Aproveita a deixa, e implementa um DNSSEC Em 04/10/2012 09:06, "João Mancy" <joao...@gmail.com> escreveu:
> Bom dia, > > Cara tem vários, só ler o SA do FreeBSD > > http://www.freebsd.org/security/advisories.html > > 4) Install and run BIND from the Ports Collection after the correction > date. The following versions and newer versions of BIND installed from > the Ports Collection are not affected by this vulnerability: > > bind96-9.6.3.1.ESV.R7.2 > bind97-9.7.6.2 > bind98-9.8.3.2 > bind99-9.9.1.2 > > Acredito que a tua versão seja defasada :( > > > É chato, mas infelizmente com DNS não tem arrego. > > um abraço. > > Em 4 de outubro de 2012 08:36, Cleiton Alves <cleitondeb...@gmail.com > >escreveu: > > > , provavelment eh um bot > > Em 04/10/2012 08:25, "Ricardo" <ricardobvolp...@yahoo.com.br> escreveu: > > > > > Pessoal, boa tarde. > > > > > > Sofremos o que pareceu ser um ateque ontem pela manhã, o alvo foram > dois > > > servidores DNS dentro da nossa rede. > > > > > > Vejam uma parte do tcpdump: > > > > > > 11:39:19.240474 IP 189.89.102.100.54036 > xxx.xxx.xx.151.53: 58536+ > [1au] > > > ANY ANY? re. (31) > > > > > > 11:39:19.240483 IP 189.89.102.100.37878 > xxx.xxx.xx.150.53: 5989+ > [1au] > > > ANY > > > ANY? re. (31) > > > > > > 11:39:19.240489 IP 189.89.102.100.45591 > xxx.xxx.xx.193.53: 27930+ > [1au] > > > ANY ANY? re. (31) > > > > > > 11:39:19.246150 IP 189.89.102.100.43027 > xxx.xxx.xx.65.53: 40268+ > [1au] > > > ANY > > > ANY? re. (31) > > > > > > 11:39:19.246165 IP 189.89.102.100.50745 > xxx.xxx.xx.153.53: 629+ [1au] > > ANY > > > ANY? re. (31) > > > > > > 11:39:19.247924 IP 189.89.102.100.48725 > xxx.xxx.xx.150.53: 22654+ > [1au] > > > ANY ANY? re. (31) > > > > > > 11:39:19.248160 IP 189.89.102.100.54661 > xxx.xxx.xx.151.53: 58655+ > [1au] > > > ANY ANY? re. (31) > > > > > > 11:39:19.248347 IP 189.89.102.100.60093 > xxx.xxx.xx.193.53: 60843+ > [1au] > > > ANY ANY? re. (31) > > > > > > 11:39:19.253574 IP 189.89.102.100.44973 > yyy.yy.yyy.1.53: 54651+ [1au] > > ANY > > > ANY? re. (31) > > > > > > 11:39:19.254280 IP 189.89.102.100.26620 > xxx.xxx.xx.153.53: 55883+ > [1au] > > > ANY ANY? re. (31) > > > > > > 11:39:19.254516 IP 189.89.102.100.54776 > xxx.xxx.xx.65.53: 59779+ > [1au] > > > ANY > > > ANY? re. (31) > > > > > > 11:39:19.256631 IP 189.89.102.100.65162 > xxx.xxx.xx.150.53: 44624+ > [1au] > > > ANY ANY? re. (31) > > > > > > 11:39:19.256644 IP 189.89.102.100.22683 > xxx.xxx.xx.193.53: 25792+ > [1au] > > > ANY ANY? re. (31) > > > > > > 11:39:19.256987 IP 189.89.102.100.9300 > xxx.xxx.xx.151.53: 26582+ > [1au] > > > ANY > > > ANY? re. (31) > > > > > > 11:39:19.259458 IP 189.89.102.100.52905 > xxx.xxx.xx.153.53: 51522+ > [1au] > > > ANY ANY? re. (31) > > > > > > 11:39:19.259569 IP 189.89.102.100.37734 > xxx.xxx.xx.65.53: 40851+ > [1au] > > > ANY > > > ANY? re. (31) > > > > > > 11:39:19.261337 IP 189.89.102.100.62052 > xxx.xxx.xx.150.53: 17283+ > [1au] > > > ANY ANY? re. (31) > > > > > > > > > > > > #named –v > > > > > > BIND 9.4.-ESV-R5-P1 > > > > > > > > > > > > Alguém tem conhecimento de alguma falha de segurança na versão 9.4 do > > > named, > > > será que realmente pode ser uma falha? > > > > > > O pior é que esse ataque não foi a primeira vez que ocorreu, das outras > > > vezes o IP de origem era diferente. > > > > > > > > > > > > Obs.: os IPs xxx.xxx.xx.65, xxx.xxx.xx.151, xxx.xxx.xx.153, > > xxx.xxx.xx.193, > > > yyy.yy.yyy.1 estão no mesmo servidor. Já o xxx.xxx.xx.150 está em um > > outro. > > > > > > Fiz um deny no nosso roteador de borda para o tráfego vindo e indo para > > > esse > > > IP 189.89.102.100 e tudo voltou ao normal. > > > > > > > > > > > > > > > > > > ------------------------- > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > ------------------------- > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > -- > João Luis Mancy dos Santos > joaocep at gmail.com (msn too) > http://joaocep.blogspot.com > http://www.istf.com.br/perguntas/ > http://www.fug.com.br/content/view/20/69/ > uin 82889044 > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
