DNS - denied AXFR
Okrina Miroslav
mokrina na envinet.cz
Pondělí Únor 5 10:41:25 CET 2001
Jan PAVLÍK wrote:
>
> named 8.2.3-REL.
a ten bind ? Named zde rozebiran nebyl ...pokud vim :)
Zkratka Bind (8.2.2x ma pry diru) ..doporucuji procist :
> Ahoj,
>
> dejte si vsichni pozor na masivni utok vedeny proti posledni dire v DNS
> serveru (bind-8.2.2-*). Z informaci, ktere mam, se jedna o napadeni pomoci
> pomoci skriptu, ktery systematicky projizdi IP adresy na celem svete a
> instaluje backdoory (byly videt pomoci nmapu).
>
> Napadeni se projevuje obvykle tim, ze prestane fungovat DNS server,
> pripadne prestane psat do syslogu (zaznamy se slovem named, obvykle ve
> /var/log/messages).
>
> V adresari /var/named jsem nasel nejaky rootkit, pruvodnim jevem bylo
> nefukcni DNS (rikali mi, ze az po restartu stroje, pry se snazili
> restartovat DNS demona i rucne, ale neslo to). V logu se nyni objevuji
> obcas zhusta AXFR a jine chybove hlaseni.
>
> Radeji peclive aktualizujte. Pokud mate RH, muzete pouzit nastroj up2date.
> Nejprve ho spustte s parametrem --register, ktery zaridi anonymni
> registraci (neni potreba vkladat zadne udaje). Pak to osobne delam tak, ze
> si vytvorim adresar, prepnu se do nej a necham si stahnout nove balicky
> pomoci:
>
> up2date -d -u --tmpdir=.
>
> Potrebne nastroje a balicek up2date najdete treba na adrese:
>
> ftp://ftp.linux.cz/pub/linux/redhat/updates/6.2/i386/
> ftp://ftp.linux.cz/pub/linux/redhat/updates/7.0/i386/
>
> Pokud chcete rozbehnout up2date na starim RH (6.x), budete potrebovat
> jeste balicky (taky z updatu):
>
> gnupg-*
> python-*
> openssl-0.*
> rpm-*
> up2date-*
> ../noarch/rhn_register-1.*
>
> Aktualizaci lze samozrejme udelt i rucne. pripominam, ze remote exploit
> byl nedavno i ve wu-ftpd.
>
>
> JP
>
--
Okrina Miroslav alias CRITTER
HW/SW support
ENVINET a.s. Brafova tr. 531/37 Trebic 67401 tel. 0607/190660
Nikdy nicemu never, nebot nic neni tak, jak se zda a mozne je naprosto
vsechno.
Další informace o konferenci Linux