none
DNS inquinato RRS feed

  • Domanda

  • Da un cliente il server (SBS 2011), causa infezione già rimossa, genera un mare di query DNS verso indirizzi cinesi e/o russi. Attivando o disattivando i forwarders non cambia nulla.

    "Netstat -ano" mi restituisce una serie infinita di record...

    Nslookup su qualsiasi sito mi risponde "Server unknown" con l'IPv6 del mio server. Se disabilito IPv6 sul server, Nslookup funziona, ma i client non riescono più a collegarsi ad Exchange

    L'unico modo che ho per far navigare server e client è quello di aggiungere l'IP di un DNS esterno come secondario nelle impostazioni di rete del server, ben sapendo che non è corretto.

    Non so dove sbattere la testa!


    mercoledì 19 luglio 2017 09:04

Risposte

  • Ciao Sky, se genera ancora richieste a nastro l'infezione non è rimossa. Dovresti provare ad isolare il dns per capire se il problema viene da dentro alla rete ancora o da fuori. Quindi chiudi la 53 sul firewall in uscita e vedi se hai ancora problemi. In caso chiudi anche la 25. Se li hai, il server è infetto. Se non li hai il problema viene dall'esterno allora li vai a guardare sui log del firewall cosa transita. Li devi lavorare di networking prima di andare sul DNS di windows.

    Ciao.

    A.

    mercoledì 19 luglio 2017 09:43
  • Il router dato in dotazione al cliente è configurato per fare NAT, ma non ho accesso amministrativo per gestire porte e forwarding. Visto che dovrei comunque far intervenire il gestore, tanto vale fargli cambiare IP lato LAN e mettere un firewall che posso gestire personalmente

    Finalmente abbiamo appurato che se dietro un PAT/NAT
    Difficilmente la porta 53 sarà aperta all'esterno e forwardata sul tuo SBS 2011

    Comunque ho ancora trovato residui di ransomware (Wannacry) che sembrano riapparire,

    WannaCry non interessa il DNS vedi post di Alessandro

    quindi sto cercando di individuasre il colpevole.

    In precedenza avevi detto che spegnendo tutti i pc e lasciando solo il server , i problemi persitevano, da cui ne consegue che lui è sicuramente ancora infetto!! Vedi primo post  di Alessandro

    A causa di questa infezione, penso, il processo lsass.exe invia centinaia di "chiamate" a siti strani

    Cinficker  era in virus che dava problemi usando LSASS https://blogs.technet.microsoft.com/askds/2009/04/16/conficker-causes-lsass-to-consume-cpu-time-on-domain-controllers/

    Da un cliente il server (SBS 2011), causa infezione già rimossagenera un mare di query DNS verso indirizzi cinesi e/o russi

    Questo è un ossimoro. Se l'infezione è rimossa, non devono esserci un mare di query...

    Concludendo non c'è firewall che tenga,  se non vuoi che il tuo server sia occupato a tentare di inviare migliaglia di query (tagliate dal nuovo firewall, quello che installerai), hai due possibilità:

    Prima opzione. RIMUOVI IL VIRUS

    Seconda opzione. Reinstalli da zero il server.

    Il firewall in transparent mode (L2, senza cambio di ip LAN) o modalità L3 è un MUST ma non risolverà l'attuale problema

    Ciao Gas


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere






    mercoledì 26 luglio 2017 19:05
  • Quello avevano, e quello ho dovuto reinstallare... son tempi di crisi (e comunque il server non è vecchissimo).

    Per quanto riguarda il problema principale, il "colpevole" è il protocollo LDAP, che si connette a quegli indirizzi strani. Una volta impostata sul firewall (di Windows) una regola che blocca in ingresso la porta 389 da rete pubblica, il traffico è tornato normale.

