[ Classification Level: GENERAL BUSINESS ] Sorry to follow up on my own post, but I feel I should add a caveat about blocking IPs -- the resolution of ns2.honeypot.us could *change* over time, so an IP-based block might not be effective in the long term, and in fact might cause more harm than good.
If you truly want to block any communication with ns2.honeypot.us by *name*, permanently, you'd probably have to go to the extreme of creating a zone for just that particular name, resolve it to 0.0.0.0, something of that nature. In the larger picture, you might want to consider, instead, a dynamic, reputation-based RPZ feed. See https://dnsrpz.info/ for more. - Kevin On Tue, Oct 20, 2020 at 10:45 AM Kevin Darcy <kevin.da...@fcagroup.com> wrote: > [ Classification Level: GENERAL BUSINESS ] > > According to securitytrails.com (for instance), there are over 3,000 > domains hosted on ns2.honeybot.us (securitytrails only shows the first > few domains hosted -- to see more, one presumably needs a subscription to > their service). > > If one of your clients looked up a name in one of those 3,000+ domains, > your BIND instance will potentially reach out to that nameserver to resolve > the name. > > As far as BIND logging, I don't know the best way to track this, offhand, > short of cranking up debug to ridiculous levels, and wading through the > verbose output. This might take significant resources (storage, CPU, etc.) > > It might be easier to run a packet capture, looking for something sent to > the specific IP associated with ns2.honeybot.us. Or, if you have a robust > Intrusion Prevention/Detection System (IPS or IDS), maybe configure an > "alert" rule for that destination IP. For either option, it might also be > interesting to see the response from ns2.honeybot.us, to check for > shenanigans. > > If you just want to mitigate any danger, and are willing to deal with any > fallout, you could just block the IP, on your firewall or IPS or with > BIND's "blackhole" feature. > > - Kevin > > On Tue, Oct 20, 2020 at 10:17 AM <senthan.sivasunda...@szkb.ch> wrote: > >> Dear BIND-Users, >> >> We use in our environment a BIND Server. It works properly. >> One Day it came an alert from Cybereason (Antivirus-Software), that our >> Bind server tried to Connect to a suspicious domain "ns2.honeybot.us". >> But I couldn’t find the log, which domain the BIND server was searching >> for, so that the BIND server has to connect to "ns2.honeybot.us". I can >> see the Queries log, which domain the Clients were querying but I couldn’t >> find out why our Bind Server tried to connect the name server " >> ns2.honeybot.us". >> >> Does someone has an idea, which log I have to activate. >> >> Thank you for your help in advance. >> >> Best Regards >> Senthan >> >> -- >> >> Schwyzer Kantonalbank >> >> Senthan Sivasundaram >> >> IT Systems >> >> Postfach 263 >> >> 6431 Schwyz >> >> >> >> Tel. +41 (0)58 800 29 88 >> >> Fax +41 (0)58 800 20 21 >> >> senthan.sivasunda...@szkb.ch >> >> www.szkb.ch >> >> >> >> [image: http://www.szkb.ch/files/png1/facebook.png] >> <https://www.facebook.com/szkb.ch> [image: >> http://www.szkb.ch/files/png1/xing.png] >> <https://www.xing.com/companies/schwyzerkantonalbank> [image: >> http://www.szkb.ch/files/png1/youtube.png] >> <https://www.youtube.com/schwyzerkantonalbank> >> >> >> >> >> Gut beraten, Schwyzer Art. - SZKB-Newsletter abonnieren >> <https://www.szkb.ch/pub/ueber-die-szkb/servicezentrum/bestellen/newsletter-abonnieren> >> >> >> Aufgrund der bisherigen