kostenloser Webspace werbefrei: lima-city


Linux suspekter Eintrag im Syslog

lima-cityForumHeim-PCBetriebssysteme

  1. Autor dieses Themas

    voloya

    voloya hat kostenlosen Webspace.

    Hallo :wave:

    Habe auf meinem vServer im Syslog folgende Zeilen entdeckt:

    Oct  1 11:22:35 nl named[7429]: client 188.165.73.249#43545: query (cache) 'doc.gov/ANY/IN' denied
    Oct  1 11:22:36 nl last message repeated 6 times
    
    Oct  2 12:20:11 nl named[7429]: client 188.165.73.249#43545: query (cache) './ANY/IN' denied


    Ich fand heraus, dass die IP Adresse zu einem vServer-Anbieter gehört, bei dem man mit Bitcoins bezahlen kann. Außerdem scheint es sich bei diesem Ereignis um einen Versuch eines Nameserver-DDoS zu handeln.
    (korrigiert mich wenn ich falsch liege, alles nur durch Google gefunden)

    Da der Anbieter kein Debian 6 minimal anbietet musste ich eben regular nehmen, da scheinen aber einige Services drauf installiert zu sein, die ich weder will noch brauche. Mir ist das aber ziemlich egal, solange es kaum RAM verbraucht. Trotzdem würde ich aber gerne wissen, ob mein vServer for nameserver DDoS o.ä. missbraucht werden kann (scheint ja so?) und den Dienst deaktivieren.

    Kann mir da jemand helfen? :)

    mfg :wave:

  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. g****e

    Ich bin nicht so in der Materie, jedoch könntest du deinen nameserverdaemon doch abschalten, wenn der nicht gebraucht ist? Mit Superuserrechten dann
    service named stop
    , sollte eigentlich reichen, oder wofür brauchst du den eigenen DNS Server?
    An sich solltest du alle Dienste deaktivieren, die du nicht benötigst.

    Wenn ich das richtig lese, dann wird dein Nameserver nach Domains gefragt, die er nicht Preis geben darf, will. Fragt sich, wie jemand weiß, dass du einen DNS Server hostest. Und warum tust du das?

    Liebe Grüße
  4. Autor dieses Themas

    voloya

    voloya hat kostenlosen Webspace.

    Hallo :wave:

    ggamee schrieb:
    Wenn ich das richtig lese, dann wird dein Nameserver nach Domains gefragt, die er nicht Preis geben darf, will. Fragt sich, wie jemand weiß, dass du einen DNS Server hostest. Und warum tust du das?


    voloya schrieb:
    Da der Anbieter kein Debian 6 minimal anbietet musste ich eben regular nehmen, da scheinen aber einige Services drauf installiert zu sein, die ich weder will noch brauche. Mir ist das aber ziemlich egal, solange es kaum RAM verbraucht. Trotzdem würde ich aber gerne wissen, ob mein vServer for nameserver DDoS o.ä. missbraucht werden kann (scheint ja so?) und den Dienst deaktivieren.


    Habe ich doch alles gesagt.^^ Ich wusste gar nicht, dass Debian regular einen Nameserver dabei hat?

    Im Syslog wird ja der Dienst "named" erwähnt, der scheint zu "bind" zu gehören. Nach einer Weile fand ich raus dass das package bind9 ist:
    root@nl:/etc/bind# apt-get remove bind9 
    Reading package lists... Done
    Building dependency tree
    Reading state information... Done
    The following packages will be REMOVED:
      bind9
    0 upgraded, 0 newly installed, 1 to remove and 0 not upgraded.
    After this operation, 1061 kB disk space will be freed.
    Do you want to continue [Y/n]? Y
    (Reading database ... 24849 files and directories currently installed.)
    Removing bind9 ...
    Stopping domain name service...: bind9 waiting for pid 7429 to die.

    .. und nun läuft der Dienst nach einem Reboot nicht mehr. :thumb:

    Habe außerdem in der config bei /etc/bind/named.conf.default-zones gesehen, dass anscheinend nur Verbindungen von IPs mit 0.*, 127.* und 255.* zugelassen werden (zumindest soweit ich mich nicht verlesen habe). Insofern wäre es anscheinend keine Gefahr gewesen, jedoch wird doch bestimmt zu jedem Request eine Antwort geliefert?

    Sowas doofes, wer will schon nen Linux mit lauter Schrott vorinstalliert?? -.-

    mfg :wave:
  5. hackyourlife

    Moderator Kostenloser Webspace von hackyourlife

    hackyourlife hat kostenlosen Webspace.