    Oggi è capitato da un altro cliente, ma lì avevo un firewall hardware di mezzo. La porta LDAP era aperta per interfacciarsi col provider per Exchange, ma non vi erano limitazioni sugli IP di origine. E' bastato creare una regola che limita l'accesso LDAP al loro range di IP, ed il problema di traffico eccessivo si è risolto

    giovedì 3 agosto 2017 20:16

Tutte le risposte

  • Ciao Sky, se genera ancora richieste a nastro l'infezione non è rimossa. Dovresti provare ad isolare il dns per capire se il problema viene da dentro alla rete ancora o da fuori. Quindi chiudi la 53 sul firewall in uscita e vedi se hai ancora problemi. In caso chiudi anche la 25. Se li hai, il server è infetto. Se non li hai il problema viene dall'esterno allora li vai a guardare sui log del firewall cosa transita. Li devi lavorare di networking prima di andare sul DNS di windows.

    Ciao.

    A.

    mercoledì 19 luglio 2017 09:43
  • Purtroppo non ho accesso al router/firewall (infatti mi sto attrezzando per mettere un firewall di mezzo). Nei giorni scorsi, parlando col gestore (a causa dei rallentamenti provocati da questo problema), avevamo però appurato che scollegando i singoli client dalla rete la cosa non migliorava mentre, scollegando il server, il traffico diminuiva drasticamente.

    Nel caso fosse il server, quali altri prodotti posso far girare? Io finora ho usato, in più passaggi, antivirus (NOD32), MalwareBytes Antimalware, ADWCleaner e Emsisoft Emergency Kit. Tutti quanti, adesso, non trovano più minacce attive

    mercoledì 19 luglio 2017 10:04
  • Ma non è che ha la porta 53 aperta dall'esterno e lo stanno usando come DNS pubblico?

    Ciao

    Andrea


    Andrea Sistarelli
    Blog
    Datacen srl - Consulenza informatica

    mercoledì 19 luglio 2017 10:06
  • Allora, ho resettato tutti i parametri del firewall del server, e vedo che la 53 (TCP e UDP) risulta aperta per tutti gli ambiti (dominio, privato, pubblico). Sono andato a vedere su altri server che ho in giro, ed è così per tutti. Ho comunque provato a togliere l'ambito pubblico ma il traffico si genera lo stesso


    Altra prova fatta: abbiamo spento tutti i pc, lasciando acceso solo il server. Il traffico si genera lo stesso

    Altra prova. Con uno sniffer specifico per il DNS (della Nirsoft) ho notato che solo il server genera query verso gli indirizzi cinesi/russi. Gli altri pc no

    mercoledì 19 luglio 2017 10:25
  • scarterei i pc per ora...però devi lavorare a livello di perimetrale come firewall on su quello del server...se non hai accesso al firewall che facciamo? non è la prima volta che viene usato un baco del firmware del firewall...quindi anche se ce l'hai chiusa magari non corrisponde a realtà...

    Io la prima cosa che avrei fatto avrei cambiato l'UTM se non ho accesso...così..per sport. :-) ti server un traffic monitor è inutile..

    Le update sul server ci sono tutte? procederei anche in quel senso..anche se secondo me non fermi l'epidemia.

    A.

    mercoledì 19 luglio 2017 13:35
  • Che le richieste DNS siano eseguite solo dal server è normale in quanto avendo lui un server DNS utilizza altri server DNS esterni per risolvere i nomi, questo sia che la query originaria viene da un client che da se stesso.

    A questo punto se spegnendo tutti i client il problema non si presenta significa che è qualcosa nel server stesso.

    Direi che utilizzando Procmon di Sysinternals sul server stesso abilitando solo il traffico dati dovresti riuscire a vedere quale è il processo che genera le richieste DNS.

    Ciao


    Andrea Sistarelli
    Blog
    Datacen srl - Consulenza informatica

    mercoledì 19 luglio 2017 13:51
  • Usando TcpView di Sysinternals potrai vedere i nomi dei processi e le destinazioni ip del traffico generato nel server, individuato il programma incriminato (genera traffico dns verso la cina etc.) con process explorer andrai a vedere i dettagli del processo individuato dal PID visto in precedenza

    -esaminiamo il PID 3184

    Analisi con process explore usando il PID

    Se vuoi fare qualcosa di più professionale, puoi usare wireshark o netmon 3.4 o il nuovo message analyzer.

