Attaques (?) sur named bind

Dans le message <news:42248620$0$19377$626a14ce@news.free.fr>,
*Emma* tapota sur f.c.o.l.configuration :

Bonjour,

Bonjour,

J'observe de nombreux messages d'erreur (dans le fichier "messages") de
mon RedHat 7 avec Bind 9.2.1 :

[lame server sur ipwhois.rfc-ignorant.org depuis une requête locale]

Première observation, ces requêtes DNS proviennent d'un processus local
(127.0.0.1#53) et non de l'extérieur.

Deuxième observation, ipwhois.rfc-ignorant.org est une liste RBL (une liste
noire d'adresses IP de spammeurs qu'utilisent les logiciels d'antispam) qui
n'est plus active aujourd'hui.

Et des lignes comme ça, j'en ai à la pelle ! Surtout de
"rfc-ignorant.org"... Avez-vous une idée de ce que ça veut dire ?

Un lame server est un serveur qui est sensé être le gestionnaire d'une zone
mais qu'il ne gère pas.
Quand on regarde de près, la zone ipwhois.rfc-ignorant.org pointe sur
localhost.rfc-ignorant.org :

ipwhois.rfc-ignorant.org. IN NS localhost.rfc-ignorant.org.

Et localhost.rfc-ignorant.org pointe sur 127.0.0.1 :

localhost.rfc-ignorant.org. IN A 127.0.0.1

Ceci indiquant alors que la zone ipwhois.rfc-ignorant.org est gérée par
votre propre serveur ce qui est bien évidement pas le cas mais explique
pourquoi vous vous retrouvez avec les messages d'erreurs du type 'lame
server'.

Suis-je considérée comme "ignorant" parce que mon Bind serait mal
configuré ?

Du tout. C'est juste que la zone ipwhois.rfc-ignorant.org est volontairement
mal configurée car en fait comme je vous le disais plus haut cette liste RBL
n'est plus active.

Merci pour votre aide,

De rien.

mon service named est tombé plusieurs fois, je suis quasi sure que c'est
à cause de ces "attaques".

Je doute très fortement que ces requêtes à répétition puissent faire tomber
votre serveur DNS. Je me souviens dans le passé que vous aviez déjà des
problèmes avec named, mais cela provenait d'une vielle version de BIND qui
était vulnérable et que vous étiez réellement victime d'attaque de type déni
de service. Vérifiez que votre version de BIND est à jour et vérifiez aussi
vos logs quand named tombe.
Ici il ne s'agit pas d'attaques puisque les requêtes proviennent d'un
processus local. Il s'agit très certainement de votre serveur mail et de
votre logiciel d'antispam, au hasard Spamassassin version 2.6.x qui faut
songer très rapidement à mettre à jour et de le passer à la version 3.0.x.
Sinon, en attendant, configurez le pour qu'il n'utilise plus la liste
ipwhois.rfc-ignorant.org (fichier /usr/share/spamassassin/20_dnsbl_tests.cf
s'il s'agit bien de Spamassassin).

--
TiChou

"TiChou" <gro.uohcit@uohcit> a écrit dans le message de news:
gniii.20050301163429@florizarre.tichou.org...

Dans le message <news:42248620$0$19377$626a14ce@news.free.fr>,
*Emma* tapota sur f.c.o.l.configuration :

Bonjour,

Bonjour,

Bonjour,
Déjà, avant toutes choses, un grand merci. C'est très sympa d'avoir pris le
temps de répondre, c'est tellement rare, et en plus sans me faire traiter de
nullos. Merci donc.

J'observe de nombreux messages d'erreur (dans le fichier "messages") de
mon RedHat 7 avec Bind 9.2.1 :

[lame server sur ipwhois.rfc-ignorant.org depuis une requête locale]

Première observation, ces requêtes DNS proviennent d'un processus local
(127.0.0.1#53) et non de l'extérieur.
Deuxième observation, ipwhois.rfc-ignorant.org est une liste RBL (une
liste noire d'adresses IP de spammeurs qu'utilisent les logiciels
d'antispam) qui n'est plus active aujourd'hui.

Effectivement, j'utilise un soft anti-spam (SpamPal) mais pas sur le
serveur, sur une machine interne. Et j'ai trouvé dans la conf qu'il utilise
ce fameux RBL "rfc-ignorant". Je l'ai donc supprimé de SpamPal.

Et des lignes comme ça, j'en ai à la pelle ! Surtout de
"rfc-ignorant.org"... Avez-vous une idée de ce que ça veut dire ?

Un lame server est un serveur qui est sensé être le gestionnaire d'une
zone mais qu'il ne gère pas.
Quand on regarde de près, la zone ipwhois.rfc-ignorant.org pointe sur
localhost.rfc-ignorant.org :

ipwhois.rfc-ignorant.org. IN NS localhost.rfc-ignorant.org.

Et localhost.rfc-ignorant.org pointe sur 127.0.0.1 :

localhost.rfc-ignorant.org. IN A 127.0.0.1

Ceci indiquant alors que la zone ipwhois.rfc-ignorant.org est gérée par
votre propre serveur ce qui est bien évidement pas le cas mais explique
pourquoi vous vous retrouvez avec les messages d'erreurs du type 'lame
server'.

Suis-je considérée comme "ignorant" parce que mon Bind serait mal
configuré ?

Du tout. C'est juste que la zone ipwhois.rfc-ignorant.org est
volontairement mal configurée car en fait comme je vous le disais plus
haut cette liste RBL n'est plus active.

Merci pour votre aide,

De rien.

Sisi, re-merci, j'y vois + clair !

mon service named est tombé plusieurs fois, je suis quasi sure que c'est
à cause de ces "attaques".

Je doute très fortement que ces requêtes à répétition puissent faire
tomber votre serveur DNS. Je me souviens dans le passé que vous aviez déjà
des problèmes avec named, mais cela provenait d'une vielle version de BIND
qui était vulnérable et que vous étiez réellement victime d'attaque de
type déni de service.

quelle mémoire, bravo !

Vérifiez que votre version de BIND est à jour et vérifiez aussi vos logs
quand named tombe.
Ici il ne s'agit pas d'attaques puisque les requêtes proviennent d'un
processus local. Il s'agit très certainement de votre serveur mail et de
votre logiciel d'antispam, au hasard Spamassassin version 2.6.x qui faut
songer très rapidement à mettre à jour et de le passer à la version 3.0.x.
Sinon, en attendant, configurez le pour qu'il n'utilise plus la liste
ipwhois.rfc-ignorant.org (fichier
/usr/share/spamassassin/20_dnsbl_tests.cf s'il s'agit bien de
Spamassassin).

J'ai donc effectivement mis à jour Bind il y a quelques mois... assez
facilement malgré mes craintes ! Mais bon, ça tourne, ça ne tombe jamais
(sauf une fois cette semaine), donc je n'y touche plus pour l'instant. Et
non, nous n'avons pas SpamAssassin, j'avais regardé à l'époque mais n'étant
pas très à l'aise avec Linux, j'avais laissé tomber...

--
TiChou

Merci encore
Emma