    Wie wäre es, wenn du vorbeugend mal mit
    nmap localhost
    herausfindest was da sonst noch so läuft?

    voloya schrieb:
    Sowas doofes, wer will schon nen Linux mit lauter Schrott vorinstalliert?? -.-
    Wenn du einen vServer betreibst wäre es sowieso angebracht das System genau zu kennen und zu wissen was alles auf deinem Server läuft ;-)

    Die Einstellung "solange es nicht schadet stört es nicht" ist hier wohl die falsche…
  6. Das ist lediglich ein fehlgeschlagenes DNS Query auf einen bind9 Dämon, habe ich bei meinen Nameserver täglich zu hunderten im Log ;)

    "denied" -> Verboten -> Query fehlgeschlagen weil dein bind es verworfen hat
  7. Autor dieses Themas

    voloya

    voloya hat kostenlosen Webspace.

    Hallo :wave:

    hackyourlife schrieb:
    voloya schrieb:
    Sowas doofes, wer will schon nen Linux mit lauter Schrott vorinstalliert?? -.-
    Wenn du einen vServer betreibst wäre es sowieso angebracht das System genau zu kennen und zu wissen was alles auf deinem Server läuft ;-)

    Die Einstellung "solange es nicht schadet stört es nicht" ist hier wohl die falsche…


    Ich kann mich nur wiederholen: Bis Dato verwendete ich nur Debian minimal, der Anbieter hatte aber kein Debian minimal image, deswegen musste ich das normale nehmen. Da hatte ich dann schon bezahlt gehabt. ;)

    Es ist auch unwahrscheinlich, dass in einem vorgefertigten Linux Image eine schwere Sicherheitslücke ist, es bestand ja zu keinem Zeitpunkt Gefahr, mich interessierte jedoch was der Eintrag genau bedeutete und dazu habe ich anfangs bloß im Serversupportforum einen überhaupt nicht hilfreichen Thread gefunden. Es scheint sich ja auch um einen malicious request zu handeln.

    Ansonsten ist noch "avahi-daemon" drauf (hab ich nun auch entfernt), samba (smbd, nmbd), ein mysteriöser "dbus-daemon" und "xinetd". Die werden wohl keine Probleme bereiten.


    virtual2 schrieb:
    Das ist lediglich ein fehlgeschlagenes DNS Query auf einen bind9 Dämon, habe ich bei meinen Nameserver täglich zu hunderten im Log ;)

    "denied" -> Verboten -> Query fehlgeschlagen weil dein bind es verworfen hat

    Aber es wird doch bestimmt eine Antwort auf die Anfrage geliefert, was doch irgendwie schlecht ist, oder nicht?

    Was macht man bei solchen Requests als verantwortungsvoller Systemadministrator? Eine E-Mail an den Hoster schreiben? Oder einfach ignorieren weil's sowieso nix bringt?

    mfg :wave:
  8. g****e

    Naja, ich verwende auch ein Debian LAMP, aber nutze es als Debian Minimal. Bei mir laufen kaum Prozesse. Der Systemprozess init läuft, bash, sshd, boinc mit mehreren Prozessen unr TOR. Da ungefähr endet es schon.
    Du kannst den Ordner /etc/init.d mal durchgehen, und alle Services, die dort abgelegt sind, und die du nicht brauchst, deaktivieren mit
    service [NAME] stop
    reagiert eigentlich jeder Service drauf. Nur das was du brauchst sollte laufen. Und nichts mehr!
    Btw: Bei mir war dieser Nameserver nicht vorinstalliert. Bei Server4you wird ein Debian Minimal genommen für die LAMP Version, und einfach nur ein Apache, MySQL, Dovecut, Postfix und vsftpd zuinstalliert habe ich das Gefühl. Diese Programme sind dafür voll eingerichtet und relativ sicher konfiguriert (man sollte lieber rüberschauen, aber die Vorkonfig ist eigentlich vernünftig). Dieser "Schrott" ist also nicht bei jedem vorinstalliert, es ist nur bei deinem Anbieter dabei.
    Btw: Für vServer ist Server4you recht gut. Mit der Beschränkung des Traffics auf 5TB (drüber kostet) kann ich für 9€ im Monat leben. dafür 1gb sicher Ram, 2 wenn ich brauche, und ausreichend CPU. Dadurch, dass jegliche Software erlaubt ist, hab ich BOINC und TOR laufen, und was soll ich sagen: Es ist halt erlaubt. Bei anderen wär ich schon gekündigt^^ Der Support ist recht unfähig, jedoch hat man dafür Lima. Und natürlich das Recht, monatlich zu kündigen, sofern angegeben im Vertrag.

    Zum Abschluss: Ich würds für diesen Fall einfach mal ignorieren. Dein Hoster wird sagen, dass du dich selbst um deinen vServer zu kümmern hast, der anderen Hoster wird vllt Ja und Amen sagen, und es dann verwerfen. Der andere vServer betreiber wird es ignorieren, und beweisen kannst du eigentlich nichts, was illegal gewesen wäre oder so. Es kam eine Anfrage, die dein von dir gehosteter Nameserver nicht beantworten konnte. Das ist alles, und das ist weder illegal noch strafrechtlich verfolgenswert.

    Liebe Grüße
  9. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!