Digitalocean Hk.
-
merhaba arkadaşlar,
Bana böyle bir ticket gelmiş, cevirdim okudum ama birşey anlamadım.Aşağıdaki metinde tam olarak neyi ifade ediyor, bu konuda yardımcı olurmusunuz.
Almam gereken önlemler nedir.
Please review the following abuse complaint and provide us with a resolution:
******************************
You appear to be running an open recursive resolver at IP address 188.226.184.22 that participated in an attack against a customer of ours today, generating large UDP responses to spoofed queries, with those responses becoming fragmented because of their size.Please consider reconfiguring your resolver in one or more of these ways:
- To only serve your customers and not respond to outside IP addresses (in BIND, this is done by defining a limited set of hosts in "allow-query"; with a Windows DNS server, you would need to use firewall rules to block external access to UDP port 53)
- To only serve domains that it is authoritative for (in BIND, this is done by defining a limited set of hosts in "allow-query" for the server overall but setting "allow-query" to "any" for each zone)
- To rate-limit responses to individual source IP addresses (DNS Response Rate Limiting, or DNS RRL)More information on this type of attack and what each party can do to mitigate it can be found here: http://www.us-cert.gov/ncas/alerts/TA13-088A
If you are an ISP, please also look at your network configuration and make sure that you do not allow spoofed traffic (that pretends to be from external IP addresses) to leave the network. Hosts that allow spoofed traffic make possible this type of attack.
If you already have your resolver configured to rate-limit, please accept our apologies for bothering you. These attackers use any server that will respond, and they (and we) can't easily tell that the traffic is being rate-limited. If you rate limit and contact us at noc@nfoe.net, we can whitelist your IP address in our database so that you don't receive more of these notifications for it.
Example DNS responses from your resolver during this attack are given below.
Timestamps (far left) are PDT (UTC-7), and the date is 2014-06-18.13:13:14.348119 IP (tos 0x0, ttl 52, id 64709, offset 0, flags [+], proto UDP (17), length 1500) 188.226.***.22.53 > 74.91.115.x.32195: 44875 10/2/3 wradish.com. TXT[|domain]
0x0000: 4500 05dc fcc5 2000 3411 31e4 bce2 b816 E.......4.1.....
0x0010: 4a5b 7313 0035 7dc3 0f15 98c8 af4b 8180 J[s..5}......K..
0x0020: 0001 000a 0002 0003 0777 7261 6469 7368 .........wradish
0x0030: 0363 6f6d 0000 ff00 01c0 0c00 1000 0100 .com............
0x0040: 0001 6501 aaff 6173 6466 6173 6466 6173 ..e...asdfasdfas
0x0050: 6466 df
13:13:14.382736 IP (tos 0x0, ttl 52, id 64710, offset 0, flags [+], proto UDP (17), length 1500) 188.226.***.22.53 > 74.91.115.x.33426: 17049 10/2/3 wradish.com. TXT[|domain]
0x0000: 4500 05dc fcc6 2000 3411 31e3 bce2 b816 E.......4.1.....
0x0010: 4a5b 7313 0035 8292 0f15 8137 4299 8180 J[s..5.....7B...
0x0020: 0001 000a 0002 0003 0777 7261 6469 7368 .........wradish
0x0030: 0363 6f6d 0000 ff00 01c0 0c00 1000 0100 .com............
0x0040: 0001 6502 3eff 7474 7474 7474 7474 7474 ..e.>.tttttttttt
0x0050: 7474 tt
13:13:14.386135 IP (tos 0x0, ttl 52, id 64711, offset 0, flags [+], proto UDP (17), length 1500) 188.226.184.22.53 > 74.91.115.x.21908: 43520 10/2/3 wradish.com. TXT[|domain]
0x0000: 4500 05dc fcc7 2000 3411 31e2 bce2 b816 E.......4.1.....
0x0010: 4a5b 7313 0035 5594 0f15 9458 aa00 8180 J[s..5U....X....
0x0020: 0001 000a 0002 0003 0777 7261 6469 7368 .........wradish
0x0030: 0363 6f6d 0000 ff00 01c0 0c00 1000 0100 .com............
0x0040: 0001 6503 faff 686b 686b 6861 6b73 6466 ..e...hkhkhaksdf
0x0050: 6861 ha(The final octet of our customer's IP address is masked in the above output because some automatic parsers become confused when multiple IP addresses are included. The value of that octet is "19".)
-John
President
Nuclearfallout, Enterprises, Inc. (NFOservers.com)(We're sending out so many of these notices, and seeing so many auto-responses, that we can't go through this email inbox effectively. If you have follow-up questions, please contact us at noc@nfoe.net.)
******************************Please note that generating multiple abuse complaints in a short period of time may lead to your account being suspended.
