none
атака на DNS RRS feed

  • Вопрос

  • встроенный ДНС сервер версия 5.2.3790.4957 на win2003R2, привязан к одному адресу сетевушки. Антивирус был KES8 поставлен KES10, WSUS проблем с обновлением нет, вирусов не находится.
    3 дня назад замечен исходящий трафик ДНС (см. список ниже) Т.е. идет куча запросов бредовых имен сайтов по 53 порту на некоторый набор ip в Инете.
    Инициатор трафика dns.exe, его размер в c:\windows\system32 больше на 443 кб.

    Все чего удалось добиться - это зарезание исходящего трафика на сетевом экране с хитрыми пасами в маршрутизации. Короче запросы генерятся, но в Инет не проходят.

    Других запущенных процессов на сервер не обнаруживается, сниффером определяется, что нет никаких запросов от других хостов подсетки.  Поскольку сервер виртуальный, то был произведен откат на 28 мая (когда этой фигни еще не было) Сервер откатился успешно путем перетирания файла виртуальной машины, но после 5 минут с его восстановления опять начал слать эту байду:
    "
    20140603 10:44:19 524 PACKET  01F65920 UDP Snd 116.10.184.209  b771   Q [0000       NOERROR] A     (13)aocqesghvjkym(4)dlq1(3)9aq(3)com(0)
    20140603 10:44:19 524 PACKET  01F65920 UDP Snd 116.10.184.208  b771   Q [0000       NOERROR] A     (13)aocqesghvjkym(4)dlq1(3)9aq(3)com(0)
    20140603 10:44:19 524 PACKET  01B32230 UDP Snd 183.61.139.82   fa08   Q [0000       NOERROR] A     (3)iwh(4)dlq1(3)9aq(3)com(0)
    20140603 10:44:19 524 PACKET  01B32230 UDP Snd 115.238.186.20  fa08   Q [0000       NOERROR] A     (3)iwh(4)dlq1(3)9aq(3)com(0)
    20140603 10:44:19 524 PACKET  0208D7B0 UDP Snd 183.61.139.82   531a   Q [0000       NOERROR] A     (13)aopdesguvjxlm(4)dlq1(3)9aq(3)com(0)
    20140603 10:44:19 524 PACKET  0208D7B0 UDP Snd 183.61.139.91   531a   Q [0000       NOERROR] A     (13)aopdesguvjxlm(4)dlq1(3)9aq(3)com(0)" Благодарю за идеи и ссылки на лекарства

Все ответы

  • За точность не ручаюсь, но кое-что нашел.

    Скорее всего, с Вашего DNS сервера идет DDOS атака. 
    Вероятнее всего, есть уязвимость в DNS, которая позволяет это делать. 
    Вот тут описание: http://www.itsecdb.com/oval/definition/oval/org.mitre.oval/def/15098/DNS-Denial-of-Service-Vulnerability.html

    и тут:

    http://www.cvedetails.com/cve/CVE-2012-0006/

    Решение:

    https://technet.microsoft.com/library/security/ms12-017

    Вдруг Вам это поможет?

    6 июня 2014 г. 11:41
  • Спасибо огромное! 20 минут как полет нормальный!

    9 июня 2014 г. 12:43
  • увы, показалось... эта хрень стала реже слать свой мусор. Теперь шлет порции с перерывами от 20 минут до 2 часов

    9 июня 2014 г. 14:21
  • Для антивирусной проверки, воспользуйтесь например утилитой Dr.Web CureIT.

    Да, я Жук, три пары лапок и фасеточные глаза :))

    9 июня 2014 г. 15:59
    Модератор