DSN-Server-Hijacking to sedoparking.com

Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at verwendet.
Forumsregeln
Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at

Beitragvon jutta » Sa 26 Jul, 2008 21:49

per mail ist vorhin folgendes reingekommen:

The DNS attacks are starting!!!
Below is a snippet of a logwatch from last night. Be sure all DNS
servers are updated if at all possible. The spooks are out in full on
this security vulnerability in force.

THIS IS YOUR LAST WARNING...!!!
Patch or Upgrade NOW!

siehe auch http://permalink.gmane.org/gmane.linux. ... ral/306278

und andere admins berichten auch, dass sie es bereits an den logfiles sehen.
jutta
Administrator
Administrator
 
Beiträge: 30473
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon Air20 » So 27 Jul, 2008 08:54

jutta hat geschrieben:per mail ist vorhin folgendes reingekommen:

The DNS attacks are starting!!!
Below is a snippet of a logwatch from last night. Be sure all DNS
servers are updated if at all possible. The spooks are out in full on
this security vulnerability in force.

THIS IS YOUR LAST WARNING...!!!
Patch or Upgrade NOW!

siehe auch http://permalink.gmane.org/gmane.linux. ... ral/306278

und andere admins berichten auch, dass sie es bereits an den logfiles sehen.


das kann ja noch lustig werden :oops:
connected by
xDSL Business silber @16384/1024 flat
inode Etherlink flat @
Bild
und aon Gigaspeed 16 @12352/1024 :rofl:
http://www.youtube.com/watch?v=PtXtIivRRKQ
Air20
Board-User Level 3
Board-User Level 3
 
Beiträge: 1360
Registriert: Fr 16 Apr, 2004 18:32
Wohnort: 2540 Bad Vöslau

Beitragvon jutta » So 27 Jul, 2008 11:21

hast du den bericht zur lage in .at schon gelesen?
link zum pdf auf dieser seite http://www.cert.at/warnings/warnings/20080724.html unten.

die grossen provider, deren nameserver ich von meinen anschluessen aus antworten entlocken konnte, scheinen ihre server upgedatet zu haben (oder hatten vielleicht schon bisher sichere software im einsatz), bei den mobil-betreibern sieht es leider nicht so gut aus :(

Code: Alles auswählen
inode:
jutta@debian:~$ dig  +short porttest.dns-oarc.net TXT
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"195.34.133.58 is GOOD: 26 queries in 4.3 seconds from 26 ports with std
dev 17383.98"
jutta@debian:~$

ta biz:

jutta@srv01:~$ dig  +short porttest.dns-oarc.net TXT
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"213.33.99.70 is GOOD: 41 queries in 4.3 seconds from 41 ports with std
dev 19675.73"

aon:
jutta@srv01:~$ dig  @195.3.96.67  +short porttest.dns-oarc.net TXT
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"213.33.98.135 is FAIR: 26 queries in 4.3 seconds from 26 ports with std
dev 6773.11"
jutta@srv01:~$

eunet:

ns1.eunet.at has address 192.92.138.35
jutta@srv01:~$ dig @192.92.138.35  +short porttest.dns-oarc.net TXT
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"192.92.138.35 is GOOD: 26 queries in 4.5 seconds from 26 ports with std
dev 15656.84"
jutta@srv01:~$

uni wien:
bash-2.05b$ dig  +short porttest.dns-oarc.net TXT
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"131.130.1.12 is GOOD: 26 queries in 4.7 seconds from 26 ports with std
dev 16089.34"
bash-2.05b$

yesss:
jutta@lifebook:~$ dig +short porttest.dns-oarc.net TXT
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"81.3.216.100 is POOR: 26 queries in 4.9 seconds from 1 ports with std
dev 0.00"



aehnliches berichtete markus egg ueber die nameserver von A1:
http://www1.netzwerklabor.at/news/artic ... vider#1478
jutta
Administrator
Administrator
 
Beiträge: 30473
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon hardliner » So 27 Jul, 2008 12:44

Andererseits wird dieser Security Leak im Moment dazu verwendet um OpenDNS zu pushen.
Meine Meinung: OpenDNS ist volle ka**e! Abgesehen von Pings hin bis zu 350ms befindet sich OpenDNS im Bush-Land und wird von der NSA und Homeland-Security ĂĽberwacht.
Finger weg von den U aSS A .!
IMHO sollte ein DNS immer in unmittelbarer Nähe sein!
Mein DNS ist von auĂźen nicht erreichbar und alle Patches fĂĽr W2k3 sind auf dem letzten Stand und trotzdem wird OpenDNS "empfohlen".
Denke mal da stecken einige Geheimdienste dahinter.
Hier das "Ergebnis"
Your name server, at 91.114.58.*, appears vulnerable to DNS Cache Poisoning.


All requests came from the following source port: 34067

Due to events outside our control, details of the vulnerability have been leaked. Please consider using a safe DNS server, such as OpenDNS. Note: Comcast users should not worry.
--------------------------------------------------------------------------------
Requests seen for 20eccefc6d8d.doxdns5.com:
91.114.58.*:34067 TXID=13739
91.114.58.*:34067 TXID=20999
91.114.58.*:34067 TXID=57085
91.114.58.*:34067 TXID=60054
91.114.58.*:34067 TXID=21006

h.
hardliner
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4056
Registriert: Mo 23 Jun, 2003 21:24

Beitragvon jutta » So 27 Jul, 2008 13:39

das mit opendns ist ja nur ein vorschlag. es gibt auch in .at und in den nachbarlaendern genuegend nameserver die fuer requests aus anderen netzen offen sind - und die den test bestanden haben.

> Your name server, at 91.114.58.*, appears vulnerable to DNS Cache Poisoning.
> All requests came from the following source port: 34067

ueberleg dir einmal, ob das am nat liegen koennte.
jutta
Administrator
Administrator
 
Beiträge: 30473
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Vorherige

ZurĂĽck zu ANTIVIRUS & SECURITY

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 23 Gäste