    Il mio preferito rimane WireShark, segue netmon e non riesco ad abituarmi al nuovo message analyzer :(

    Ciao Gas


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere




    mercoledì 19 luglio 2017 21:31
  • Il problema è che so già qual'è il processo che genera tutto quel traffico, e si tratta di DNS.EXE.

    Ho controllato in altri server, ed è giusto che ci siano diverse istanze di quel processo, ma in questo caso ne ho molte, moltissime, di più, nell'ordine di diverse centinaia in continuo aumento.

    Tanto per fare un esempio, con il DNS sniffer della Nirsoft, su altri server mi appaiono alcune query al secondo, ma solo se qualcuno sta effettivamente navigando, e solo verso siti legati in qualche modo alla navigazione in corso.

    Su questo server, invece, vengono fatte decine e decine di query al secondo in modo costante, a prescindere da chi c'è collegato.

    L'unica cosa che posso fare nell'immediato è contattare l'ISP e farmi chiudere la porta 53 in ingresso (peraltro non ne ho mai richiesta l'apertura)

    venerdì 21 luglio 2017 08:44
  • Che sia il DNS.exe a generare le richieste è normale, essendo lui il server DNS, con Procmon hai verificato se riesci a trovare quale è il processo che "chiede" al DNS.EXE?

    Hai abilitato anche il logo del server DNS per vedere se trovi qualcosa di utile?

    L'ultima frase non l'ho capita, ISP dovrebbe chiuderti la porta 53 in ingresso? Quindi le richieste DNS ti arrivano da Internet e non dall'interno della tua rete, mi fai capire?

    Ciao


    Andrea Sistarelli
    Blog
    Datacen srl - Consulenza informatica

    venerdì 21 luglio 2017 08:57
  • [cut]

    L'unica cosa che posso fare nell'immediato è contattare l'ISP e farmi chiudere la porta 53 in ingresso (peraltro non ne ho mai richiesta l'apertura)

    Se è un server solo ad uso interno (come immagino) fatti chiudere assolutamente la porta 53 in ingresso e verifica che non ci siano altre porte aperte non richieste!!!

    ciao Gastone


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere


    venerdì 21 luglio 2017 17:44
  • Gli serve un accesso al firewall perimetrale, oppure metterne uno in mezzo, se anche chiudi la 53 da fuori al massimo non ti funziona più nessun tipo di risoluzione nomi ma non fermi l'infezione del server. E se è un bug del firmware del firewall come già successo in molti casi che lo fa bypassare? quando lo sistema il problema? deve intervenire prima di tutto sul gateway e vedere che non stia li il problema, poi pensa a controllare cosa c'è sul server che gli spara fuori query. Se non può mettere le mani li non andiamo da nessuna parte.

    O se no ci vai in orario fuori lavoro e banalmente stacchi il gateway dalla rete. se le query si fermano sai che viene da fuori, se non si fermano viene dal server. 

    venerdì 21 luglio 2017 19:26
  • Farò cambiare l'IP lato LAN del router/firewall dal gestore e piazzerò in mezzo un FW che possa gestire io direttamente
    sabato 22 luglio 2017 18:11
  • Farò cambiare l'IP lato LAN del router/firewall dal gestore e piazzerò in mezzo un FW che possa gestire io direttamente

    Oh, adesso si che ragioniamo, così si che riesci a fare un debug come si deve. Bravo! A.
    sabato 22 luglio 2017 18:27
  • Scusa ma cambiare l'IP lato LAN cosa ti risolve? Se hai una connettività business, quindi con indirizzo punto-punto sulla WAN è un pool di IP pubblici a te assegnati devi comunque per forza mettere un tuo router/firewall in cascata che ti fa NAT/PAT perché il router del provider fa solo routing puro e nessuna attività di filtraggio.

