Bloqueando os IPs da VolumeDrive para prevenir ataques ao VPS

Visualizando 2 posts - 1 até 2 (de 2 do total)
  • Autor
    Posts
  • #11332
    Luis FatorBinario
    Luis FatorBinario
    Administrador

    VolumeDrive é uma dessas empresas que vendem serviços sem qualquer controle sobre as atividades dos usuários.

    Eu sei disso porque várias empresas de desenvolvimento e hospedagem de sites solicitam ao Fator Binário a configuração de seus servidores, e em alguns casos, me autorizam a monitorar os servidores.

    O que me chamou a atenção nos últimos dias foi a grande quantidade de ataques/spoofing vindos dos servidores da VolumeDrive. Para verificar em seu servidor se existe log de atividades com origem dos servidores deles abra o arquivo /var/log/daemon.log e observe se existe linhas seguidas de algum IP na lista que irei postar abaixo.

    Exemplo encontrado no arquivo de log:

    Oct 16 22:31:13 cp2 named[2300]: client 104.245.97.236#11722: query (cache) ‘l3x.ru/ANY/IN’ denied
    Oct 16 22:31:13 cp2 named[2300]: client 104.245.97.236#33470: query (cache) ‘l3x.ru/ANY/IN’ denied
    Oct 16 22:31:13 cp2 named[2300]: client 104.245.97.236#3219: query (cache) ‘l3x.ru/ANY/IN’ denied
    Oct 16 22:31:13 cp2 named[2300]: client 104.245.97.236#57325: query (cache) ‘l3x.ru/ANY/IN’ denied
    Oct 16 22:31:13 cp2 named[2300]: client 104.245.97.236#27789: query (cache) ‘l3x.ru/ANY/IN’ denied
    Oct 16 22:31:13 cp2 named[2300]: client 104.245.97.236#26787: query (cache) ‘l3x.ru/ANY/IN’ denied
    Oct 16 22:31:13 cp2 named[2300]: client 104.245.97.236#11258: query (cache) ‘l3x.ru/ANY/IN’ denied
    Oct 16 22:31:13 cp2 named[2300]: client 104.245.97.236#18879: query (cache) ‘l3x.ru/ANY/IN’ denied

    Isso é ataque de DNS spoofing. Para bloquear a range toda dos IPs deles adicione as seguintes linhas no arquivo /etc/hosts.deny :

    ALL : 45.43.78.0/24
    ALL : 74.118.192.0/22
    ALL : 104.37.44.0/22
    ALL : 104.192.103.0/24
    ALL : 104.193.8.0/24
    ALL : 104.193.9.0/24
    ALL : 104.193.10.0/24
    ALL : 104.193.11.0/24
    ALL : 104.245.96.0/22
    ALL : 104.245.100.0/24
    ALL : 104.245.101.0/24
    ALL : 104.245.102.0/24
    ALL : 104.245.103.0/24
    ALL : 104.255.64.0/21
    ALL : 107.182.16.0/20
    ALL : 142.0.32.0/24
    ALL : 142.0.33.0/24
    ALL : 142.0.34.0/24
    ALL : 142.0.35.0/24
    ALL : 142.0.36.0/24
    ALL : 142.0.37.0/24
    ALL : 142.0.38.0/24
    ALL : 142.0.39.0/24
    ALL : 142.0.40.0/24
    ALL : 142.0.41.0/24
    ALL : 142.0.42.0/24
    ALL : 142.0.43.0/24
    ALL : 142.0.44.0/24
    ALL : 142.0.45.0/24
    ALL : 142.0.46.0/24
    ALL : 162.213.24.0/24
    ALL : 162.213.25.0/24
    ALL : 162.213.26.0/24
    ALL : 162.213.27.0/24
    ALL : 162.213.28.0/24
    ALL : 162.213.29.0/24
    ALL : 162.213.30.0/24
    ALL : 162.213.31.0/24
    ALL : 162.248.72.0/21
    ALL : 172.81.128.0/21
    ALL : 172.98.215.0/24
    ALL : 172.110.26.0/24
    ALL : 172.110.27.0/24
    ALL : 173.242.112.0/24
    ALL : 173.242.113.0/24
    ALL : 173.242.114.0/23
    ALL : 173.242.116.0/24
    ALL : 173.242.117.0/24
    ALL : 173.242.118.0/24
    ALL : 173.242.119.0/24
    ALL : 173.242.120.0/24
    ALL : 173.242.121.0/24
    ALL : 173.242.122.0/24
    ALL : 173.242.123.0/24
    ALL : 173.242.124.0/24
    ALL : 173.242.125.0/24
    ALL : 173.242.126.0/24
    ALL : 173.242.127.0/24
    ALL : 192.69.88.0/21
    ALL : 199.19.104.0/21
    ALL : 199.115.228.0/24
    ALL : 199.115.229.0/24
    ALL : 199.115.230.0/24
    ALL : 199.115.231.0/24
    ALL : 199.168.136.0/24
    ALL : 199.168.137.0/24
    ALL : 199.168.138.0/24
    ALL : 199.168.139.0/24
    ALL : 199.168.140.0/24
    ALL : 199.168.141.0/24
    ALL : 199.168.142.0/24
    ALL : 199.168.143.0/24
    ALL : 199.180.112.0/21
    ALL : 204.124.180.0/22
    ALL : 204.126.4.0/23

     

    Em seguida teste se o serviço named está bloqueado corretamente:

    tcpdmatch named 104.245.97.236

    Deverá aparecer a mensagem de acesso negado como abaixo:

    client: address 104.245.97.236
    server: process named
    access: denied

    * Se fizermos uma busca no Google sobre os abusos dessa empresa encontraremos muitas reclamações sem solução por parte da VolumeDrive. Na minha opinião a melhor opção é simplesmente bloquear os IPs e não se incomodar mais com isso.

     

    #12972

    hostligado
    Participante

    Olá,

    No meu VPS está access: granted, como devo proceder para bloquear?

Visualizando 2 posts - 1 até 2 (de 2 do total)

Você deve fazer login para responder a este tópico.