E-Mail-Korrespondenz bzw. getroffener Absprachen, >> erachtet sich die SZKB als berechtigt, mit Ihnen per E-Mail zu >> kommunizieren. Die SZKB geht davon aus, dass Sie die Risiken von E-Mails >> kennen und in Kauf nehmen. So sind namentlich gewöhnliche, >> unverschlüsselte, E-Mails, die über das Internet gesendet werden, weder >> vertraulich noch sicher. Es besteht die Gefahr von Manipulation oder >> Missbrauch durch Dritte, Fehlleitung, verzögerte Übermittlung oder >> Bearbeitung, Anhang von Viren, Malware usw. Die SZKB lehnt jede Haftung für >> Schäden im Zusammenhang mit der Verwendung von E-Mails ab, sofern sie die >> geschäftsübliche Sorgfalt nicht verletzt hat. >> >> E-Mails werden nur während den üblichen Geschäftszeiten der SZKB >> bearbeitet. Sie können nicht von der sofortigen Kenntnisnahme Ihrer E-Mail >> ausgehen. Die SZKB ist grundsätzlich nicht verpflichtet, Aufträge oder >> Anweisungen, die per E-Mail erteilt werden, auszuführen, ausser dies wurde >> ausdrücklich vereinbart. Falls Sie diese E-Mail irrtümlich erhalten haben, >> ersuchen wir Sie, die E-Mail an den Absender zurückzusenden und die >> Nachricht mit allen Anhängen von ihrem System zu löschen. >> >> >> Bitte denken Sie an die Umwelt - drucken Sie diese E-Mail nicht aus und >> sparen Sie pro Seite 100 ml Wasser, 7 g CO2 und 11 g Holz. >> >> Gut beraten, Schwyzer Art. - SZKB-Newsletter abonnieren >> <https://www.szkb.ch/pub/ueber-die-szkb/servicezentrum/bestellen/newsletter-abonnieren> >> >> >> Aufgrund der bisherigen E-Mail-Korrespondenz bzw. getroffener Absprachen, >> erachtet sich die SZKB als berechtigt, mit Ihnen per E-Mail zu >> kommunizieren. Die SZKB geht davon aus, dass Sie die Risiken von E-Mails >> kennen und in Kauf nehmen. So sind namentlich gewöhnliche, >> unverschlüsselte, E-Mails, die über das Internet gesendet werden, weder >> vertraulich noch sicher. Es besteht die Gefahr von Manipulation oder >> Missbrauch durch Dritte, Fehlleitung, verzögerte Übermittlung oder >> Bearbeitung, Anhang von Viren, Malware usw. Die SZKB lehnt jede Haftung für >> Schäden im Zusammenhang mit der Verwendung von E-Mails ab, sofern sie die >> geschäftsübliche Sorgfalt nicht verletzt hat. >> >> E-Mails werden nur während den üblichen Geschäftszeiten der SZKB >> bearbeitet. Sie können nicht von der sofortigen Kenntnisnahme Ihrer E-Mail >> ausgehen. Die SZKB ist grundsätzlich nicht verpflichtet, Aufträge oder >> Anweisungen, die per E-Mail erteilt werden, auszuführen, ausser dies wurde >> ausdrücklich vereinbart. Falls Sie diese E-Mail irrtümlich erhalten haben, >> ersuchen wir Sie, die E-Mail an den Absender zurückzusenden und die >> Nachricht mit allen Anhängen von ihrem System zu löschen. >> >> _______________________________________________ >> Please visit https://lists.isc.org/mailman/listinfo/bind-users to >> unsubscribe from this list >> >> ISC funds the development of this software with paid support >> subscriptions. Contact us at https://www.isc.org/contact/ for more >> information. >> >> >> bind-users mailing list >> bind-users@lists.isc.org >> https://lists.isc.org/mailman/listinfo/bind-users >> >
_______________________________________________ Please visit https://lists.isc.org/mailman/listinfo/bind-users to unsubscribe from this list ISC funds the development of this software with paid support subscriptions. Contact us at https://www.isc.org/contact/ for more information. bind-users mailing list bind-users@lists.isc.org https://lists.isc.org/mailman/listinfo/bind-users