    Se invece hai una connettività senza ip punto-punto allora l'apparato del gestore fa NAT/PAT quindi basta che gli dici quali porte aprire e rigirare.

    In quale caso sei?

    Ciao


    Andrea Sistarelli
    Blog
    Datacen srl - Consulenza informatica

    sabato 22 luglio 2017 19:46
  • Comunque ho ancora trovato residui di ransomware (Wannacry) che sembrano riapparire, quindi sto cercando di individuare il colpevole.

    A causa di questa infezione, penso, il processo lsass.exe invia centinaia di "chiamate" a siti strani

    mercoledì 26 luglio 2017 09:32
  • Il router dato in dotazione al cliente è configurato per fare NAT, ma non ho accesso amministrativo per gestire porte e forwarding. Visto che dovrei comunque far intervenire il gestore, tanto vale fargli cambiare IP lato LAN e mettere un firewall che posso gestire personalmente
    mercoledì 26 luglio 2017 09:35
  • Il router dato in dotazione al cliente è configurato per fare NAT, ma non ho accesso amministrativo per gestire porte e forwarding. Visto che dovrei comunque far intervenire il gestore, tanto vale fargli cambiare IP lato LAN e mettere un firewall che posso gestire personalmente

    ok, ma faglielo mettere in trasparente e stop, così non ti nattano nulla e fai tutto dal firewall senza fare doppi nat, questo voleva dire Andrea.

    ciao!

    A.

    mercoledì 26 luglio 2017 09:41
  • Wannacry non faceva dns poisoning e non mandava fuori query a gogo...con le updates comunque veniva fermato.

    mercoledì 26 luglio 2017 09:42
  • Forse non si tratta di un DNS poisoning, ma semplici chiamate... fatto sta che, finché le scansioni mi trovano file infetti, devo pensare che c'entri qualcosa. Intanto provvederò all'aggiunta del firewall
    mercoledì 26 luglio 2017 18:20
  • Il router dato in dotazione al cliente è configurato per fare NAT, ma non ho accesso amministrativo per gestire porte e forwarding. Visto che dovrei comunque far intervenire il gestore, tanto vale fargli cambiare IP lato LAN e mettere un firewall che posso gestire personalmente

    Finalmente abbiamo appurato che se dietro un PAT/NAT
    Difficilmente la porta 53 sarà aperta all'esterno e forwardata sul tuo SBS 2011

    Comunque ho ancora trovato residui di ransomware (Wannacry) che sembrano riapparire,

    WannaCry non interessa il DNS vedi post di Alessandro

    quindi sto cercando di individuasre il colpevole.

    In precedenza avevi detto che spegnendo tutti i pc e lasciando solo il server , i problemi persitevano, da cui ne consegue che lui è sicuramente ancora infetto!! Vedi primo post  di Alessandro

    A causa di questa infezione, penso, il processo lsass.exe invia centinaia di "chiamate" a siti strani

    Cinficker  era in virus che dava problemi usando LSASS https://blogs.technet.microsoft.com/askds/2009/04/16/conficker-causes-lsass-to-consume-cpu-time-on-domain-controllers/

    Da un cliente il server (SBS 2011), causa infezione già rimossagenera un mare di query DNS verso indirizzi cinesi e/o russi

    Questo è un ossimoro. Se l'infezione è rimossa, non devono esserci un mare di query...

    Concludendo non c'è firewall che tenga,  se non vuoi che il tuo server sia occupato a tentare di inviare migliaglia di query (tagliate dal nuovo firewall, quello che installerai), hai due possibilità:

    Prima opzione. RIMUOVI IL VIRUS

    Seconda opzione. Reinstalli da zero il server.

