- Este tópico contém 1 resposta, 2 vozes e foi atualizado pela última vez 7 anos atrás por hostligado.
-
AutorPosts
-
17/10/2015 às 09:03 #11332Luis FatorBinarioAdministrador
VolumeDrive é uma dessas empresas que vendem serviços sem qualquer controle sobre as atividades dos usuários.
Eu sei disso porque várias empresas de desenvolvimento e hospedagem de sites solicitam ao Fator Binário a configuração de seus servidores, e em alguns casos, me autorizam a monitorar os servidores.
O que me chamou a atenção nos últimos dias foi a grande quantidade de ataques/spoofing vindos dos servidores da VolumeDrive. Para verificar em seu servidor se existe log de atividades com origem dos servidores deles abra o arquivo /var/log/daemon.log e observe se existe linhas seguidas de algum IP na lista que irei postar abaixo.
Exemplo encontrado no arquivo de log:
Oct 16 22:31:13 cp2 named[2300]: client 104.245.97.236#11722: query (cache) ‘l3x.ru/ANY/IN’ denied
Oct 16 22:31:13 cp2 named[2300]: client 104.245.97.236#33470: query (cache) ‘l3x.ru/ANY/IN’ denied
Oct 16 22:31:13 cp2 named[2300]: client 104.245.97.236#3219: query (cache) ‘l3x.ru/ANY/IN’ denied
Oct 16 22:31:13 cp2 named[2300]: client 104.245.97.236#57325: query (cache) ‘l3x.ru/ANY/IN’ denied
Oct 16 22:31:13 cp2 named[2300]: client 104.245.97.236#27789: query (cache) ‘l3x.ru/ANY/IN’ denied
Oct 16 22:31:13 cp2 named[2300]: client 104.245.97.236#26787: query (cache) ‘l3x.ru/ANY/IN’ denied
Oct 16 22:31:13 cp2 named[2300]: client 104.245.97.236#11258: query (cache) ‘l3x.ru/ANY/IN’ denied
Oct 16 22:31:13 cp2 named[2300]: client 104.245.97.236#18879: query (cache) ‘l3x.ru/ANY/IN’ deniedIsso é ataque de DNS spoofing. Para bloquear a range toda dos IPs deles adicione as seguintes linhas no arquivo /etc/hosts.deny :
ALL : 45.43.78.0/24 ALL : 74.118.192.0/22 ALL : 104.37.44.0/22 ALL : 104.192.103.0/24 ALL : 104.193.8.0/24 ALL : 104.193.9.0/24 ALL : 104.193.10.0/24 ALL : 104.193.11.0/24 ALL : 104.245.96.0/22 ALL : 104.245.100.0/24 ALL : 104.245.101.0/24 ALL : 104.245.102.0/24 ALL : 104.245.103.0/24 ALL : 104.255.64.0/21 ALL : 107.182.16.0/20 ALL : 142.0.32.0/24 ALL : 142.0.33.0/24 ALL : 142.0.34.0/24 ALL : 142.0.35.0/24 ALL : 142.0.36.0/24 ALL : 142.0.37.0/24 ALL : 142.0.38.0/24 ALL : 142.0.39.0/24 ALL : 142.0.40.0/24 ALL : 142.0.41.0/24 ALL : 142.0.42.0/24 ALL : 142.0.43.0/24 ALL : 142.0.44.0/24 ALL : 142.0.45.0/24 ALL : 142.0.46.0/24 ALL : 162.213.24.0/24 ALL : 162.213.25.0/24 ALL : 162.213.26.0/24 ALL : 162.213.27.0/24 ALL : 162.213.28.0/24 ALL : 162.213.29.0/24 ALL : 162.213.30.0/24 ALL : 162.213.31.0/24 ALL : 162.248.72.0/21 ALL : 172.81.128.0/21 ALL : 172.98.215.0/24 ALL : 172.110.26.0/24 ALL : 172.110.27.0/24 ALL : 173.242.112.0/24 ALL : 173.242.113.0/24 ALL : 173.242.114.0/23 ALL : 173.242.116.0/24 ALL : 173.242.117.0/24 ALL : 173.242.118.0/24 ALL : 173.242.119.0/24 ALL : 173.242.120.0/24 ALL : 173.242.121.0/24 ALL : 173.242.122.0/24 ALL : 173.242.123.0/24 ALL : 173.242.124.0/24 ALL : 173.242.125.0/24 ALL : 173.242.126.0/24 ALL : 173.242.127.0/24 ALL : 192.69.88.0/21 ALL : 199.19.104.0/21 ALL : 199.115.228.0/24 ALL : 199.115.229.0/24 ALL : 199.115.230.0/24 ALL : 199.115.231.0/24 ALL : 199.168.136.0/24 ALL : 199.168.137.0/24 ALL : 199.168.138.0/24 ALL : 199.168.139.0/24 ALL : 199.168.140.0/24 ALL : 199.168.141.0/24 ALL : 199.168.142.0/24 ALL : 199.168.143.0/24 ALL : 199.180.112.0/21 ALL : 204.124.180.0/22 ALL : 204.126.4.0/23
Em seguida teste se o serviço named está bloqueado corretamente:
> tcpdmatch named 104.245.97.236
Deverá aparecer a mensagem de acesso negado como abaixo:
client: address 104.245.97.236
server: process named
access: denied* Se fizermos uma busca no Google sobre os abusos dessa empresa encontraremos muitas reclamações sem solução por parte da VolumeDrive. Na minha opinião a melhor opção é simplesmente bloquear os IPs e não se incomodar mais com isso.
- Este tópico foi modificado 9 anos atrás por Luis FatorBinario.
06/12/2017 às 12:12 #12972hostligadoParticipanteOlá,
No meu VPS está access: granted, como devo proceder para bloquear?
-
AutorPosts
- Você deve fazer login para responder a este tópico.