-
sana türkiye dışından saldırmışlar gibi , çinliler olabilir..;
trafiği zorlamış tabi uyarı mesajı atmışlar.
anladığım bu. -
MustyKTE bunu yazdı
sana türkiye dışından saldırmışlar gibi , çinliler olabilir..;
trafiği zorlamış tabi uyarı mesajı atmışlar.
anladığım bu.Adamların domaini düşmüştü, bende geri aldım.
Acaba ondanmı saldırıyor çin kuruları.
-
HoLyCat bunu yazdıMustyKTE bunu yazdı
sana türkiye dışından saldırmışlar gibi , çinliler olabilir..;
trafiği zorlamış tabi uyarı mesajı atmışlar.
anladığım bu.Adamların domaini düşmüştü, bende geri aldım.
Acaba ondanmı saldırıyor çin kuruları.
domain mey hocam merak ettim birde senden önce hangi amaçla kullanılıyordu
-
1- bu nedir diye sorsan da "bizim bilgimiz yok, lütfen abuse'yi düzeltin" diyecekler
2- senin ip'n kullanılarak başka bir DO müşterisine saldırıda bulunulmuş
servis ayarlarını iyi kurcala, herhangi bir açık bırakmadığına emin ol
mesela ben farkında olmadan mail server kurmuşum zamanında (cs go server kurarken tutorial'da mailutils kurduruyormuş)
ben de email abuse aldım
benim üzerimden toplu mail atılmış nasıl yapıldıysa
hiç uğraşma, yeni makina, yeni ip aç ordan devam et
makinayı sildim de, ticket'ı kapattır
kurduğun servislere de ekstra özen göster
-
Daft bunu yazdı
1- bu nedir diye sorsan da "bizim bilgimiz yok, lütfen abuse'yi düzeltin" diyecekler
2- senin ip'n kullanılarak başka bir DO müşterisine saldırıda bulunulmuş
servis ayarlarını iyi kurcala, herhangi bir açık bırakmadığına emin ol
mesela ben farkında olmadan mail server kurmuşum zamanında (cs go server kurarken tutorial'da mailutils kurduruyormuş)
ben de email abuse aldım
benim üzerimden toplu mail atılmış nasıl yapıldıysa
hiç uğraşma, yeni makina, yeni ip aç ordan devam et
makinayı sildim de, ticket'ı kapattır
kurduğun servislere de ekstra özen göster
Hocam,
Öncelikle bilgilendirmen için sağol.
512MB ramli makinaya zpanel ve wordpress kurmuştum, mail hizmetinide yandex kurumsaldan alıyorum. ( MX ayarları değiştirdim )
Kullandığım tema Warez olduğu için büyük ihtimal hack tool vardır.
son 1 ayda 8 defa makinayı resetledim. ( aşırı BW kullanımdan dolayı)
Şimdi dediğin gibi yapıp yeni bir makina açsam, panel olarak ne kullansam iyidir.
Zpenel ram düşmanı ama kullanımı çok güzel.
Yaw kısaca wordpres + mail hizmetini kullanıcam, başka birşey kullanmıcam.
-
yalnizturk bunu yazdıHoLyCat bunu yazdıMustyKTE bunu yazdı
sana türkiye dışından saldırmışlar gibi , çinliler olabilir..;
trafiği zorlamış tabi uyarı mesajı atmışlar.
anladığım bu.Adamların domaini düşmüştü, bende geri aldım.
Acaba ondanmı saldırıyor çin kuruları.
domain mey hocam merak ettim birde senden önce hangi amaçla kullanılıyordu
http://web.archive.org/web/20130601161306/http://dondar.net/
Sabah isimtescil e yönlendirdim.
Shengli Oilfield Dondar Science & Trade Co.,Ltd
falan :)
-
hiçbir fikrim yok, çünkü o taraklarda hiç bezim olmadı
ben daha çok upload + hobi amaçlı takılıyorum, boş zamanlarımda bu sunucu olaylarına bakıyorum
bu tarz konuları ZINDIK nickli (eski outmost) müridin rahatlıkla cevaplayabileceğini düşünüyorum
(hedef gösterdiğim için umarım sövmez :D)
-
Adamın dibi @Daft yazmış cevaplamamak olur mu hiç.
Eleman aslında ayrıntılı olarak herşeyi yazmış hatta olaydan çakmayan biri "götveren neden bizim sunuculara saldırıyorsunda diyebilirmiş" ama helal olsun adama durumu açıklayıp, yardımcı olmaya çalışmış.
Neyse olay; konfigüre edilmemiş "open recursive resolver" çalıştırıyormuşsun. (DNS Sunucusu)
Muhtemelen DNS sunucusu kurup konfigüre etmedin ve DNS sunucusu ddoscu ibneler tarafından saldırı amaçlı kullanabilir bir hale geldi.
Beni nasıl bulmuşlar amk?
DNS Amplifikasyon saldırıları yapacak bir eleman kapsamlı bir ip taraması yaptı, baktı yanlış konfigüre edilmiş bir DNS servisi sepete attı ve saldırısının parçası oldun. Tabi tek senin üzerinden değil, oluşturduğu listeler (senin gibi avellerin =D) yardımı ile ile devasa Gbps+ trafik oluşturan DNS Amplifikasyon saldırıları gerçekleştirebiliyorlar.
