Linux Ubuntu 64bit Server Syslog

[prophet2812]

Hi Leute,
bin heute auf komische Syslog Einträge gestolpert(russische Pornsites usw.). Kann mir einer sagen was dies genau bedeutet.

Jul 16 11:28:26 Ubuntu-1304-raring-64-minimal named[1016]: client 202.56.230.2#8696 (volga-media.ru): query (cache) 'volga-media.ru/MX/IN' denied
Jul 16 11:28:26 Ubuntu-1304-raring-64-minimal named[1016]: client 202.43.188.5#55630 (umnet.ru): query (cache) 'umnet.ru/MX/IN' denied
Jul 16 11:28:28 Ubuntu-1304-raring-64-minimal named[1016]: client 77.243.112.34#54493 (clublen-metal.ru): query (cache) 'clublen-metal.ru/A/IN' denied
Jul 16 11:28:31 Ubuntu-1304-raring-64-minimal named[1016]: client 213.177.97.1#42444 (www.touristmir.ru): query (cache) 'www.touristmir.ru/A/IN' denied
Jul 16 11:28:32 Ubuntu-1304-raring-64-minimal named[1016]: client 218.85.152.148#17503 (qpwm.ru): query (cache) 'qpwm.ru/A/IN' denied
Jul 16 11:28:34 Ubuntu-1304-raring-64-minimal named[1016]: client 218.85.152.148#15733 (umnet.ru): query (cache) 'umnet.ru/A/IN' denied
Jul 16 11:28:35 Ubuntu-1304-raring-64-minimal named[1016]: client 218.85.157.19#65477 (umnet.ru): query (cache) 'umnet.ru/A/IN' denied
Jul 16 11:28:38 Ubuntu-1304-raring-64-minimal named[1016]: client 84.201.146.225#53819 (UMNet.Ru): query (cache) 'UMNet.Ru/A/IN' denied
Jul 16 11:28:39 Ubuntu-1304-raring-64-minimal named[1016]: client 203.162.4.96#2385 (mail.qpwm.ru): query (cache) 'mail.qpwm.ru/A/IN' denied
Jul 16 11:28:39 Ubuntu-1304-raring-64-minimal named[1016]: client 83.149.126.98#38364 (vitamind.ru): query (cache) 'vitamind.ru/A/IN' denied
Jul 16 11:28:42 Ubuntu-1304-raring-64-minimal named[1016]: client 212.7.0.34#16844 (www.masterbreak.ru): query (cache) 'www.masterbreak.ru/A/IN' denied
Jul 16 11:28:42 Ubuntu-1304-raring-64-minimal named[1016]: client 94.255.29.222#3890 (www.touristmir.ru): query (cache) 'www.touristmir.ru/A/IN' denied
Jul 16 11:28:45 Ubuntu-1304-raring-64-minimal named[1016]: client 195.20.154.253#6685 (clublen-metal.ru): query (cache) 'clublen-metal.ru/A/IN' denied
Jul 16 11:28:45 Ubuntu-1304-raring-64-minimal named[1016]: client 195.20.154.253#63264 (clublen-metal.ru): query (cache) 'clublen-metal.ru/A/IN' denied
Jul 16 11:28:47 Ubuntu-1304-raring-64-minimal named[1016]: client 213.179.249.133#11378 (www.masterbreak.ru): query (cache) 'www.masterbreak.ru/A/IN' denied
Jul 16 11:28:55 Ubuntu-1304-raring-64-minimal named[1016]: client 178.217.183.34#9222 (www.kinokopilka.info): query (cache) 'www.kinokopilka.info/A/IN' denied
Jul 16 11:28:57 Ubuntu-1304-raring-64-minimal named[1016]: client 66.54.89.121#41133 (sp-c.ru): query (cache) 'sp-c.ru/A/IN' denied

lg prophet

 

[Rossie]

Es wird versucht die Domains gegen Deinen DNS-Server aufzulösen. Ist der Server privat oder öffentlich?

 

[prophet2812]

Öffentlich.

 

[dup]

Hi Leute,
bin heute auf komische Syslog Einträge gestolpert(russische Pornsites usw.). Kann mir einer sagen was dies genau bedeutet.

Was es bedeutet wurde schon beantwortet. Das einfachste ist es zu ignorieren. Wenn du dagegen vorgehen möchtest such dir die Provider raus und schick denen Abuse-Meldungen. Dürfte aber Zeitverschwendung sein.

 

[mensch183]

Was genau ist denn nun dein Problem?
A) Dass dein Nameserver die Anfragen abweist statt zu beantworten?
oder
B) Dass dein Nameserver die abgewiesen Anfragen ins Log schreibt?

 

[Daaron]

wohl eher, dass sein NS überhaupt befragt wird...

OT: Warum eigentlich Ubuntu Raring als Server-OS? Das wär mir persönlich nicht stabil genug...

 

[mensch183]

Achso.

Ich kenne das genaue Log-Format von bind nicht. Wenn ichs richtig interpretiere, fragen die abgewiesenen Hosts alle ausgerechnet nach der IP für den Namen, der als PTR für die anfragende IP im DNS steht. Bischen seltsam.

Derartige Anfragen nach "sich selbst" eignen sich grundsätzlich, um verbuggten Nameservern manipulierte Unfug-Records unterzujubeln oder für DDoS-Angriffe mit gefaktem Absender. Für alle im Log auftauchenden Domains sind die gleichen beiden Nameserver zuständig (ns1.mv0.ru, ns2.mv0.ru, die bei Hetzner gehostet werden ...) für die reverse Zonen immer verschiedene. Vielleicht basteln die rum und etwas ging in die Hose.

Ich würde das Spiel erstmal paar Tage beobachten, ob es mehr/weniger wird oder was auch immer. Kein Grund zur Sorge, wenn der bind aktuell ist und es nicht irre viele Anfragen werden.

BTW: "Ubuntu-1304-raring-64-minimal" ist ein ekelhaft langer Hostname, den ich nicht ständig in meinen Logs sehen wollen würde.

 

[Daaron]

Wenn du das Log etwas hübscher/übersichtlicher haben willst:

Schreib das in die /etc/bind/named.conf.options, leg aber vorher noch den Log-Ordner nebst der Logs an und gib die Logs bind:bind.

logging {
        channel query.log {
                file "/var/log/bind9/query.log" versions 3 size 1m;
                print-time yes;
                severity info;
        };
        category queries { query.log; };

        channel security_file {
                file "/var/log/bind9/security.log" versions 3 size 30m;
                severity dynamic;
                print-time yes;
        };
        category security {
                security_file;
        };
};

 

[mensch183]

Heute stehen übrigens völlig andere Namen für die im Log auftauchenden IPs im DNS als zum Zeitpunkt des Logs. Mehrere davon sehen sehen stark danach aus, dass es selbst Nameserver sind.

Ohne jetzt im Detail kapiert zu haben, was da abging, möchte ich behaupten, dass prohet2812s Nameserver bei einer DDoS-Attacke mithelfen sollte. Die Absender-IPs, die im Log auftauchen, sind Fakes. Das dürften die Ziele der Angriffe sein. Die zum Zeitpunkt des Logs daraus ermittelten russischen Hostnamen sind auch falsch.

 

[prophet2812]

Danke Leute werde es weiterhin beobachten
lg