    Il firewall in transparent mode (L2, senza cambio di ip LAN) o modalità L3 è un MUST ma non risolverà l'attuale problema

    Ciao Gas


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere






    mercoledì 26 luglio 2017 19:05
  • Forse non si tratta di un DNS poisoning, ma semplici chiamate... fatto sta che, finché le scansioni mi trovano file infetti, devo pensare che c'entri qualcosa. Intanto provvederò all'aggiunta del firewall

    Sky, certo che non è un DNS poisoning, quello non è rilevabile in questo modo ed è sempre silente, se ti accorgi che è stato contaminato tutto il discorso del poisoning decade, era per citare una tecnica di attacco al DNS ed affermare che Wannacry non intaccava il dns. L'attacco nel tuo caso mira a mandare in down il servizio dns per sovraccarico di query, sostanzialmente è un semplice DOS in quanto opera da un solo host, il server appunto (sempre che non ci sia un accesso da fuori magari, allora potrebbe essere anche un DDOS. però una banale prova di staccare il router o cambiare io gateway l'hai fatto? in quel modo ti rendi conto se passa da fuori o da dentro, perchè magari non è il server...ma il router bucato che usa il server...

    mercoledì 26 luglio 2017 19:24
  • Si, molto probabilmente farò così...
    giovedì 27 luglio 2017 10:22
  • Ero convinto di aver rimosso tutte le bestie perché, dopo il primo intervento di pulizia ho effettuato ulteriori passaggi di scansione e non veniva trovato nulla, nè sul server, né sui client.

    Sul discorso dei client, sono stato fuorviato dal responsabile della ditta che mi ha raccontato di aver contattato l'ISP e aver fatto delle prove staccando tutti i pc e arrivando alla conclusione che il traffico anomalo veniva generato solo dal server. Evidentemente era una conclusione affrettata che mi (ci) ha fatto concentrare su un falso problema.

    Spero di non dover arrivare alla reinstallazione del server anche perché, per ironia della sorte, era stato fatto meno di un mese fa (per problemi di altra natura).

    Aggiornerò il thread non appena avrò novità.

    giovedì 27 luglio 2017 10:30
  • non ho mai sentito di formattare un server per un problema al DNS sinceramente, di solito si riparano..un conto è AD..ma per il DNS boh...comunque...1 mese fa hai rimesso su un 2011?? aaargh ;-)
    giovedì 27 luglio 2017 11:16
  • Quello avevano, e quello ho dovuto reinstallare... son tempi di crisi (e comunque il server non è vecchissimo).

    Per quanto riguarda il problema principale, il "colpevole" è il protocollo LDAP, che si connette a quegli indirizzi strani. Una volta impostata sul firewall (di Windows) una regola che blocca in ingresso la porta 389 da rete pubblica, il traffico è tornato normale.

    Oggi è capitato da un altro cliente, ma lì avevo un firewall hardware di mezzo. La porta LDAP era aperta per interfacciarsi col provider per Exchange, ma non vi erano limitazioni sugli IP di origine. E' bastato creare una regola che limita l'accesso LDAP al loro range di IP, ed il problema di traffico eccessivo si è risolto

    giovedì 3 agosto 2017 20:16
  • aggiungo solo questo utilissimo link da tenere sempre in tasca

    https://technet.microsoft.com/it-it/library/bb125069%28v=exchg.65%29.aspx?f=255&MSPPError=-2147217396


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    edo[at]mvps[dot]org

    venerdì 4 agosto 2017 07:44
    Moderatore

  • Per quanto riguarda il problema principale, il "colpevole" è il protocollo LDAP, che si connette a quegli indirizzi strani. Una volta impostata sul firewall (di Windows) una regola che blocca in ingresso la porta 389 da rete pubblica, il traffico è tornato normale.


    ora la mia unica curiosità è: come l'hai identificata la problematica ldap? nel senso, con quale tool o procedimento? perchè se hai accesso ad un firewall che ha un traffic manager lo tani subito il problema..nel tuo caso da quel che ho capito non l'avevi, quindi ero curioso di capire come hai fatto.

    grazie.

    A.

    venerdì 4 agosto 2017 12:07
  • Col semplice Monitoraggio Risorse di Windows. Nella sezione Rete, mettendo in ordine di traffico generato, ho beccato il colpevole e gli IP a cui si collegava

    lunedì 4 settembre 2017 08:38