Açık bir DNS sunucusu kurup kullanılmasını istiyorsan, DNS sunucusunun kötüye kullanılmaması için sisteme basit "rate limit" uygulaması entegre edebilirsin. OpenDNS, GoogleDNS'in yaptığı gibi gelişmiş önlemler almak istersen; https://developers.google.com/speed/public-dns/docs/security
Sadece sunucum tarafından veya belirlediğim kişiler tarafından kullanılabilsin diyorsan, kullandığın dns sunucu yazılımına göre whitelist uyarlaması yapabilirsin.
Türkçe kaynaklar,
www.bga.com.tr/calismalar/ddos_ataklar_ve_korunma.pdf
www.bga.com.tr/calismalar/dns_ddos.pdf
...
---------------------------------------------------------------------------------Video anlatım:
http://www.youtube.com/watch?v=xTKjHWkDwP0
Gavurca kaynaklar,
http://openresolverproject.org/
http://www.team-cymru.org/Services/Resolvers/
...
---------------------------------------------------------------------------------http://en.wikipedia.org/wiki/Ingress_filtering
http://tools.ietf.org/html/bcp38
http://www.bcp38.info/index.php/Main_Page
http://en.wikipedia.org/wiki/Reflection_attack
http://en.wikipedia.org/wiki/Denial-of-service_attack#Reflected_.2F_Spoofed_attack...
-
ZINDIK bunu yazdı
Adamın dibi @Daft yazmış cevaplamamak olur mu hiç.
Eleman aslında ayrıntılı olarak herşeyi yazmış hatta olaydan çakmayan biri "götveren neden bizim sunuculara saldırıyorsunda diyebilirmiş" ama helal olsun adama durumu açıklayıp, yardımcı olmaya çalışmış.
Neyse olay; konfigüre edilmemiş "open recursive resolver" çalıştırıyormuşsun. (DNS Sunucusu)
Muhtemelen DNS sunucusu kurup konfigüre etmedin ve DNS sunucusu ddoscu ibneler tarafından saldırı amaçlı kullanabilir bir hale geldi.
Beni nasıl bulmuşlar amk?
DNS Amplifikasyon saldırıları yapacak bir eleman kapsamlı bir ip taraması yaptı, baktı yanlış konfigüre edilmiş bir DNS servisi sepete attı ve saldırısının parçası oldun. Tabi tek senin üzerinden değil, oluşturduğu listeler (senin gibi avellerin =D) yardımı ile ile devasa Gbps+ trafik oluşturan DNS Amplifikasyon saldırıları gerçekleştirebiliyorlar.
Açık bir DNS sunucusu kurup kullanılmasını istiyorsan, DNS sunucusunun kötüye kullanılmaması için sisteme basit "rate limit" uygulaması entegre edebilirsin. OpenDNS, GoogleDNS'in yaptığı gibi gelişmiş önlemler almak istersen; https://developers.google.com/speed/public-dns/docs/security
Sadece sunucum tarafından veya belirlediğim kişiler tarafından kullanılabilsin diyorsan, kullandığın dns sunucu yazılımına göre whitelist uyarlaması yapabilirsin.
Türkçe kaynaklar,
www.bga.com.tr/calismalar/ddos_ataklar_ve_korunma.pdf
www.bga.com.tr/calismalar/dns_ddos.pdf
...
---------------------------------------------------------------------------------Video anlatım:
http://www.youtube.com/watch?v=xTKjHWkDwP0
Gavurca kaynaklar,
http://openresolverproject.org/
http://www.team-cymru.org/Services/Resolvers/
...
---------------------------------------------------------------------------------http://en.wikipedia.org/wiki/Ingress_filtering
http://tools.ietf.org/html/bcp38
http://www.bcp38.info/index.php/Main_Page
http://en.wikipedia.org/wiki/Reflection_attack
http://en.wikipedia.org/wiki/Denial-of-service_attack#Reflected_.2F_Spoofed_attack...
Hocam cevapların için teşekkürler.
Altı üstü 1 tane sitemi host edip kullanıcam. Kısa ve öz bunun için ne yapmam gerekiyor.
DNS sunucusu kurup konfigüre etmedin ; Bunun için ne yapmam gerekiyor.
-
Konfigürasyon falan seni uğraştıracağa benziyor. Cloudflare kullan en iyisi.
+Dökümanlara göz atmayı unutma,
Dökümandan;
DNS sunucu olarak ISC BIND kullanılıyorsa aşağıdaki tanımla recursive dns sorgularına –kendisi hariç- yanıt vermesi engellenebilir.
ZINDIK tarafından 19/Haz/14 15:37 tarihinde düzenlenmiştir
options { allow-recursion { 127.0.0.1; };
