.
==
host mx010.email.bg
mx010.email.bg has address 89.25.32.13
==
host mx010.email.bg ns1.globalenter.net.
Using domain server:
Name: ns1.globalenter.net.
Address: 87.118.141.1#53
Aliases:
mx010.email.bg has address 89.25.32.13
==
host mx010.email.bg ns2.globalenter.net.
Using domain server:
Name: ns2.globalenter.net.
Address: 212.116.131.29#53
Aliases:
mx010.email.bg has address 89.25.32.13
@gat3way: Разбираема грешка. Добре че правих copy+paste, че иначе и аз бих объркал, защото си мислех, че е globalCenter, а не globalEnter :)
Disclaimer: Except where otherwise noted all opinions expressed here are personal
opinions of the author and do not reflect official opinions of my employer or
any other person, company or organization associated with the author.
Copyright: Except where otherwise noted the content of this site is licensed under a
Creative Commons Attribution License. Текстът на договора за ползване на български
Copyright (cc) 2003-2011 Georgi Chorbadzhiyski. Some rights reserved.
Comments, texts and pictures not signed by me are property of their respective owners.
Страницата е генерирана от Glog v3.99-test
Е ти малък ли си да им пуснеш един format -- все пак за твоя сървър става дума :-))
cheers,
</wqw>
Написа wqw на 27-Nov-2007 13:55